Fırat Üniversitesi Personel Bilgi Sistemi Penetrasyon(Sızma) Testi

Benzer belgeler
Web Application Penetration Test Report

Sqlmap pyhton dili yazılarak geliştirilmiş Sql injection için testerlara son derece yardımcı olan bir araçtır.

FIRAT ÜNİVERSİTESİ WEB TABANLI KÜTÜPHANE OTOMASYONU

Fırat Üniversitesi Personel Otomasyonu

W3af ile Web Uygulama Güvenlik Testleri

FIRAT ÜNİVERSİTESİ PERSONEL OTOMASYONU

Bilgi ve İletişim Teknolojileri (JFM 102) Ders 7. LINUX OS (Sistem Yapısı) BİLGİ & İLETİŞİM TEKNOLOJİLERİ. LINUX Yapısı

Her Yönüyle SQL Enjeksiyonu. OWASP-Türkiye Bünyamin Demir

Fırat Üniversitesi Hastanesi Dinamik Web Sayfası

30 Mayıs ETASQLMNG Programına giriş

SQUİD PROXY İLE GERÇEK ZAMANLI WEB TRAFİK KONTROLÜ

VERİ TABANI UYGULAMALARI

Sızma Testlerinde İleri Düzey Teknikler. Ozan UÇAR

Özgür Uygulamalar ile Web Güvenliği. The OWASP

1.PROGRAMLAMAYA GİRİŞ

Veritabanı. Ders 2 VERİTABANI

Microsoft SQL Server 2008 Oracle Mysql (Ücretsiz) (Uygulamalarımızda bunu kullanacağız) Access

MUĞLA SITKI KOÇMAN ÜNİVERSİTESİ. ECTS Info Pack. ECTS Bilgi Paketi Çalışmaları. Bilgi İşlem Daire Başkanlığı YAZILIM-WEB GRUBU

Kullanım Kılavuzu Milli Eğitim Bakanlığı 2010

VERİ TABANI YÖNETİM SİSTEMLERİ

EVRAK TAKİP SİSTEMİ (ETS) GENEL AÇIKLAMALAR

MOODLE UZAKTAN ÖĞRETİM SİSTEMİ

Web Güvenlik Topluluğu OWASP. The OWASP Foundation. 21 Haziran, 2008

Web Uygulama Güvenliği Kontrol Listesi 2010

Linux altında komut satırında...

01 Şirket Profili

YMT 412-Yazılım Kalite Ve Güvencesi Yazılım Test Araçları 1/37

Uzaktan Eğitim Uygulama ve Araştırma Merkezi

İLERİ VERİTABANI SİSTEMLERİ SUAT ÜSTKAN

LİNUX. Dosyalar ve dizinler

Veritabanı Uygulamaları Tasarımı

Kets DocPlace LOGO Entegrasyonu

PENETRATION TESTING ( SIZMA TESTİ )

GĐRĐŞ. 1 Nisan 2009 tarihinde BDP programının yeni bir sürümü yayınlanmış ve bu sürümde yapılan değişikliklere

AKADEMİK PERSONEL BİLGİ SİSTEMİ

Efe Çiftci Çankaya Üniversitesi Bilgisayar Mühendisliği Bölümü Kasım 2012 CENG 191 Computer Engineering Orientation Özel Sunumu

Script. Statik Sayfa. Dinamik Sayfa. Dinamik Web Sitelerinin Avantajları. İçerik Yönetim Sistemi. PHP Nedir? Avantajları.

Özgür Yazılımlar ile Kablosuz Ağ Denetimi

OTURUM AÇMA ADLARI. Tavsiye Edilen Önhazırlık Enterprise Manager'i kullanabilmek.

YAYIN TEŞVİK UYGULAMA YÖNERGESİ

KULLANICI KILAVUZU: UEA FİX KULLANICILARININ SSLVPN ERİŞİMİ İMKB İÇİNDEKİLER

testo Saveris Web Access Yazılım Kullanım kılavuzu

Kullanım Kılavuzu Milli Eğitim Bakanlığı 2010

TBİL UYGULAMA I DERSİ. Mobil Barkotlu Depo Programı Projesi PROJESİ TASARIM RAPORU

BioAffix Ones Technology nin tescilli markasıdır.

