Eyl 03

Sızma testi uzmanı olmak isteyenler için öneriler

Hey, uzun bir aradan sonra, uzun bir yazı ile selam herkese,

Uzun bir arada sonra sürekli gelen bir soruyu yanıtlamak için bloguma bu konuda içerik eklemeye karar verdim. Bu içerik danışmanlık şirketlerinde veya banka vb. kurumlarda çalışmak isteyen sızma testi uzmanlarına yol gösterecek bir rehber olması amacı ile hazırlandı.

Sızma testi alanındaki alt uzmanlık alanlarına ve diğer konulara geçmeden önce sızma testi alanında çalışacak kişilerin sahip olması gerektiğini düşündüğüm bir kaç karakteristik özelliğe değinmek istiyorum. Bu konunun teknik konulardan daha önemli olduğunu düşünüyorum. Teknik konular öğrenilebilir ancak karakter değiştirilmesi zor (imkansız demiyorum ama insanın 20’li yaşlardan sonra huyunu suyunu değiştirmesi zor) olması nedeniyle önceliği karakter konusuna vermek istiyorum. Karakter olarak aşağıdaki özelliklere sahip değilseniz yada kendinizi bu konularda geliştiremeyecekseniz bu alanda başarılı olma şansınız azalıyor. Unutmayın, herkes sızma testi uzmanı olmak zorunda değil, bu iş yapmak istiyor olabilirsiniz, keyif alacağınızı düşünüyor olabilirsiniz, Pentagon’u hackleyip akşam haberlerinde adınızdan söz etme aşkı ile yanıp tutuşuyor olabilirsiniz ama karakter olarak bu iş için uygun değilseniz başarısız olma ihtimaliniz çok yüksek. Emeğinizi ve vaktinizi başarılı olacağınız işler için harcamak çok daha mantıklı olabilir. (Yeterince olumsuz cümleyi peş peşe sıraladıktan sonra geçelim şu karakter ile ilgili konulara.)

Pes etme: Sızma testi alanında çalışan kişiler sürekli bir engel ile karşılaşır, bu zaman zaman siber güvenlik ürünleri, çözümleri olur, zaman zaman ise proje yaptığınız kişiler olur. Bazen size erişim vermezler, bazen WAF’ı, IPS’i kapatmazlar. Bazen de test esnasında zafiyet olduğundan emin olursunuz ama doğru payload’u bulamadığınız için zafiyeti tetikleyemezsiniz. Özet, bizde engel bitmez, pes etmeden istikrarlı bir şekilde hedefe odaklanarak çalışmanız durumunda sonuç elde edebilirsiniz. Aksi taktirde yaptığınız işi hakkı ile yapamaz, büyük güvenlik zafiyetlerini kaçırır ve ciddi sorunlar yaşarsınız. Pes etmeyin, denemeye, çözüm üretmeye devam edin. Karşılaştığınız her zorluğu aşmak için ciddi zaman ve emek vermeniz gerekecek. Hali ile bu yorucu ve zaman zaman insanı zorlayan bir durum. Bu durumlar canınızı sıkacak, size sürekli öff, püff dedirtecekse baştan bu işe girmeyin, emek ve zamanınız heba olmasın.

Varsayım ile ilerlemeyin: Sektöre yeni giren arkadaşlar da gözlemlediğim en büyük sorunlardan birisi bu, sürekli bir şeyleri öğrenmek yerine bu kesin böyle çalışıyordur, burada WAF var bir şey olmaz, burada DDoS koruması var bu atak etkili olmaz vb. yorumları bolca duyuyorum. Bu varsayımsal durumlar sizin öğrenmenizin önündeki en büyük bariyer, varsaymak yerine denemek, sonuçları görmek/analiz etmek, yeni yollar aramak ve sonuca ulaşmak sizin yaşam felsefeniz gibi bir şey olmalı bu işe girecekseniz. Sızma testi yapıyorum demek, elinizdeki sistem/uygulama vs. her neyse onun üzerinde oluşabilecek tüm potansiyel riskleri denemek, önümüze çıkan engelleri aşmak ve denenebilecek son seçeneği bile doğru bir şekilde denemek demek. Sizin WAF var bir şey olmaz dediğiniz yerde WAF monitör modda çalışıyor olabilir. Sizin DDoS koruması (Protection) var dediğiniz yerde yanlış eşik değeri (threshold) yapılandırmaları nedeniyle sistemde kesintiye neden olabilecek saldırılar olabilir. Bu nedenle varsaymak yerine, varsaydığınız her şeyi teknik kanıtlar ile doğrulamanız gerekir. Özetle, varsayımla değil, teknik kanıtlar ile ilerleyin. Elimizdeki cihazlar çok net sonuçlar veriyor, net olarak sonuçları görün, varsaymayın.

