bWAPP Broken Authentication - CAPTCHA Bypassing | (Low,Medium,High)
#bwapp #bwappBrokenAuthentication #CaptchaBypassing
Bu videomda, Broken Authentication - CAPTCHA Bypassing Anlatmaya Çalıştım. Faydalı olmalısı dileğiyle..
Videonun hazırlanmasın da emeği geçen anlatan #UmutDenizYİĞİT Arkadaşıma teşekkür ediyorum...
Türkiye'nin Siber Güvenliğe dair Bilgi, Ücretsiz Eğitim, Iş ilanları ve Haberlerin paylaşıldığı kanalımıza hepimiz hoşgeldiniz.
Siber Kavram; Siber güvenlik ile ilgili dokümanların, blog yazılarının, haberlerin, kariyer fırsatlarının, Quiz'lerin ve ücretsiz faydalı eğitimlerin paylaşıldığı YouTube ve Telegram kanalıdır.
Web: https://siberkavram.com
Telegram: @siberkavram
YouTube: / @siberkavram
LinkedIn: / siberkavram
Instagram: / siberkavram
Facebook: / siber.kavram
Twitter: / kavramsiber
►BROKEN AUTHENTICATION - CAPTCHA BYPASS (LOW - MEDIUM - HIGH) SIZMA ADIMLARI►
1-İlk olarak bu yapacağımız Captcha atlatma işlemini (resmi çözümleyerek içindeki kodu deşifre etme) gerçekleştirmek için uygun programı arıyoruz.(Bu örnekte chrome web mağazasından uzantı olarak indirilmiştir.)
2- İndirdiğimiz uygulamanın kurulumunu kutu içindeki yerden tamamlıyoruz.
3- Sağ üstte görüldüğü gibi uygulamamız, tarayıcımıza eklendi.
4- Şimdi bWAPP'ı açıp saldırı türümüzü seçip zorluk seviyesini belirliyoruz.
5- Kullanıcı adı ve şifremizi girdikten sonra CAPTCHA resmine sağ tıklayarak resmi çözümlemesi için uygulamamızı seçiyoruz.(Burada ekran resmi almaya çalışırken sağ tık penceresi kapandığı için sağ tıkta seçmeyi göstermedim ancak videoda var.)
6- Bu işlemi de tamamladıktan sonra CAPTCHA kodumuzu gireceğimiz, kutu içine alınmış bölgeye de önceki adımdaki gibi sağ tıklayıp uygulamamızı seçiyoruz.
7- Bunu yapınca yüklediğimiz uygulama, ilk olarak seçtiğimiz resimdeki çözümlediği CAPTCHA kodunu daha sonra tıkladığımız alana yerleştiriyor. Böylece ByPASS işlemi gerçekleşmiş oluyor.
8- Medium zorluğunda da aynı işlemleri yapınca başarılı oluyoruz.
9- Ve high seviyesinde de değişen bir şey olmuyor. Böylece üç seviyede de zaafiyeti kullanabiliyoruz.
BROKEN AUTHENTICATION CAPTHCA BYPASS KORUMA İŞLEMİM
1- İlk olarak açık olan sayfanın php dosyasının konumunu tespit ediyorum.
2- Sonra o sayfanın Captcha kutucuğunun nereyle bağlantılı olduğunu öğreniyorum.
3- Bağlantıyı tespit ettikten sonra bize gösterilen php dosyasına ulaşıyorum.
4- Dosyanın içine, daha önce kendi Captcha'mı oluşturmak için kullandığım kodların resim oluşturmak için gerekli olan kısımları atıyorum ve bunu şimdiki orijinal Captcha resminin oluşturulduğu php dosyasının içine yerleştiriyorum.
5- Bunu yapmamın sebebi Captcha resminin üzerine, o resmi seçememesi için yeni oluşturduğum transparan resmi yapıştırmak. Yani sağ tıkladığımda programın seçtiği resim artık Captcha kodu barındıran resim değil, benim üzerine yeni oluşturduğum transparan resim oluyor.
6- Kodların devamı...
7- bWAPP'e gelip sağ tıklıyorum.(sağ tık screenshot sırasında kapandığı için o halini gösteremiyorum) Resmi seçip bir aşağısındaki kutuya sonucunu yapıştırmak istediğimde...
8- Üstteki resimde çözümleyecek bir kod olmadığı ve alttaki resmi de seçemediğim için program yazacak bir şey bulamıyor. Böylece açığı basit de olsa bir anlamda kapatmış oluyorum.
Video hoşunuza gittiyse desteğinizi göstermek adına beğenmeyi ve kanala abone olmayı unutmayın.Diğer eğitimlerimiz için takipte kalın :)
İZLEDİĞİNİZ İÇİN TEŞEKKÜR EDER,FAYDALI OLMASINI DİLERİM.
Bir Sonraki Eğitimde Görüşmek Dileğiyle...
#captchabypassing #owaspauthentication #owaspbrokenauthentication #captchabypassing #captchasolverservice #autocaptchasolver #otomatikcaptch #bwappcaptha #bwapplow #bwappmedium #bwapphigh #bwappbypassing #captchabypassing
A2 - Broken Auth. & Session Mgmt.
Broken Authentication - CAPTCHA Bypassing
Broken Authentication - Forgotten Function
Broken Authentication - Insecure Login Forms
Broken Authentication - Logout Management
Broken Authentication - Password Attacks
Broken Authentication - Weak Passwords
Session Management - Administrative Portals
Session Management - Cookies (HTTPOnly)
Session Management - Cookies (Secure)
Session Management - Session ID in URL
Session Management - Strong Sessions