Turquaz. Açık kodlu muhasebe yazılımı Turquaz Proje Grubu

BitTorrent İstemci Kullanımı

YAZILIM GÜVENLİK TESTLERİ. H A L D U N T E R A M A N h a l d u n t e r a m a g m a i l. c o m

Veri Tabanı-I 1.Hafta

PHP ile İnternet Programlama

Oracle Database 11g: Introduction to SQL

Bilgi güvenliği konusunda farkındalık yaratmak. Mobil cihazlardaki riskleri anlatmak. Mobil uygulamaların bilgi güvenliği açısından incelemek 2

Programa giriş MSSQL versiyonuna göre iki ayrı şekilde yapılmaktadır.


6 Ocak İlgili Versiyon/lar : ETA:SQL, ETA:V.8-SQL. İlgili Modül/ler : E-Fatura

BİLGİ İŞLEM HİZMETLERİ OTOMASYON PROGRAMI KULLANIM KILAVUZU

MESS BULUT SİSTEMİ ÜYE PORTALI KULLANIM KILAVUZU

VİO kuruluş İŞLEMLERİ

1 Nisan Đlgili Versiyon/lar : ETA:SQL, ETA:V.8-SQL. Đlgili Modül/ler : Stok

FIRAT ÜNİVERSİTESİ DİNAMİK WEB SAYFASI

Urkund Hızlı Başlangıç Kılavuzu

Bilim, Sanayi ve Teknoloji Bakanlığı

Arama motoru: kuş gribinin etkileri


PERSONEL KİMLİK YÖNETİM SİSTEMİ

Bölüm 10: PHP ile Veritabanı Uygulamaları

Eskişehir Osmangazi Üniversitesi İnşaat Mühendisliği Bölümü Akademisyenler İçin Dinamik Web Sistemi Uygulaması

Cyberoam Single Sing On İle

1. VERİ TABANI ARAÇLARI

Widows un çalışmasında birinci sırada önem taşıyan dosyalardan biriside Registry olarak bilinen kayıt veri tabanıdır.

Koşuyolu, Asmadalı Sk No:29 Kadıköy Tel : Faks: (216)

1 WEB GÜVENLIĞINE GIRIŞ

Özgür Yazılımlar ile VoIP Denetimi. Fatih Özavcı Bilgi Güvenliği Danışmanı

2. dönem itibariyle ben de Zararlı Yazılım Analizi 101 dersi vererek bu programa katkıda bulunacağım.

SolidWorks Macro, SolidWorks API. Yusuf MANSUROĞLU Mühendislik Hizmetleri Müdür Yardımcısı

BioAffix Ones Technology nin tescilli markasıdır.

İnternet Programcılığı

13 Aralık Đlgili Versiyon/lar : ETA:SQL, ETA:V.8-SQL. Đlgili Modül/ler : Raporlar. Kullanıcı Tanımlı Raporlar Bölümünden Yapabildiklerimiz

E-Mükellef Kontrol Programı Kullanım Kılavuzu

Web Servis-Web Sitesi Bağlantısı

/pikalite / bilgipi /pikalite EĞİTİM HİZMETLERİMİZ

İSTANBUL ÜNİVERSİTESİ. Bütünleşik Kalite Yönetim Sistemi İç Tetkik Kılavuzu

Sade ve tam ekran masaüstü kullanımının temel çıkış noktası, aranılan özelliğe çabuk erişimi sağlayan yenilikçi kullanıcı deneyimidir.

INTERNET SİTESİ KULLANIM KILAVUZU

20 Mayıs İlgili Versiyon/lar : ETA:SQL, ETA:V.8-SQL. İlgili Modül/ler : Muhasebe IV

KDV Beyannamesinin ekinde verilen Kısmı Tevkifat Uygulaması Kapsamındaki İşlemlere Ait Bildirim, Muhasebe IV modülünden hazırlanabilir.