Öğrenmek için birkaç yılınızı harcamaya hazır olun: Sızma testi uzmanlığı kendi içerisinde alt dallara ayrılıyor, aşağıda belirteceğim. Bu alanların hangisinde uzmanlaşacak olursanız olun, sızma testi dışında o sistemleri kuran/yazan kişilerin bilgi seviyesine yakın bilginiz olması gerekiyor. Örneğin, basitte olsa bir web uygulaması geliştirecek seviyede yazılım bilgisi olmayan birisi web uygulama sızma testi uzmanı olamaz yada temel CCNA eğitim konularını bitirmemiş birisi network sızma testi uzmanı olamaz. Siz temel olarak DNS, DHCP, BGP, Session, HTTP vb. bir çok protokol ve servisi bilmeden onun ile ilgili bir zafiyeti nasıl tespit edebilirsiniz? Hayatınızda DNS sunucu kurmadan, DNS Zone transferi zafiyetini nasıl anlayıp, bu zafiyeti istismar edeceksiniz? Sadece internetten gördüğünüz iki satır komutu copy/paste yaparak sızma testi uzmanı olamazsınız. Bu olsa olsa ancak sızma testi operatörü olur. Hayatınız Dell IDRAC görmediyseniz, bunun ne işe yaradığını bilmiyorsanız, elinize IDRAC’in admin parolası geçse ne olacak? Ancak default parola kullanımı bulgusu yazabilirsiniz. Oysa bu zafiyet tüm sanal sunucuları, domain’i ele geçirebileceğiniz bir zafiyet olabilir. (IDRAC’in ne olduğunu bilirseniz, daha önce kendiniz bunu kurcaladıysanız !!!) Özetle, uzmanlaşmak istediğiniz alana göre en az bir network admin, sistem admin yada yazılımcı kadar o işi bileceksiniz ki o işin sızma testi uzmanı olabilin. Aksi taktirde, sadece tip and tricks’ler den copy/paste yapan, temel zafiyetleri bulabilen bir sızma testi uzmanında öteye geçemezsiniz.

Sızma Testi alanında çalışmak isteyen arkadaşların öncelikle kendilerine dikey de bir alan seçmeleri gerektiğini düşünüyorum. Bu alan dışında yan alan diyeceğim Sosyal mühendislik, DDoS gibi yan alanlar var, dikey deki uzmanlık ile birlikte bu alanda kendilerini geliştirmeleri iş bulma sürecinde kendilerine destek olacaktır.

Temel uzmanlık alanları

  • Yerel Ağ ve Sistem Sızma Testi Uzmanı
  • Web Uygulama Sızma Testi Uzmanı
  • Mobil Uygulama Sızma Testi Uzmanı

Yan dal olarak kendinizi geliştirebileceğiniz uzmanlık alanları

  • DDoS (Yan dal dediğime bakmayın içinde OSI Modeli, TCP/IP, UDP, ICMP, HTTP, NTP, DNS gibi bir sürü protokol servis var. Sadece bu başlıkların birisi için yazılmış 1000 sayfalık kitap var. TCP protokolü içindeki SYN Flag’ini anlamadan, SYN Cookie nedir bilmeden yapılan DDoS testleri ancak copy/paste komutlarından öteye geçemez örneğin.)
  • Sosyal Mühendislik (Bu size çok basit gelebilir, HTML, CSS, JS ile bir web sayfası yap, GoPhish üzerinden maili gönder, oldu mu sana sosyal mühendislik. Elbette oldu ama birazda oldu bittiye geldi. Hazırlayacağınız içerik insan psikolojisine dokunuyor. Bir soru, sosyal mühendislik testlerinden insanların hangi duygularına dokunmanız gerekir? Kevin abinin (Kevin Mitnick) kitaplarını okudun mu? Acındırma, suçluluk duygusu ve sindirme tekniği gibi teknikler neler, insan üzerinde nasıl etkiler ve sonuçlar yaratıyor anladın mı? Yapacak olduğun Sosyal mühendislik testini bu duygular doğrultusunda kurguladın mı? Oluşturduğun kurgu gerçekten bu duyguları karşı tarafta oluşturabiliyor mu? Eğer yapacak olduğun çalışmada bunlar yoksa iş yine copy/paste’den ibaret demektir.

