[Owasp-turkey] BGA BANK Web Güvenlik Testleri Uygulama Kitabı

suleymanpetek at yahoo.com suleymanpetek at yahoo.com
Fri Jan 30 15:49:56 UTC 2015


Ömer selam
Kitabı nerede bulabiliriz ?

Sent from my iPhone

> On 30 Oca 2015, at 17:14, Omer ALBAYRAK <omeralbayrak at gmail.com> wrote:
> 
> Merhaba,
> 
> Bilgi Güvenliği AKADEMİSİ olarak geliştirilen “BGA BANK (Vulnerable Online Bank Application)” uygulaması PHP tabanlı çeşitli zafiyetler içeren sızma testi eğitim platformudur. Türkiye'deki bankacılık altyapısı incelenerek bu altyapılarda çıkabilecek tüm teknik ve mantıksal hatalar uygulamanın içine eklenmiş ve web uygulama güvenliği konusunda çalışanlar için gerçekci bir sızma testi platformu oluşturulmuştur. 
> Webgoat, DVWA vs gibi benzeri amaçla yazılmış programlardan en temel farkı açıklıkların doğrudan kullanıcıya nerede olduğu ve nasıl istismar edileceği ile ilgili ipucu vermemesidir. 
> 
> Uygulamanın barındırdığı zaafiyetler ile ilgili olarak oluşturulan dökümana http://www.slideshare.net/bgasecurity/bga-bank-web-gvenlik-testleri-uygulama-kitab adresinden erişebilirsiniz. Uygulama kitabı içeriğini aşağıda paylaşıyorum.
> 
> 
> 1 Müşteri Giriş Paneli Reflected XSS Zafiyeti ve İstismarı
> 
> 2 Müşteri Giriş Paneli SQL Injection Zafiyeti ve İstismarı
> 
> 3 User-Agent Bilgisi Değiştirerek Captcha Atlatma (Mobil Giriş) 
> 
> 4 Arama Kutusu Reflected XSS Zafiyeti ve İstismarı 
> 
> 5 HPF (HTTP Parameter Fragmentation) Yöntemi ile XSS İstismarı 
> 
> 6 XSS Kullanarak Cookie Bilgisi Çalma 
> 
> 7 Yönetim Paneli Dizin İfşası 
> 
> 8 Local File Inclusion Zafiyeti ve İstismarı 
> 
> 9 robotstxt Bilgi İfşası 
> 
> 10 PhpMyAdmin Bilgi İfşası 
> 
> 11 Arama Kutusu Error Based & Union Query SQL Injection Zafiyeti ve İstismarı 
> 
> 12 Log Dizininde Cookie İfşası (elmahaxd) ve İstismarı 
> 
> 13 Mesaj Gönderme Stored XSS Zafiyeti ve İstismarı 
> 
> 14 Havale/EFT Hesap Arama Kutusu SQL Injection Zafiyeti ve İstismarı 
> 
> 15 User-Agent Başlık Bilgisinde SQL Injection Zafiyeti ve İstismarı 
> 
> 16 Profil Güncelleme Shell Upload Zafiyeti ve İstismarı 
> 
> 17 Havale/EFT Stored XSS Zafiyeti ve İstismarı 
> 
> 18 Erişim Kısıtlamasını Atlatma 
> 
> 19 Havale/EFT İşlemi Mantık Hatası ve İstismarı 
> 
> 20 Müşteri Bilgileri Insecure Direct Object Zafiyeti ve İstismarı 
> 
> 21 Ziyaretçi Defteri Stored XSS Zafiyeti ve İstismarı 
> 
> 22 Çalışmayan Captcha Uygulaması 
> 
> 23 Captcha Atlatarak Brute Force Saldırısı Gerçekleştirme 
> 
> 24 Cookie Hırsızlığı ile Yönetim Panelinde Oturum Açmak 
> 
> 25 Müşteri Parolasının Tahmin Edilebilir Olması 
> 
> 26 Havale İşleminde Mantık Hatası (Havale Yaparak Bakiye Arttırma) 
> 
> 27 Dizin Listeleme/İfşa Zafiyeti 
> 
> 28 Şifre Değiştirme İşlemi CSRF Zafiyeti ve İstismarı 
> 
> 29 Kartlarım Sayfası Insecure Direct Object References Zafiyeti ve İstismarı 
> 
> 30 Şubeler Sayfası SQL Injection Zafiyeti ve İstismarı 
> 
> 31 İşlem Özeti Filtreleme Web Service SQL Injection 
> 
> 32 BGA Bank Session Fixation Saldırısı 
> 
> 33 HTML Yorum Satırlarında Bilgi İfşası 
> 
> 34 Şifre Değiştirme Panelinde Şifre Form Kontrolünü Atlatma 
> 
> 35 Diğer Müşterilere Bağlı Kart Şifrelerini Değiştirme 
> 
> 36 Şubeler Sayfası Reflected XSS Zafiyeti ve İstismarı 
> 
> 37 İçerik Parametresi Time-Based SQL Injection Zafiyeti ve İstismarı 
> 
> 38 Kodlarına Ulaşılabilir Dosyalar 
> 
> 39 User-Agent Başlık Bilgisinde Stored XSS Zafiyeti ve İstismarı 
> 
> 40 Haberdar Ol Sayfası SQL Injection Zafiyeti ve İstisamarı 
> 
> 41 Haberdar Ol Sayfası Reflected XSS Zafiyeti ve İstismarı 
> 
> 42 Döviz Alma İşleminde Araya Girilerek Döviz Fiyatı Değiştirme 
> 
> 43 Tomcat 6 Sistem İfşası 
> 
> 44 Güvensiz Çıkış Zafiyeti 
> 
> 45 User-Agent Bilgisi Değiştirerek Ücretsiz Havale İşlemi Gerçekleştirme 
> 
> 46 LFI ve Dosya Yükleme Zafiyetini Kullanarak Sisteme Shell Yükleme 
> 
> 47 Tomcat Metasploit Brute Force Saldırısı 
> 
> 48 Müşteri Girişi Form Tabanlı Brute Force Saldırısı 
> 
> 49 OWASP Xenotix XSS Framework Kullanarak XSS Tespiti 
> 
> 50 XSS Zafiyeti ile Beef Framework Kullanarak Şifre Çalma Senaryosu 
> 
> 51 Nmap Kullanarak PortSpoof Tespiti
> 
> Ömer ALBAYRAK
> http://www.bga.com.tr/
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.owasp.org/pipermail/owasp-turkey/attachments/20150130/3080f4ec/attachment.html>


More information about the Owasp-turkey mailing list