[Owasp-turkey] Web Uygulama Denetimlerinde Link Keşfetme Teknikleri

Deniz CEVIK denizcev at gmail.com
Thu Nov 20 02:57:01 EST 2008


Selamlar,

Dökümanı yazdıktan sonra aklıma bir kaç yöntem daha geldi, senin
anlattıklarınla beraber en kısa sürede güncelleyeceğim. Bu arda ortak
bir wordlist oluşturabileceğimiz bir veritabanı projesi de iyi
olabilir. Her testde piyasadaki araçların wordlistlerinde bulunmayan
dizinler dosyalar ortaya çıkarıyoruz. Eminim sizlerde benzer şeylerle
kaşılaşıyorsunuzdur. Herkesin yeni keşfettiği dizinleri veya açık
bulunan uygulamaları submit edebileceği online bir veritabanı
oluşturup, daha etkin sözlüklerle değerlendirme yapmamız mümkün
olabilir. Bir crawler kadar çok veri toplayamaz ama daha küçük
wordlistler ile daha etkin kontrol yapmamıza yardımcı olacaktır.

İyi Çalışmalar.

2008/11/19 Ferruh Mavituna <ferruh at mavituna.com>:
> Selamlar Deniz,
>
> Ellerine saglik, ozellikle archive sitelerinin kullanimi hep atladigim bir
> seydi, guzel oldu.
>
> Ben nacizane bir kac ufak sey ekleyecegim:
>
> sitemaps.xml - Google' un sitemaps destegi icin uretilen bir dokuman.
> Genelde bunu alabilirseniz butun public linkler icerisinde listelenmis
> olabilir. Sabit ve mecburi bir adresi olmasa da genelde sitemaps.xml olarak
> bulunabiliyor. (teorik olarak dokumandaki google aramasinda butun bu
> linklerin bulunmasi gerekiyor)
> Istatistik programlarinin tespiti, her ne kadar dirbuster vs. bunu yapsa da,
> farkli portlar ve subdomainlerde de bunun cikma ihtimali var. Bir de nadiren
> bazi 3rd parti programlar bu istatikleri publi olarak erisilebilir halde
> tutuyor. Bu dizin, subdomain ya da portlari da bulmak cok kullanisli
> olabilir.
> Pek populer degil ama ilginc sekilde calisabilecek bir sistem daha var.
> Insanlarin online bookmark sistemlerini daha cok kullanmasi ile birlikte tum
> eski bookmarklarini import eder oldular. Bu durumda delicious, diigo, furl
> vs. gibi sitelerde bazi sitelerin editor/admin loginlerini vs. bulma
> ihtimali olabiliyor.
>
> Bir de wordlist icin Dirbuster' in wordlistlerini siddetle tavsiye ederim.
> Cunku bu wordlistler internet crawl edilerek olusturuldu ve en cok gorulen
> ayni isimlere gore siralandi. Dolayisiyla bulabileceginiz en iyi wordlistler
> neredeyse.
>
> Son olarak wordlist gelistirme konusunda public bir SVN/CVS crawler yapip
> sourceforge un web uygulamalari kismi kisimlarinda directory yapilarindan
> wordlist olusturacak bir arac (shell script vs) yazmak kafamda var. Bir
> turlu vakit bulup bununkla ugrasamadim.
>
> Bunu da birileri yapsa biz de kullansak :) Bu sayede cok guzel bir wordlist
> cikabilir. Cunku Dirbuster listesinin en buyuk sorunu eger bir dizin hic bir
> zaman public olarak linklenmediyse, listeye giremiyor. Bu sekilde SVN/CVS
> erisimi sayesinde bu sorun cozulebilir. Ek olarak bunun ikinci adimi da
> fingerprint ama baska ve uzun bir konu :)
>
>
> 2008/11/18 Deniz CEVIK <denizcev at gmail.com>
>>
>> Selamlar
>>
>> Web Uygulama Denetimlerinde Link Keşfetme Teknikleri ile ilgili
>> hazırladığım dökümana aşağıdaki linkten ulaşabilirsiniz.
>>
>> http://www.webguvenligi.org/?page_id=5
>>
>> İyi Çalışmalar.
>> _______________________________________________
>> Owasp-turkey mailing list
>> Owasp-turkey at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>
>
> --
> http://ferruh.mavituna.com
>


More information about the Owasp-turkey mailing list