Sızma Testi Uzmanlarının Teknik Dışı Kendini Geliştirmesi Gereken Konular

Unutma, yapacak olduğun işin büyük bir bölümü teknik bir iş olabilir ama hedefin bir çıktı üretmek (genellikle rapor, sunum vb.) ve bunu sunmak. İşi yapmak kadar onu zerafet ile sunmakta bir meziyet. Başarılı bir sızma testi gerçekleştirebilmek için öncelikle ilgili sistemi geliştiren, tasarlayan ekipler, kişiler ile güçlü bir iletişim kurman, onların neyi nasıl, neden yaptığını anlaman gerekiyor. Karşındaki kişilere sürekli süreç ile ilgili geri bildirimler vererek onların süreçten haberdar olmasını sağlaman gerekiyor. Sunmuş olduğu raporun dili, akışı, ekran görüntüleri, yönetici özeti gibi bölümler senin yaptığın teknik çalışmanın taçlandığı nokta. Şahin’e Ferrari motoru koysak bile kimse ona Ferrari demez, Ferrari’yi Ferrari yapan şey motoru kadar görüntüsü. Sende ne kadar başarılı işler yaparsan yap, bunu rapora, sunuma yansıtamıyorsan geçmiş olsun. Harcadığın emek ve zamanın bir kısmı boşa gitmiş demektir. Bu nedenle, iyi bir sızma testi uzmanı genel olarak aşağıdaki işleri, süreçleri yönetebilir olmalıdır.

  • Proje Yönetimi
  • Müşteri iletişimi ve Müşteri Memnuniyeti
  • Etkili iletişim (E-posta, Telefon)

Yeterince teknik olmayan konulara girip, sonuna kadar konuyu uzattığımıza göre 3, 2, 1 Action diyelim ve teknik konu ve kaynaklara girelim.

Yerel Ağ ve Sistem Sızma Testi Kaynaklar:

Bu alanda çalışmak isteyen arkadaşların müşteri iletişim yeteneklerinin diğer alanlara göre daha iyi olması gerektiğini düşünüyorum. Aynı zamanda diğer uzmanlık alanında görev alacak kişilere göre daha sabırlı ve ısrarcı bir karaktere ihtiyaçları var.

Örneğin, yerel ağ sızma testine gittiğinizde network yöneticisi size, ben zaten sana erişim yetkisi verdim, sen neyi test edeceksin ki, önemli olan ben sana erişim izni vermeden bunu yapabiliyor olman dediğinde buna sinirlenmeden, ben bu test ile size ağınıza yetkisiz dahil olmuş birisinin neler yapabileceğini yada içerideki kötü niyetli bir personelin ne gibi risklere neden olabileceğini göstereceğim diyerek önündeki en büyük engeller den birisi olan network yöneticisini geçebilecek iletişim becerisi, özgüvene sahip olması gerekiyor. Bazen bu işlemi BDDK, SPK, TCBM gibi regülasyonlar gereği test ediyor olabilirsiniz. Bakın BDDK’nın xx tebliğinde belirtildiği gibi, banka çalışanı profili ile bu testi yapmam gerekiyor diyebilecek seviye de tebliğ vb. bilmek gerekiyor.

Yerel ağ testlerinde en çok ihtiyacınız olacak bilgiler,

  • Network Bilgisi
  • Windows Sistem Yönetimi
  • Linux Sistem Yönetimi
  • Popüler IT çözümleri

Network alanında kendinizi kesinlikle geliştirmelisiniz, NAC nedir, nasıl çalışır? 802.1x nedir? ARP nedir? ARP protokolü nasıl çalışır? DHCP nedir, nasıl çalışır? DNS nedir, nasıl çalışır? Split DNS nedir? gibi gibi bir sürü soru var. Bunları temel olarak Cisco’nun CCNA gibi eğitim içeriklerinden kendinizi geliştirmeye başlayabilirsiniz. Aşağıda görebileceğiniz gibi giriş seviyesinden başlayan uzmanlık seviyesine kadar giden farklı eğitim ve sertifikalar var. CCNA başlangıç için fena değil sonrasında uzmanlaşmak istediğiniz alana göre aşağıdaki path’i takip edebilirsiniz. Bu linkten aşağıdaki görselin daha detaylı haline erişim sağlayabilirsiniz.

