Güvenlik Laboratuvarı SİSTEM ÇEVRİMİÇİ

Yetkili sızma görevi · sorumlu açık bildirim

Geleceğin mühendisleri, bir açığın peşinde.

Sanalşehrim Güvenlik Laboratuvarı'na hoş geldin. Burası izinli bir sızma poligonu. Sanalşehrim, şehrin ve geleceğin uygulaması; onun işletme modülünde bir SQL injection açığı olduğu ihbar edildi. Görevin onu bulmak, kanıtlamak ve neyin sızdığını bir araştırmacı gibi raporlamak.

kapsam içi tek sistem: pentest.sanalsehrim.com · veriler uydurmadır

01 / GÖREV

Görev dosyası

Sıra, gerçek bir sızma testinin sırasıdır: önce dinle, sonra kanıtla, sonra raporla. Aceleye getirme, sistemin sana ne söylediğini oku.

01 · KEŞİF

Sistemi tanı

Uygulamada dışarıdan gelen girdinin nereye dokunduğunu bul. Adres satırındaki ve formlardaki her parametre bir soru işaretidir. Sistem beklenmedik bir şeyle karşılaşınca sana ne söylüyor, onu dinle.

02 · SIZMA

Açığı kanıtla

Bir girdinin sorgunun içine karıştığını fark ettiysen, onu kendi lehine çevirebilir misin? Amaç, normalde görmemen gereken bir kaydı ekrana düşürmek. Nereye kadar gidebildiğini gör.

03 · RAPOR

Bulguyu yaz

Neyi, hangi sayfada, hangi girdiyle açığa çıkardığını not al. Bir esnafın bilgisi açıkta kaldıysa, işte raporunun konusu bu.

02 / KAPSAM

Kapsam ve kurallar

Kapsam içi

  • Yalnızca pentest.sanalsehrim.com
  • İşletme listesi: /listproducts.php?cat=
  • Esnaf girişi: /login.php
  • SQL injection ile veri okumak, giriş atlatmak

Kapsam dışı

  • Başka her site ve her gerçek sistem
  • Servisi yormak, çökertmek, silmek, değiştirmek
  • Başkasının oturumunu bozmak
  • Burada öğrendiğini izinsiz bir yerde denemek
03 / KURAL

Önemli uyarı

Bu bir izole eğitim kopyasıdır

Bu sistem gerçek Sanalşehrim altyapısından tamamen ayrıdır. Buradaki her isim, telefon, adres ve parola uydurmadır; gerçek bir esnafa ya da müşteriye ait değildir.

İzin verilen tek yer burası. Gerçek sistemlere izinsiz sızmak bir merak değil, suçtur (Türk Ceza Kanunu 243 ve 244). Bir sistemin açığını bulursan onu kötüye kullanmak için değil, sahibine bildirip korumak için kullan.

Kural basit: sadece burada, sadece izinle, sadece öğrenmek için.

Sanalşehrim · geleceğin mühendisleri programı

Bir şehri korumak, onu tanımakla başlar.

Sanalşehrim mahallenin uygulaması. Mahalleyi korumak da onun işi. Bu yüzden güvenliği bir kişiye değil, bir nesle emanet ediyoruz: bugün burada açık arayan siz, yarın gerçek sistemleri ayakta tutacaksınız.

Göreve başla