Ana içeriğe atla

DVWA Reflected XSS Çözümü (Orta Düzey)

DVWA'da güvenlik seviyesini orta düzeye getirdiğimizde aşağıdaki ilk sayfayla karşılaşıyoruz. Html sayfası bizim gözümüze aynı görünse de aslında arka planda değişen bazı şeyler var. Bunları inceleyecek olursak, bir öncekinden tek farkının tag’ini kaldırmak olduğunu görebilirsiniz. Ancak bu bölüm, bana kalırsa orta düzey olamayacak kadar kolay çünkü string’i birebir olarak arıyor. Yani yerine ScRipT gibi bir şey yazarsak algılayamayacak.


Bu defa direkt bir string yazmak yerine textbox’ın içerisine:


yazıyorum, oturumdaki kullanıcının cookie değerini almak istiyorum. Ve sonuç:


Etiketler:

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Adım Adım Weka Kullanımı

WEKA bir veri madenciliği uygulamasıdır ve Yeni Zellanda'daki Waikato Üniversitesi tarafından geliştirilmektedir. Bu yazının amacı WEKA Explorer'ı kullanmayı öğretmektir.
2 yorum
Devamı

Weka ile Sınıflandırma

"Preprocessing" aşamasında veri setimizi yükledik ve eğer gerekliyse ön aşamadan geçirdikten sonra sınıflandırma aşamasına geçebiliriz. Weka nedir, Ön İşlem bölümünde neler yapılır sorusunun cevapları için önce bu yazımı okumalısınız. SINIFLANDIRMA Verimizi ön işlemden geçirdikten sonra artık sınıflandırabiliriz. WEKA'yı kullanarak bir çok sınıflandırıcıyı kullanabilirsiniz; Karar Ağaçları, SVM, Multi-layer Perceptrons vs. Veri setinizi yükledikten sonra  Classify  bölümüne tıklayarak sınıflandırma sayfasına erişebilirsiniz. Ön tanımlı ayarlara göre  ZeroR   algoritması gelmektedir. Bu algoritmanın başarımı çok düşük olduğu için ben " Iris " veri seti için iyi sonuç verdiği bilinen J48 algoritması ile devam edeceğim:
3 yorum
Devamı

Chosen - Ciphertext Attack

Chosen-Ciphertext Attack'ı Türkçeye Seçilmiş Şifreli Metin Saldırısı olarak çevirebiliriz. Bu yöntem ile bir saldırgan seçtiği şifreli metinlerin bilinmeyen bir anahtar altında çözümlerine bakarak anahtarı bulmaya yönelik olarak çalışır. Bu yöntemde saldırganın düşman sisteme bir veya daha fazla ciphertext'i(şifreli metin) vererek plaintextleri(düz metin) elde etme şansı vardır. Bu bilgiler sayesinde saldırganın bilinmeyen şifreyi elde edebilme olasılığı yüksektir. Örnek olarak El Gamal kripto sistemi semantik olarak güvenli bir sistemdir. Seçilmiş düz metin saldırısı (Chosen plaintext attack) ile elde edilemez ancak seçilmiş şifreli metin saldırısı ile kolaylıkla alt edilebilir. Başka bir örnekte SSL protokolünde kullanılan eski RSA kripto sistemi Uyarlanır Seçilmiş Şifreli Metin Saldırısı (Adaptive Chosen Ciphertext Attack) ile SSL Session key'i ortaya çıkarıyordu.  Seçilmiş Şifreli Metin Saldırı Yöntemini nasıl kullanabileceğimize gelince Alice ve Bob'un mesajlaşt
Yorum Gönder
Devamı