[Owasp-turkey] Sık Kullanılan Access Veritabanı İsimleri

Onur YILMAZ contact at onuryilmaz.info
Sat Oct 31 13:46:48 EDT 2009


Selamlar,

Tool için çok teşekkürler, elinize sağlık :)

Dirbuster`ın kullandığı wordlistler`i beğenmeyen birisiyle bu konuda bir
çalışma yapmıştık :) bu wordlistleri de biraz modifiye edebilirim galiba.

İyi çalışmalar.

-----Original Message-----
From: Deniz CEVIK [mailto:denizcev at gmail.com] 
Sent: Saturday, October 31, 2009 7:10 PM
To: Onur YILMAZ
Cc: OWASP-Türkiye
Subject: Re: [Owasp-turkey] Sık Kullanılan Access Veritabanı İsimleri

Selamlar,

Access veri tabanı isimlerini bir sözlük içinden tahmin etmeye çalışmak
genelde pek başarılı sonuç vermiyor. Dosya ismi, uygulamanın işlevi, firma
adı vb etkene göre çok değişiklik gösteriyor. Uygulama ismi ile aynı ada
sahip mdb dosyaları ile karşılaşmıştım. Bu parametrelere göre sözlük
oluşturmak daha başarılı sonuç verebilir.
Bunlar dışında bir sözlük oluşturmak istiyorsanız googling yardım edecektir.

http://www.google.com.tr/search?q=filetype:mdb

sorgusu ile en sık kullanılan mdb dosya isimlerini keşfedip bir sözlük
oluşturabilirsiniz. Bunun için harverster scriptini bu amaca yönelik
modifiye ederek ekteki gibi bir program oluşturmuştum, dosya listesini
otomatik oluşturabiliyor, iş görecektir.

Bir başka alternatifde dosyanın hangi dizin altında olduğunu
kestirebiliyorsanız, dirbuster ile tüm ihtimalleri denemek olabilir :) Eğer
hatlar sağlam ise 4-5 karaktere kadar olanları tahmin etmek çok uzun
sürmeyecektir.

Yine site üzerinde google,bing veya arşiv sitelerini kullanarak mdb, txt
gibi dosyaları aramak denebilir, belki bir ara indexlenmiştir. TXT dosyaları
ile aynı isme sahip mdb dosyaları ile daha önce karşılaşmıştım.

En kesin çözüm uygulamayı geliştirenlere sormak olacaktır, sonuçta bir risk
var ise siz olmasanızda başka birisi bunu ortaya çıkartabilir. Bu riski
ortadan kaldırmak için dosyanın erişilebilir bölgelerde olmadığını,
webmaster ile teyit etmek ve buna göre riski raporlamak düşünülebilir.



# python fileharvester.py -d mdb -l 500

*************************************
*FileHarvester Ver. 0.1               *
*Coded by d3nx                        *
*deniz at biznet.com.tr                  *
*************************************


Total results:  21000
Limit:  500

Filenames          :
====================

filetype.mdb
3Dfiletype.mdb
HYTop.mdb
.
.
.




More information about the Owasp-turkey mailing list