Mahaya Bulmaca Sözlük 1.0

ELEKTRONİK BELGE YÖNETİM SİSTEMİ KULLANICI GİRİŞ VE E-İMZA İŞLEMLERİ KLAVUZU

MAKİNE MÜHENDİSLİĞİ BÖLÜMÜ BÖLÜM ÖĞRENCİ BİLGİ SİSTEMİ

Web Uygulama Saldırıları ve Klasik Çözümlerin Yetersizliği

Sızma Testlerinde İleri Düzey Teknikler. Ozan UÇAR

Linux Ubuntu Kurulumu

Linux işletim sistemlerinde dosya hiyerarşisinde en üstte bulunan dizindir. Diğer bütün dizinler kök dizinin altında bulunur.

YEDEKLEME PROGRAMI KURULUM VE KULLANIMI

Güvenli Doküman Senkronizasyonu

BLGM 354 DENEY 1 * GİRİŞ

Türkiye Barolar Birliği internet sitesi

Beyhan KARPUZ, Uzman Kütüphaneci Karadeniz Teknik Üniversitesi 2016

PROGRAMLAMA TEMELLERİ

TAŞRA TEŞKİLATI GÖREVDE YÜKSELME VE UNVAN DEĞİŞİKLİĞİ SINAV MODÜLÜNE İLİŞKİN YARDIM DÖKÜMANI

Transkript:

1st International Symposium on Digital Forensics and Security (ISDFS 13), 20-21 May 2013, Elazığ, Turkey Fırat Üniversitesi Personel Bilgi Sistemi Penetrasyon(Sızma) Testi Yücel Yılmaz Fırat Üniversitesi, Mekatronik Mühendisliği Lisans 1.Sınıf, Elazig/Turkey, yucel1337@gmail.com Abstract In this project,the penetration test is performed on web pages to introduced the academic personals of a university. This penetration testing is implemented with tools carried out under BackTrack operating system. At the first step on the target web site scanning is implemented by W3AF. Using SQL injection vulnerabilities obtained by from scanning the informations of the academic members from the personal information system are taken. This informations taken from the system are investigated for the possible person or persons authorized users. According to data obtained authorized access to a target site is provided. İ Keywords penetration testing,backtrack,w3af gui sqlmap,sql injection I. GİRİŞ nternet teknolojisi geliştiricileri, internet kullanıcılarının internet teknolojisini daha yararlı kullanmaları amacıyla çeşitli kolaylıklar içeren yazılımlar sunmaktadırlar. Bu yazılımlar karmaşık bir yapıya sahip olması sebebiyle, birtakım güvenlik zafiyetleri ortaya çıkabilmektedir. Güvenlik zafiyetlerini, geliştirici ve bir kısım kullanıcı farkedemese de bu zafiyeti farkeden bir üçüncü şahıs güvenlik zafiyetini kullanarak sisteme erişim sağlayabilmektedir. Sisteme erişimi sağlayan kişi art niyetli bir yapıya sahipse vahim durumlar ortaya çıkmaktadır. Bu tür vahim durum senaryolarının yaşanmaması amacıyla penetrasyon(sızma) testleri yapılmaktadır. Penetrasyon Testi(Pentest); Belirlenen bilişim sistemlerine mümkün olabilecek her yolun denenerek sızılmasıdır. Pentestde amaç güvenlik açığını bulmaktan öte bulunan açıklığı değerlendirip sistemlere yetkili erişimler elde etmektir.[1] Penetrasyon testi yapıldıktan sonra bir sonuç raporu hazırlanıp ilgili kişiye bilgilendirme yapılır. Bu penetrasyon testi incelemesinde pentest araçları kullanılarak hedef sisteme erişim sağlanmaktadır. II.I Gerekli Araçlar II. PENETRASYON TESTİ Backtrack 5 R3: Offensive Security tarafından geliştirilen Debian/Linux tabanlı bir işletim sistemidir. Penetrasyon Testi ve Adli Bilişim için kullanılması amaçlanmıştır.[2] Web Application Attack and Audit Framework(W3AF): Rapid7 firması tarafından ücretsiz dağıtılan bir web güvenlik yazılımıdır. W3AF Python programlama dili ile yazılmış hem Windows hem de Linux platformunda çalışan çok güçlü bir tarayıcıdır. Kendi içerisinde bulunan modülleri kullanarak hedef sistem üzerinde tam bir test gerçekleştirebilecek kabiliyete sahiptir. Ayrıca bulduğu güvenlik açıklarını exploit ederek hedef sistemlere sızmaya yarayan modülleri ise W3AF i oldukça güçlü kılmaktadır.[3] SQLMAP: SQL Enjeksiyon açıklarını bulmaya ve bu açıkları kullanıcısının menfaatleri doğrultusunda kullanmasını sağlayan penetrasyon testlerinde de kullanılan açık kaynak kodlu bir yazılımdır. II.II. Backtrack Giriş Backtrack işletim sisteminin arayüzüne giriş yapabilmek için,resim 1 de görülen ekranda bt login: kısmına root,password kısmına ise toor yazılmaktadır. Karşımıza gelen komut satırından da startx komutu verilerek Backtrack 5 R3 arayüzü çalıştırılmaktadır. Resim 1 Backtrack Giriş Paneli II.III. Web Application Attack and Audit Framework(W3AF) ile Site Analizi W3AF,penetrasyon testlerinde sıkça kullanılan bir araçtır. Bu araç ile bir web sayfası üzerinde zararlı yazılım kodları içeren dosya olup olmadığını tespit edebilir,çeşitli web uygulamaları üzerinde bulunan zafiyetleri ortaya çıkarabilirsiniz. Birden fazla güvenlik istismarı tarayıcısını bir pakette bulundurur. Backtrack 5 R3 versiyonunda W3AF Applications/Backtrack/Vulnerability Assessment/Web Application Assessment/Web Vulnerability Scanners/w3af gui sekmesi altında bulunur. Bu penetrasyon testi yazısında W3AF programının bir 1

