[Owasp-turkey] BGA BANK Web Güvenlik Testleri Uygulama Kitabı

Oğuzhan YILMAZ aspsrc at gmail.com
Fri Jan 30 20:27:01 UTC 2015


Çok faydalı bir uygulama olmuş.

Oğuzhan

30 Ocak 2015 17:14 tarihinde Omer ALBAYRAK <omeralbayrak at gmail.com> yazdı:

> Merhaba,
>
> Bilgi Güvenliği AKADEMİSİ olarak geliştirilen “BGA BANK
> <http://www.bgabank.com> (Vulnerable Online Bank Application)” uygulaması
> PHP tabanlı çeşitli zafiyetler içeren sızma testi eğitim platformudur.
> Türkiye'deki bankacılık altyapısı incelenerek bu altyapılarda çıkabilecek
> tüm teknik ve mantıksal hatalar uygulamanın içine eklenmiş ve web uygulama
> güvenliği konusunda çalışanlar için gerçekci bir sızma testi platformu
> oluşturulmuştur.
> Webgoat, DVWA vs gibi benzeri amaçla yazılmış programlardan en temel farkı
> açıklıkların doğrudan kullanıcıya nerede olduğu ve nasıl istismar edileceği
> ile ilgili ipucu vermemesidir.
>
> Uygulamanın barındırdığı zaafiyetler ile ilgili olarak oluşturulan
> dökümana
> http://www.slideshare.net/bgasecurity/bga-bank-web-gvenlik-testleri-uygulama-kitab adresinden
> erişebilirsiniz. Uygulama kitabı içeriğini aşağıda paylaşıyorum.
>
>
> 1 Müşteri Giriş Paneli Reflected XSS Zafiyeti ve İstismarı
>
> 2 Müşteri Giriş Paneli SQL Injection Zafiyeti ve İstismarı
>
> 3 User-Agent Bilgisi Değiştirerek Captcha Atlatma (Mobil Giriş)
>
> 4 Arama Kutusu Reflected XSS Zafiyeti ve İstismarı
>
> 5 HPF (HTTP Parameter Fragmentation) Yöntemi ile XSS İstismarı
>
> 6 XSS Kullanarak Cookie Bilgisi Çalma
>
> 7 Yönetim Paneli Dizin İfşası
>
> 8 Local File Inclusion Zafiyeti ve İstismarı
>
> 9 robotstxt Bilgi İfşası
>
> 10 PhpMyAdmin Bilgi İfşası
>
> 11 Arama Kutusu Error Based & Union Query SQL Injection Zafiyeti ve
> İstismarı
>
> 12 Log Dizininde Cookie İfşası (elmahaxd) ve İstismarı
>
> 13 Mesaj Gönderme Stored XSS Zafiyeti ve İstismarı
>
> 14 Havale/EFT Hesap Arama Kutusu SQL Injection Zafiyeti ve İstismarı
>
> 15 User-Agent Başlık Bilgisinde SQL Injection Zafiyeti ve İstismarı
>
> 16 Profil Güncelleme Shell Upload Zafiyeti ve İstismarı
>
> 17 Havale/EFT Stored XSS Zafiyeti ve İstismarı
>
> 18 Erişim Kısıtlamasını Atlatma
>
> 19 Havale/EFT İşlemi Mantık Hatası ve İstismarı
>
> 20 Müşteri Bilgileri Insecure Direct Object Zafiyeti ve İstismarı
>
> 21 Ziyaretçi Defteri Stored XSS Zafiyeti ve İstismarı
>
> 22 Çalışmayan Captcha Uygulaması
>
> 23 Captcha Atlatarak Brute Force Saldırısı Gerçekleştirme
>
> 24 Cookie Hırsızlığı ile Yönetim Panelinde Oturum Açmak
>
> 25 Müşteri Parolasının Tahmin Edilebilir Olması
>
> 26 Havale İşleminde Mantık Hatası (Havale Yaparak Bakiye Arttırma)
>
> 27 Dizin Listeleme/İfşa Zafiyeti
>
> 28 Şifre Değiştirme İşlemi CSRF Zafiyeti ve İstismarı
>
> 29 Kartlarım Sayfası Insecure Direct Object References Zafiyeti ve
> İstismarı
>
> 30 Şubeler Sayfası SQL Injection Zafiyeti ve İstismarı
>
> 31 İşlem Özeti Filtreleme Web Service SQL Injection
>
> 32 BGA Bank Session Fixation Saldırısı
>
> 33 HTML Yorum Satırlarında Bilgi İfşası
>
> 34 Şifre Değiştirme Panelinde Şifre Form Kontrolünü Atlatma
>
> 35 Diğer Müşterilere Bağlı Kart Şifrelerini Değiştirme
>
> 36 Şubeler Sayfası Reflected XSS Zafiyeti ve İstismarı
>
> 37 İçerik Parametresi Time-Based SQL Injection Zafiyeti ve İstismarı
>
> 38 Kodlarına Ulaşılabilir Dosyalar
>
> 39 User-Agent Başlık Bilgisinde Stored XSS Zafiyeti ve İstismarı
>
> 40 Haberdar Ol Sayfası SQL Injection Zafiyeti ve İstisamarı
>
> 41 Haberdar Ol Sayfası Reflected XSS Zafiyeti ve İstismarı
>
> 42 Döviz Alma İşleminde Araya Girilerek Döviz Fiyatı Değiştirme
>
> 43 Tomcat 6 Sistem İfşası
>
> 44 Güvensiz Çıkış Zafiyeti
>
> 45 User-Agent Bilgisi Değiştirerek Ücretsiz Havale İşlemi Gerçekleştirme
>
> 46 LFI ve Dosya Yükleme Zafiyetini Kullanarak Sisteme Shell Yükleme
>
> 47 Tomcat Metasploit Brute Force Saldırısı
>
> 48 Müşteri Girişi Form Tabanlı Brute Force Saldırısı
>
> 49 OWASP Xenotix XSS Framework Kullanarak XSS Tespiti
>
> 50 XSS Zafiyeti ile Beef Framework Kullanarak Şifre Çalma Senaryosu
>
> 51 Nmap Kullanarak PortSpoof Tespiti
>
> Ömer ALBAYRAK
> http://www.bga.com.tr/
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>
-------------- sonraki b�l�m --------------
Bir HTML eklentisi temizlendi...
URL: <http://lists.owasp.org/pipermail/owasp-turkey/attachments/20150130/836c5c05/attachment-0001.html>


More information about the Owasp-turkey mailing list