Windows Sistem Yönetimi: Active directory nedir? NTLM, NetNTLM nedir? Kerberos ticket nedir, nasıl çalışır? SMB nedir? Netbios nedir? IIS, File server, Print server, Sertifika servisi nedir, nasıl çalışır vs vs gibi bir sürü soru var. Özetle, daha nasıl çalıştığını bilmediğiniz bir sistemde adam akıllı zafiyet tespiti yapamazsınız. Yapacağınız şey en fazla öğrendiğiniz 3-5 yöntem ve zafiyet tarama aracını kullanarak herkesin bulabileceği zafiyetleri bulmaktan öteye geçemez.

Örneğin, Contoso A.Ş. adındaki bir kurum yerel ağ içerisinde contoso.local adında bir domain yapısı kurmak yerine contoso.com adında bir domain kursun, güvenli olması için test ortamınıda ayrı bir domain yapsın ve contoso-test.com adında ikinci bir domain kurmuş olsun. Şirket internete açık ortamda ise contoso.com.tr alan adını kullanıyor olsun. Bu durumu gördüğünüzde aklınıza ilg gelmesi gereken şey contoso.com ve contoso-test.com alan adları boş mu diye kontrol etmek olmalı. Çünkü ağdaki bütün domain’e bağlı cihazlar active directory sunucusu olan DC1.contoso.com ve DC1.contoso-test.com sunucusuna sürekli bağlanmaya çalışıyor. Eğer, contoso.com ve Contoso-test.com alan adları boşta ise ve siz bunlara dc1 için subdomain kaydı yaparak ilgili sunucularda responder gibi araçlar çalıştırırsanız kurum dışındaki domain’e join olmuş tüm cihazlar size hash gönderecektir. Yada fileserver.contoso.com gibi subdomain’ler ile sayısı kullanıcı adı/parola bilgisi toplayabilirsiniz. Ama bunu akıl etmek için önce domain’e join olmuş client nasıl çalışır, domain yapısı nasıl çalışır vs gibi konuları çoktan bitirmiş olmanız gerekir. Bu bilgiye sahip değilseniz ancak yerel ağa gider, responder açar, hash gelsin diye beklersiniz.

Bu gibi konuları öğrenmek için Microsoft’un temel Windows sistem yönetim eğitimlerine göz atmanız, kendinize bir Active directory kurmanız, biraz bunları kurcalamanız gerekiyor. Microsoft’un temel sertifikasyon path’i aşağıdaki gibi. Infrastracture’dan başlayarak, ilerlemek istediğiniz alana göre kendini geliştirebilirsiniz.

Linux Sistem Yönetimi: Sızma testi süreçlerinde kullanacak olduğunuz bir çok araç Linux işletim sistemleri üzerinde çalışıyor. Hatta o kadar çok araç varki, Kali adını verdiğimiz, bu araçların toplandığı bir Linux Distribution bile var. Linux konusunda kendinizi yeterince geliştirmemiş olursanız, testler esnasında sürekli sorunlar yaşar, araçların kütüphane sorunlarını çözemez, uygulamaları tam anlamı ile verimli kullanamaz ve saatlerinizi boşa harcarsınız. Bu konu kendinizi geliştirmek için
Linux Professional Institute tarafından hazırlana LPIC-1 sınavlarınıza hazırlanmanızı, sınav olmasa bile bu sınavın eğitimlerini alarak Linux tarafında kendinizi geliştirmenizi öneririm. Bu eğitim içeriği temel olarak hangi konuları içeriyor diye soracak olanlar bu linkten içeriğe göz atabilir. Temel Linux eğitimini tamamladıktan sonra “Linux Basics for Hackers” kitabına göz atabilirsiniz.

Kali işletim sistemini kendi sitesinde belgeler bölümü var. Buradaki kaynaklara göz atabilirsiniz. Örneğin, sanal Kali makine kullanıyorsunuz, fiziksel bilgisayarınıza USB disk taktınız, bunu nasıl mount edeceksiniz, yazma yetkilerini nasıl ayarlayacaksınız? Linux bir makineye sızdınız, ilerlemek için nasıl yetki yükselteceksiniz? (SUID ve GUID nedir mesela?) Kernel sürümünde zafiyet var mı diye bakacaksınız ama kernel sürümünü nasıl bulacaksın? Kali Linux Revealed Course (PEN-103) eğitim içeriklerine, kitaplarına bakabilirsiniz.