Y.Yılmaz web sayfası üzerinde güvenlik zafiyeti taraması işlemi gerçekleştirilmiştir. İlk olarak W3AF arayüz programında Resim 2 de görülen Target kısmına hedef web sayfası yazılır. Target kutucuğunun altında bulunan audit eklentisi ise hedef site üzerinde taranacak güvenlik zafiyet çeşitlerini içerir. Enjeksiyon güvenlik açığının hangi parametrede bulunduğu detaylı şekilde verilmektedir. Resim 4 W3AF Hedef Site Analiz Sonuçları II.IV. SQLMAP ile SQL Enjeksiyon Zafiyetinden Yararlanmak Resim 2 W3AF Arayüz Programı audit eklentisi aktif hale getirilip hedef site üzerinde tarama işlemi başlatılır. Tarama işlemi başlatıldıktan sonra gelişen olaylar Log sekmesi altında yer almaktadır. Resim 3 de görüldüğü gibi uid parametresinde bir SQL Enjeksiyon* açığı bulunduğu raporlanmaktadır. SQLMAP,python dilinde yazılmış oldukça gelişmiş özelliklere sahip olan bir araçtır. Bünyesinde 5 çeşit SQL Enjeksiyon saldırı tipini barındırır. Birçok veritabanını tanır ve veritabanını indirme(dump) özelliğine de sahiptir. SQLMAP,Backtrack 5 R3 versiyonunda Applications/Backtrack/Vulnerability Assessment/Web Application Assessment/Web Vulnerability Scanners/sqlmap sekmesi altında bulunmaktadır.alternatif bir yol olarak backtrack konsolu çağrılıp cd /pentest/database/sqlmap komutu girilerekte SQLMAP programına erişim sağlanabilir. İlk önce taratılmak istenen site için./sqlmap.py u hedef site komutu girilir. Burada./sqlmap.py ile sqlmap.py dosyası çağırılır. -u parametresi ile hedef site belirtilir.hedef site olan perweb.firat.edu.tr için girilen komut örneği Resim 5 de gösterilmiştir. Resim 3 W3AF Log Çıktıları *SQL (Structured Query Language) veritabanlarında data çekme, silme ve değiştirme gibi işlemler için kullanılan basit yapılı bir dildir. Bugün hemen hemen tüm web uygulamalarının altyapısında veritabanı desteği vardır ve bu web uygulamaları veritabanı ile SQL aracılığıyla anlaşırlar.[4] *SQL Enjeksiyon, web uygulamalarında bir çok işlem için kullanıcıdan alınan veri ile dinamik SQL cümlecikleri oluşturulur. Mesela SELECT * FROM Products örnek SQL cümleciği basit şekilde veritabanından web uygulamasına tüm ürünleri döndürecektir. Bu SQL cümlecikleri oluşturulurken araya sıkıştırılan herhangi bir meta-karakter SQL Injection a neden olabilir.[4] Results sekmesinde,hedef site üzerinde bulunan güvenlik zafiyetleri zafiyet cinsine gore sıralanır.resim 4 de SQL Resim 5 SQLMAP ile Hedef Site nin Taranması Yukarıda verilen komuta ek olarak - -dbs parametresi girilmiştir. Bu parametreyle hedef sitede bulunan SQL 2

