Pentest Günlükleri
Sızma testi ya da Pentest; bir hacker gözüyle sistemlerin güvenliğini taramak, zafiyetleri mümkünse sömürerek tespit etmek ve tüm bulguları bir Sonuç Raporuyla sunmak, kurum tarafından zafiyetler kapatınca bunun doğrulamasını yapmak...
Akan Damlalar
Web socket trafiği pentestlerde nispeten göz ardı edilen bir protokoldür, çünkü ufacık metinsel veriler akar ve bunları manipüle etmek nispeten olası değildir. Ben yine de bir ödeme sistemine ilişkin web...
Bana Haklarımı Söyle
Web tabanlı bir portalı geliştirilirken doğal olarak iş akışının düzgün çalışması ön plandadır. Ne geliştirici ne de kullanıcı bunun dışında bir hareketi pek düşünmez. Ancak pentest zaten bunun dışında düşünebilmek...
İstemci Tarafındaki Kilidi Kırmak
Zafiyet açısından korunması en zor ortamlardan biri, çoklu ve farklı seviyelerde kullanıcı rollerine sahip portalların güvenliği. Doğal olarak pentest gözüyle baktığımda amacım hak yükseltme vektörlerini araştırmak. Uygulamaya hem yüksek hem...
Ağda Neler Akıyor?
Her pentestte olduğu gibi, bugünkü testimizde de amacımız Domain Admin yetkisini ele geçirmek. Yıllarca ağ yönetimi alanında ter dökmüş kıdemli ekip liderimizin yönetiminde kullandığımız saldırı vektörlerinden bir tanesi NTLM Relay...
Ha Senin Diskin Ha Benim Diskim
Türkiye’nin önemli bir futbol kulübünün tesislerindeyiz. Pentest için taramalarıma başlıyorum. Eternalblue sayesinde muhasebecinin bilgisayarında shell alıyorum. Nokta atışı bir iş oluyor. Ardından NAS cihazı dikkatimi çekiyor, 2049 NFS portu açık....