Popüler IT çözümleri: Bu başlığın altını doldurmak biraz zor açıkası,çok fazla ürün ve çözüm var ama temel olarak VMware, jenkins, Dell IDRAC, HP ILO, PRTG, MongoDB, Redis, ManageEngine ürün aile grubu, popüler firewall cihazları (Fortigate, Checkpoint, Juniper v.b), Solarwinds, Docker, Kubernets, ITSM çözümleri vb. bir çok adı aklıma gelmeyen çözüm var. Bunları biraz saha da tecrübe etmeye başladıkça öğreneceksiniz ama bu çözümlerinde temel olarak ne yaptığını, ne gibi özellikleri olduğunu temel seviyede biliyor olmanız gerekiyor. Örneğin, ManageEngine ADSelfService Plus ürünü gördünüz, varsayılan parolayı girdiniz (admin/admin), Hop içerideniz, artık admin sizsiniz. Peki buna ne bulgusu yazacaksınız? Sadece varsayılan parola kullanımı mı? Bu ürün AD üzerindeki tüm kullanıcıların parolasını değiştirebilecek yetkiye sahip bir kullanıcı adı/parola içeriyor. Eğer doğru bir şekilde ilerleyebilirseniz bu parolayı ele geçirebilirsiniz.

Öğren, öğren bitmedi, biz ne zaman sızma testi uzmanı olacağız arkadaş dediğinizi duyar gibiyim. 🙂 Maalesef bu yol uzun soluklu bir yok ve neredeyse sonu yok gibi bir şey. Temel network bilgimiz tamam, Windows, Linux işini çözdük ve temel olarak kurumsal yapıda çalışan bir IT altyapısındaki Firewall, Proxy, IPS/IDS, Mail Security çözümlerini öğrendiysek artık sızma testi uzmanı olmak için gerekli eğitim, sertifikalar almaya başlayabiliriz demektir. Yukarıda belirtiğim altyapıya sahip olmadan tamamen sızma testi odaklı alacağınız eğitim ve sertifikaların altı biraz boş kalacaktır. OSCP’niz olabilir ama daha BGP’nin BGP hijacking’in ne olduğundan haberiniz olmaz. 802.1x den haberiniz olmaz, EAP, PEAP nedir bilmezsiniz. Biz kendi aramızda bu tip arkadaşlara etiket güzel ama içi boş çıktı diyoruz. Etiketiniz kadar içinizde dolu olsun istiyorsanız temel olarak yukarıda bahsettiğim konulara bir bakmanız gerekiyor.

Yukarıdaki süreçleri tamamladıktan sonra sızma testi özelinde kitaplara odaklanmanızı öneririm. Kitap ismi vererek reklam yapmış olmak istemem, Türkçe kaynaklarda var, yabancı kaynaklarda var. Türkçe kitapları zaten çok hızlı bir şekilde bulabilirsiniz, yabancı kitapları da google’a penetration testing books yazdığınızda çok fazla kitap görebilirsiniz. Ben geçmişte karıştırdığım aklımda kalan bir kaç kitabı ekleyeceğim. OSCP, CRTO, Network+, Pentest+, GPEN vb. sertifikasyonalara hazırlanabilirsiniz. Buradan sonrası artık teferruat açıkcası, siz sağlam bir temel almış olacaksınız, bundan sonraki süreç, taktik, teknik ve araçları öğrenip, kendinizi geliştirmenize bakıyor. Bu süreçte kullandığınız araç, taktik ve teknikleri ezberlemeyin, mantığını, nasıl çalıştığını anlayın.

Kitaplar: (Bu kitaplar biraz eski bilgiler içeriyor olabilir. Benim 2010-2020 arasında okuduğum kitaplar, daha güncellerini bulup, okuma işini size bırakıyorum.)

  • Metasploit: The Penetration Tester’s Guide
  • Penetration Testing: A Hands-On Introduction to Hacking
  • Bilişimin Karalık Yüzü
  • The Hacker Playbook 3: Practical Guide To Penetration Testing
  • Nmap Network Scanning: The Official Nmap Project Guide to Network Discovery and Security Scanning

Kitaplar dışında takip edebileceğiniz sayısız blog, medium, github kaynağı var, bunlarıda rss feed ile takip edin, güncel ataklardan, araçlardan haberiniz olsun. Aklıma gelen ilk bir kaç kaynak şu şekilde,

https://adsecurity.org

https://pentestmonkey.net

https://feedly.com/i/top/pentest-blogs (Çok fazla blog içeriyor.)