Fırat Üniversitesi Personel Bilgi Sistemi Penetrasyon(Sızma) Testi Enjeksiyon açığından yararlanılarak veritabanı türünü tespit edip Resim 6 da görüldüğü gibi konsola veritabanı veya veritabanlarını tablo halinde vermektedir. Resim 6 SQLMAP ile Veritabanı Çıktısı Veritabanı ismi öğrenildikten sonra o veritabanına ait tablo isimlerini de öğrenmek gerekmektedir. Tabloları elde etmek için./sqlmap.py u hedef site - - tables -D ilgili veritabanı komutu kullanılmaktadır. - - tables parametresi ile veritabanındaki tablo isimleri öğrenilir. D parametresi ise SQL Enjeksiyon için kullanılan veritabanını ifade eder.komutun hedef site üzerinde uyarlanmış hali Resim 7 de gösterilmiştir. Resim 7 SQLMAP ile Veritabanındaki Tabloları Öğrenmek Bu komut aktif hale getirildiğinde Resim 8 de ki çıktı elde edilir. İlgili veride 31 adet tablonun PerWebDB veritabanında barındığı belirtilmektedir. Veritabanları içerisinde tablolar bulunur.tabloların içerisinde de kolonlar,kolonların içerisinde ise veriler bulunur. Bu veriler bir web sayfasının işleyişi için son derece önemli bir rol oynamaktadır. Bu sebeple bu verileri kontrolü altında bulunduran sistem yetkilileri önemli gördükleri bu verileri belli periyotlarda yedeklerler.resim 8 de ki çıktıda da birkaç tablonun yedeği ydk_ kısaltmasıyla belirtilmiştir. Hedef sistem üzerinde yetkili erişim sağlayabilmek amacıyla sistemde yetkili kullanıcıların bulunduğu tablodan faydalanarak sistem yetkilisinin kullanıcı adı ve şifresine ulaşılıp hedef sisteme erişim sağlanacaktır. Resim 8 SQLMAP ile Veritabanı Tabloları Tablolar arasında bulunan dbo.tsahip tablosunun kolon isimleri öğrenilerek bu tablo altında yetkili kullanıcı adı ve şifresinin bulunup bulunmadığı incelenir. İlgili tablonun kolon isimlerini öğrenmek için./sqlmap.py u hedef site - -columns T tablo D veritabani komutu uygulanır. - -columns parametresiyle tablo içindeki kolon adları öğrenilir. -T parametresiyle de işlem yapılacak tablo belirtilir. Resim 9 da verilen komutun hedef site üzerindeki uyarlanmış hali gösterilmektedir. Resim 9 SQLMAP ile Tablodaki Kolonları Öğrenmek 3

