Herkese merhaba! Bu videoda, web güvenlik açıklarıyla ilgili tecrübenizi geliştirecek önemli bir konuyu ele alıyoruz. Web sitelerindeki açıkları tespit etmek için çeşitli güvenlik tarayıcıları ve yazılımlar kullanıyoruz; ancak unutmayın, bu araçlar her zaman %100 doğru sonuçlar vermez.

Bu nedenle, tecrübeye dayalı farklı bakış açılarıyla güvenlik açıklarını değerlendirmek, çok daha sağlıklı ve isabetli sonuçlar elde etmemizi sağlar. Bu videoda, gerçek bir senaryo üzerinden ilerleyerek, bir açığın nasıl fark edildiğini ve hangi yollarla analiz edildiğini adım adım inceleyeceğiz.

Hedef web sitemizde bir LFI (Local File Inclusion) güvenlik açığı olup olmadığını araştırmak istiyoruz. Bunun için ilk adım, sitedeki sayfaları ve bu sayfalarda kullanılan parametreleri tespit etmek olacak. Bu noktada, işimizi oldukça kolaylaştıran araçlardan biri de GoSpider.

https://github.com/jaeles-project/gospider

gospider -s https://hedefsite.com

GoSpider, bir web sitesini tarayarak bağlantıları, formları ve potansiyel parametreleri hızlıca çıkartmamıza olanak tanır. Böylece elle uğraşmadan, hedef analiz için ilk adımı atmış oluruz.

Tespit ettiğimiz linkleri, LFI açıklarını taramak için geliştirilmiş lfinder aracıyla analiz ediyoruz. Ancak unutulmamalı ki, eğer lfinder herhangi bir açık tespit edemezse, bu sitede mutlaka güvenli bir yapı olduğu anlamına gelmez. Bu noktada farklı bakış açıları ve alternatif test yöntemleriyle tekrar değerlendirme yapmak kritik önem taşır.

https://github.com/vffuunnyy/lfi-finder

lfinder -u "http://example.com/?page=" Uygulama Makinesi : https://tryhackme.com/room/lofi