SANS, ISC, Comptia, OffSec vb. kuruluşları takip edin. Siber güvenlik alanındaki uzman kişilerin twitter (X), Linkedin vb. sosyal medya hesaplarını takip edin. Reddit (netsec, redteam), github yoldaşınız olsun, buradan sonrası sizin enerjinize kalmış…

Web Uygulama Sızma Testi Kaynaklar:

Web uygulama sızma testi uzmanı olabilmeniz için öncelikle en az bir programlama dili ile küçük/orta ölçekli bir web uygulama geliştirmeniz gerekir. Session ne, cookie ne, HTTP GET/POST/PUT/Delete ne gibi sorulara cevap vermeden. DB’ye hangi kullanıcı yetkileri ile bağlandığınızı bilmeden sadece xp_cmdshell sql bilerek web uygulama sızma testi uzmanı olunmaz. Bir web uygulama geliştirerek önce yapıyı, sistemi bir anlayın, public directory ne? include() görünce neden gözlerini fal taşı gibi açman gerekiyor? JWT’nin ne olduğunu mu bileceksin yoksa sadece zafiyetini kontrol etmeyi mi öğreneceksin? phpinfo sayfasını gördüğünde neye bakacaksın? yoksa sadece ekran görüntünü alıp, bulgunu yazıp etiketli ama içi boş sızma testi uzmanlarından mı olacaksın? Özetle, önce web developer olacaksın, sonra web uygulama sızma testi uzmanı olacaksın. Hatta hakkı ile sızma testi uzmanı olmak istiyorsanız, farklı web uygulama geliştirme dillerinin güçlü ve zayıf yanlarını bilmeniz gerekiyor. Örneğin, NodeJS ile geliştirilmiş bir uygulama test edecekseniz built-in crypto kütüphanesinin kullanılması ile Bcrypt/Scrypt kütüphanelerinin kullanılması arasında fark var. Eğer siz yeterli seviyede NodeJS bilgisine sahip değilseniz testler esnasında bunu kontrol etmeyecek ve belki de önemli bir bulguyu kaçırıyor olacaksınız.

Web uygulama tarafında kendinizi geliştirdikten sonra OWASP zafiyetleri, OWASP Testing guide, Burpsuite academy gibi kaynakları bitirmeniz gerekiyor. Sızma testinin hangi alanında olursanız olun, teorik bilgi ile yetinmeyin, kesinlikle lab ortamında ilgili zafiyetleri görün istismar edin ve tam olarak nasıl çalıştığını anlayın. Aksi taktirde, çok bilen, çok konuşan ama icraat aşamasında sınıfta kalan sızma testi uzmanlarından olursunuz. Uygulama yapmak için Hackthebox vb. alternatif kaynakları kullanabilirsiniz. JuiceShop vb. zafiyetli uygulamaları kurun, write up’larına bakmadan kendinizi test edin, eksik olduğunuz yerleri keşfedin ve bunların üzerine çalışmaya devam edin. Aşağıda linkine yer verdiğim araçları araştırın, özellikle Burpsuite, OWASP ZAP araçlarını gözünüz kapalı kullanabilecek seviyeye gelin.

Kitap:

  • Yazılım güvenliği Bünyamin Demir
  • Web Application Hacker’s Handbook

OWASP Testing Guide

OWASP API Security – Top 10 (2023)

OWASP Web Application Test Araçları

Mobil Uygulama Sızma Testi Kaynaklar:

Android, iOS işletim sistemini bilmeden, burada kullanılan Flutter gibi teknolojileri bilmeden mobil uygulama sızma testi tarafında başarılı olabilmeniz mümkün değil. Her zamanki gibi önce teknolojiyi, platformu, geliştirme süreçlerini anlayın, belki basit bir app yaparak kendinizi geliştirin, sonra aşağıdaki OWASP kaynaklarından kendinizi geliştirin. OWASP size hem zafiyetleri anlayacağınız kaynaklar, hem testler sürecinde kullanabileceğiniz araçlar, hemde bunları öğrendikten sonra pratik yapabileceğiz zafiyetli uygulamalar sunuyor. Test süreçlerini, zafiyetleri ve araçlarını öğrenme sürecini tamaladıktan sonra mutlaka zafiyetli uygulamalar üzerinde testler yaparak kendinizi geliştirin.