Y.Yılmaz Komut uygulandığında Resim 10 da görüldüğü şekilde bir çıktı verir. İlgili çıktıda PerWebDB veritabanında dbo.tsahip isimli tabloda 8 adet kolon bulunduğunu rapor etmektedir. Bu kolon isimleri kulad,kullanici,sifre,yetki gibi aranılan anahtar kelimeler içermektedir. Bu anahtar kelimeler bize sistemdeki yetkili kullanıcının dbo.tsahip tablosunda kullanıcı adı ve şifresinin var olabileceğini işaret etmektedir. Görüldüğü gibi birçok yetkili kişinin kullanıcı adı ve şifresi dosyada yer almaktadır. Bu yetkili kullanıcılar arasında fusistemynt kullanıcı adlı hesap,sistemde en yetkili erişime sahiptir.hesabı kullanarak sisteme erişim sağlanır. III. SİSTEME ERİŞİM Çeşitli aşamalar sonucunda elde edilen veriler ile sisteme giriş yapabilmek için kullanıcı giriş panelinin bulunması gerekir. Hedef site(perweb.firat.edu.tr) anasayfasında yer alan Resim 12 de görülen Kullanıcı Girişi kısmından sisteme erişim sağlanır. Resim 10 SQLMAP Tablo Kolonları Varsayımın doğruluğunu kanıtlayabilmek için bu kolonlarda bulunan verileri indirmek gerekir../sqlmap.py u hedef site - -dump C kulad,kullanici,sifre T dbo.tsahip D PerWebDB komutu ile bu veriler bilgisayara indirilir. -C parametresi verilerini çekmek istediğimiz kolonları belirtmek için kullanılır.veriler.csv(comma-separated Variables,Virgülle Ayrılmış Veriler) uzantısıyla kaydedilir. Dosya /pentest/database/sqlmap/output/hedef site/dump/veritabanı/tablo.csv dizinine kaydedilir.dosyanın açılmış hali Resim 11 de gösterilmiştir(sistem yetkilisi dışındaki yetkililerin kullanıcı adı ve şifreleri siyah çizgiyle kapatılmıştır.sistem yetkilisinin şifresinin sadece bir kısmı siyah çizgiyle kapatılmıştır.) Resim 12 F.Ü Personel Bilgi Sistemi Kullanıcı Girişi Giriş tuşuna bastıktan sonra karşımıza Resim 13 de görülen Yönetici Paneli gelmektedir. Resim 13 F.Ü Personel Bilgi Sistemi Yönetici Paneli Bu panele erişen kişinin insiyatifine bağlı olarak meydana gelebilecek olaylar farklılık göstermektedir. Üniversite personellerinin akademik konumunu değiştirebilir,silebilir.kişi Resim 14 de görülen modülden Personel Ekleme işlemi yapabilir. Resim 11 SQLMAP ile Verilerin Elde Edilmesi Resim 14 F.Ü Personel Bilgi Sistemi Personel Ekleme Ya da bunun tam tersi olan mevcut olan bir personeli Resim 15 de görülen modülden Personel Silme işlemi yapabilir. 4

Fırat Üniversitesi Personel Bilgi Sistemi Penetrasyon(Sızma) Testi Resim 15 F.Ü Personel Bilgi Sistemi Personel Silme IV. SONUÇLAR Bu penetrasyon(sızma) testi ile bir üniversitenin kimliği olan personel bilgi sistemine sızılmıştır. İnternet teknolojisi üzerinde gelişmeler sağlandıkça kaydedilen olumlu sonuçların yanında olumsuz sonuçlarda doğacaktır.bu olumsuz sonuçlar olarak zafiyetler gösterilebilir.bu zafiyetlerin önüne geçebilmek ve zafiyetler sonucu ortaya çıkabilecek vahim durum senaryolarının önlenmesi amacıyla bu farkındalık projesi yapılmıştır. TEŞEKKÜRLER Mavituna Security şirketinden Ömer Kurt a,bu projenin başından sonuna kadar yaptığı yardımlardan dolayı bir teşekkürü borç bilirim. KAYNAKÇA [1] Ö. Huzeyfe, http://blog.lifeoverip.net/2009/10/06/10-sorudapentestpenetrasyon-testleri/ [2] http://en.wikipedia.org/wiki/backtrack [3] Ç. Eyüp,http://www.eyupcelik.com.tr/ceh/w3af-ile-web-sitelerindeshell-tespiti [4] M.Ferruh,http://ferruh.mavituna.com/sql-injection-a-giris-ve-sqlinjection-nedir-oku/ 5

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim