[Owasp-turkey] BGA BANK Web Güvenlik Testleri Uygulama Kitabı

Omer ALBAYRAK omeralbayrak at gmail.com
Fri Jan 30 15:14:04 UTC 2015


Merhaba,

Bilgi Güvenliği AKADEMİSİ olarak geliştirilen “BGA BANK
<http://www.bgabank.com> (Vulnerable Online Bank Application)” uygulaması
PHP tabanlı çeşitli zafiyetler içeren sızma testi eğitim platformudur.
Türkiye'deki bankacılık altyapısı incelenerek bu altyapılarda çıkabilecek
tüm teknik ve mantıksal hatalar uygulamanın içine eklenmiş ve web uygulama
güvenliği konusunda çalışanlar için gerçekci bir sızma testi platformu
oluşturulmuştur.
Webgoat, DVWA vs gibi benzeri amaçla yazılmış programlardan en temel farkı
açıklıkların doğrudan kullanıcıya nerede olduğu ve nasıl istismar edileceği
ile ilgili ipucu vermemesidir.

Uygulamanın barındırdığı zaafiyetler ile ilgili olarak oluşturulan dökümana
http://www.slideshare.net/bgasecurity/bga-bank-web-gvenlik-testleri-uygulama-kitab
adresinden
erişebilirsiniz. Uygulama kitabı içeriğini aşağıda paylaşıyorum.


1 Müşteri Giriş Paneli Reflected XSS Zafiyeti ve İstismarı

2 Müşteri Giriş Paneli SQL Injection Zafiyeti ve İstismarı

3 User-Agent Bilgisi Değiştirerek Captcha Atlatma (Mobil Giriş)

4 Arama Kutusu Reflected XSS Zafiyeti ve İstismarı

5 HPF (HTTP Parameter Fragmentation) Yöntemi ile XSS İstismarı

6 XSS Kullanarak Cookie Bilgisi Çalma

7 Yönetim Paneli Dizin İfşası

8 Local File Inclusion Zafiyeti ve İstismarı

9 robotstxt Bilgi İfşası

10 PhpMyAdmin Bilgi İfşası

11 Arama Kutusu Error Based & Union Query SQL Injection Zafiyeti ve
İstismarı

12 Log Dizininde Cookie İfşası (elmahaxd) ve İstismarı

13 Mesaj Gönderme Stored XSS Zafiyeti ve İstismarı

14 Havale/EFT Hesap Arama Kutusu SQL Injection Zafiyeti ve İstismarı

15 User-Agent Başlık Bilgisinde SQL Injection Zafiyeti ve İstismarı

16 Profil Güncelleme Shell Upload Zafiyeti ve İstismarı

17 Havale/EFT Stored XSS Zafiyeti ve İstismarı

18 Erişim Kısıtlamasını Atlatma

19 Havale/EFT İşlemi Mantık Hatası ve İstismarı

20 Müşteri Bilgileri Insecure Direct Object Zafiyeti ve İstismarı

21 Ziyaretçi Defteri Stored XSS Zafiyeti ve İstismarı

22 Çalışmayan Captcha Uygulaması

23 Captcha Atlatarak Brute Force Saldırısı Gerçekleştirme

24 Cookie Hırsızlığı ile Yönetim Panelinde Oturum Açmak

25 Müşteri Parolasının Tahmin Edilebilir Olması

26 Havale İşleminde Mantık Hatası (Havale Yaparak Bakiye Arttırma)

27 Dizin Listeleme/İfşa Zafiyeti

28 Şifre Değiştirme İşlemi CSRF Zafiyeti ve İstismarı

29 Kartlarım Sayfası Insecure Direct Object References Zafiyeti ve
İstismarı

30 Şubeler Sayfası SQL Injection Zafiyeti ve İstismarı

31 İşlem Özeti Filtreleme Web Service SQL Injection

32 BGA Bank Session Fixation Saldırısı

33 HTML Yorum Satırlarında Bilgi İfşası

34 Şifre Değiştirme Panelinde Şifre Form Kontrolünü Atlatma

35 Diğer Müşterilere Bağlı Kart Şifrelerini Değiştirme

36 Şubeler Sayfası Reflected XSS Zafiyeti ve İstismarı

37 İçerik Parametresi Time-Based SQL Injection Zafiyeti ve İstismarı

38 Kodlarına Ulaşılabilir Dosyalar

39 User-Agent Başlık Bilgisinde Stored XSS Zafiyeti ve İstismarı

40 Haberdar Ol Sayfası SQL Injection Zafiyeti ve İstisamarı

41 Haberdar Ol Sayfası Reflected XSS Zafiyeti ve İstismarı

42 Döviz Alma İşleminde Araya Girilerek Döviz Fiyatı Değiştirme

43 Tomcat 6 Sistem İfşası

44 Güvensiz Çıkış Zafiyeti

45 User-Agent Bilgisi Değiştirerek Ücretsiz Havale İşlemi Gerçekleştirme

46 LFI ve Dosya Yükleme Zafiyetini Kullanarak Sisteme Shell Yükleme

47 Tomcat Metasploit Brute Force Saldırısı

48 Müşteri Girişi Form Tabanlı Brute Force Saldırısı

49 OWASP Xenotix XSS Framework Kullanarak XSS Tespiti

50 XSS Zafiyeti ile Beef Framework Kullanarak Şifre Çalma Senaryosu

51 Nmap Kullanarak PortSpoof Tespiti

Ömer ALBAYRAK
http://www.bga.com.tr/
-------------- sonraki b�l�m --------------
Bir HTML eklentisi temizlendi...
URL: <http://lists.owasp.org/pipermail/owasp-turkey/attachments/20150130/14db985d/attachment.html>


More information about the Owasp-turkey mailing list