OWASP MASTG

Android Security Testing

iOS Security Testing

Mobil Uygulama Sızma Testi Süreçlerinde Kullanabileceğiniz Bazı Araçlar

Zafiyetli Mobil Uygulamalar

Kitap:

  • The Mobile Application Hacker’s Handbook

DDoS Kaynaklar:

En kısa zamanda bu alanda içerik eklenecek. Çok merak ediyorsan OSI modeli, Wireshark/TCPdump açıp paket analizi ile çalışmalara başlayabilirsin. Bende ilk fırsatta senin için bir şeyler hazırlıyor olacağım.

Sosyal Mühendislik Kaynaklar:

En kısa zamanda bu alanda içerik eklenecek. Çok merak ediyorsan vazgeçilmez bir klasik olan Kevin Mitnick’in aldatma sanatı kitabı ile kendini geliştirmeye başlayabilirsin. Sosyal mühendislik çalışmalarında araç ve yöntemler değişebilir ancak temel de insan psikolojisi ve insan zaafları var. Teknik olarakta bir gophish kurup denemeler başlayabilirsin. (Evdeki bilgisayarına kurduğun bilgisayardan kendi gmail, hotmail’ine mail atarsan gitmez, Türkiye’de ev kullanıcılarının SMTP portu(port 25) kapalı. DigitalOcean, AWS, Azure gibi platformlarda kuracağın bir sunucu üzerinde kurarak ilk gönderimini yapabilirsin. Swaks ile open relay, email spoof testleri yaparak başlamakta hiç fena bir başlangıç olmayabilir.

Göz Atabileceğiniz Diğer Kaynaklar:

Çok uzun bir içerik oldu, kafa şişirmiş olabilirim ama bu alanda çalışmak isteyen arkadaşların gerçekte nelerle karşılacağınız, nasıl bir serüvenin onları beklediğini bilmelerini istedim. İlk bakışta zor ve başarılması güç bir yolculuk gibi görünse de, pes etmeyen karakterler için gerçekten keyifli ve öğretici bir yolculuk. Yukarıdaki bilgiler eşliğinde hala bu alanda çalışmak istiyorsan, hadi durma çalışmaya başla ve kendini geliştir. Sektörün bilgili, kaliteli işler çıkartabilecek bir çok taze kana ihtiyacı var.

Share Button

Oca 16

Nessus Truncated Packets Uyarısı

Sızma testleri konusunda çalışan birçok arkadaşımın yoğun olarak kullandığı Nessus zafiyet tarama aracı zaman zaman bulunduğumuz ağ ve altyapı durumlarına bağlı olarak bize farklı uyarılar verebilmekte.

Özellikle bazı hata mesajları önemli olabiliyor, hata mesajları dikkate alınmadığında tarama soruçları hatalı olabiliyor, host kaçırma veya bulgu kaçırma gibi durumlar ortaya çıkabiliyor. Bu nedenle alınan hata mesajları dikkatli bir şekilde incelenmeli, hata mesajlarının sebebi analiz edilmeli ve hatanın sebebini tespit ederek ortadan kaldırmak gerekiyor. Aksi bir durumda tarama sonuçlarına güvenebilmek mümkün deği.

Aşağıdaki gibi bir hata mesajı alıyorsanız taramalarınızı durdurmanızı ve Nessus’un Settings > Advanced > Scanning alanındaki “PCAP Snapshot Length” değerini 1471 olarak set etmenizi öneririm.

Not: 1471 değeri bulunduğunuz ağ, işletim sistemi vb. değişkenlere göre değişiklik gösterebilir. Aşağıdaki komut ile sizin için ideal MTU değerini tespit edebilirsiniz. -s parametresi ile belirtilen değer MTU değeridir ve ifconfig çıktısında MTU değeriniz 1500 ise kullanabileceğiniz max MTU değeri 1472 olabilecektir. Mevcut MTU ifconfig komutu ile kontrol edilebilir.

eth0: flags=4163 mtu 1500
inet 10.100.0.18 netmask 255.255.255.0 broadcast 10.0.0.1
inet6 fe80::20c:29ff:fe48:4343 prefixlen 64 scopeid 0x20
ether 00:0c:29:48:43:43 txqueuelen 1000 (Ethernet)
RX packets 13791131 bytes 1986150467 (1.8 GiB)
RX errors 0 dropped 50 overruns 0 frame 0
TX packets 18092723 bytes 1333740993 (1.2 GiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

Bu bilgi sadece sorunu çözmeniz için yeterli, işin mühendislik tarafını merak eden arkadaşlar aşağıdaki konu ve soruları araştırarak konu hakkında derinlemesine bilgi edinebilir.

ping -M do -c 4 -s 1473 10.0.0.1

ping -M do -c 4 -s 1472 10.0.0.1

ping -M do -c 4 -s 1471 10.0.0.1

Örnek Nessus Truncated hata mesajı:

A packet with actual length of 2802 bytes was truncated to 1524 bytes. The current snapshot length of 1524 for interface 'eth0' is too small. Consider either setting the pcap.snaplen preference to at least 2802 or ensuring your network is configured so that packets received by the OS are not greater than the device's MTU.

Kaynaklar:

MTU nedir?

IP fragmentation nedir?

Linux MTU ayarları

Share Button

Ara 18

Nessus Tarama Sorunu (Network Congestions, Truncated)

Nessus taramaları sonucunda zaman zaman network ayarları nedeni ile sorunlar yaşanabiliyor, bunu Nessus taraması ekranında “Notes” bölümünde aşağıdaki hata olarak görüyoruz.


Bu sorunun kaynağı genellikle 2 sebepten oluyor,

1- Makineye yeterli miktarda bandwidth olmaması

2- MTU değerinin düşük olması.

VMware de bunu aşağıdaki şekilde düzeltebilirsiniz.

MTU değeri max 9000 olarabilir, bu şekilde yapılandırılması önerilir.

Bandwidth değerinin unlimited olması önerilir.


Share Button

Kas 14

Ubuntu Resolv.conf Dosyasının Reboot Sonrası Değişmesi Sorunu

Bir öğrencimin sorusu üzerine bu içeriği yazıyorum, gelecek benzer soruları bu link ile yanıtlayabilmek için.

Eski linux kullanıcıları DNS değişikliği için resolv.conf dosyasını kullanırlar ancak systemd ile birlikte bu dosyada yapacağınız değişiklikler her reboot sonrasında gidiyor ve her reboot sonrasında dns sorunu yaşıyor kullanıcılar.

DNS değişikliğini resolv.conf dosyasından yapmak yerine aşağıdaki gibi yapmaları durumunda DNS sorunu yaşayacaklardır.

/etc/systemd/resolved.conf dosyası içerisindeki [Resolve] başlığı altında yer alan DNS parametresinin başındaki comment(#) işaretini kaldırarak aşağıdaki gibi düzenlersek reboot sonrasında dns sorunu yaşamayacaktır.

DNS=8.8.8.8

Konu ile ilgili olarak detaylı bilgi edinmek isteyen arkadaşlar systemd nedir, systemd-network ve

systemd-resolve nedir konularını araştırabilirler.

Share Button

Kas 06

NMAP Tarama Sonucunda HTML Rapor Oluşturmak

Uzun bir aradan sonra 5 dk vakit ayırıp kendime ufak bir not bırakmaya ve insanlara faydalı olabilecek bilgiyi internet boşluğuna bırakmaya karar verdim. Yıllardır kullandığım ve her ihtiyaç olduğunda ya onu nasıl yapıyorduk dediğim bilgiyi kendi bloguma eklemeye karar verdim, faydalı olması dileğiyle.

Malum bir çok pentest, güvenlik işi yapan kişinin vazgeçilmez araçlarından birisi nmap, bu araç ile elde ettiğiniz bilgileri zaman zaman müşterileriniz ile paylaşmanız veya rapora eklemeniz gerekiyor. Bu gibi durumlarda ben nmap sonucunu HTML olarak çıkarmayı ve raporlamayı tercih ediyorum. Bu işlemi aşağıdaki gibi gerçekleştiriyorum.

Gereksinim:
Bu işlemi gerçekleştirmek için “xsltproc” aracına ihtiyacınız olacak, kali işletim sisteminde repo da bu araç mevcut, kurulum için,

sudo apt-get install xsltproc

NMAP’in -oX parametresi ile XML olarak almış olduğumuz çıktıyı xsltproc aracına girdi olarak vererek html çıktı alabiliyoruz, örnek komut aşağıda gibi.

xsltproc PortScan.xml  -o “PortScanHTMLReport.html”

İşlem sonrasında oluşacak HTML raporun örnek görüntüsü aşağıdaki gibidir,

Yukarıdaki adımları tek bir seferde gerçekleştirmek için aşağıdaki şekilde bir komut kullanılabilir.

sudo apt-get install xsltproc -y && nmap -sV -Pn –open -n –top-ports 1000 172.16.1.0/24 -oX scan.xml && xsltproc PortScan.xml  -o “PortScanHTMLReport.html”

Share Button