Neler yeni
Kullanıcı:
Bughane Academy

Bughane Academy, bug bounty, web güvenliği ve sızma testi alanında kendini geliştirmek isteyenler için kurulmuş Türkçe odaklı bir topluluktur.

Burada; gerçek güvenlik açıkları, recon ve exploit teknikleri, payload & bypass yöntemleri, araçlar, scriptler ve write-up’lar topluluk tarafından paylaşılır ve tartışılır.

Birlikte öğren, birlikte üret, birlikte güçlen.

Bir Login Sayfası Kaç Farklı Şekilde Hacklenebilir?

Zeki Kayaalp

Zeki Kayaalp

Moderator
Usta Avcı
Katılım
2 Ocak 2026
Mesajlar
107
Tepkime puanı
123
Puan
43

Bir Login Sayfası Kaç Farklı Şekilde Hacklenebilir?





Bir hacker login sayfasına baktığında normal bir kullanıcıdan çok daha farklı şeyler görür ve planlar.

1*iY6wGO882dnHP1M7v7FdGw.png


Peki login ekranı sadece sıradan bir giriş sayfası mıdır?

Elbetteki durum bildiğinizden çok daha farklı. Çünkü sıradan sanılan login ekranı aynı zamanda şu bileşenlerden oluşuyor:

Kod: 
Authentication( kimlik doğrulama)
Authorization (yetkilendirme)
session Management (Oturum yönetimi)
MFA (Çok faktörlü kimlik doğrulama) 
Password Reset
OAuth/ SSO
API Katmanı
Reverse Proxy
WAF
Cache Katmanı


Bu yüzden login ekranı sadece sıradan bir login ekranı değil aynı zamanda bir çok saldırıya açık bir zafiyet oturumudur.

Bu yazımızda şu sorulara cevap vermeye çalışacağız:


Bir login ekranı gerçekten sadece kullanıcı adı ve şifre alanından mı ibarettir?
[B][/B]
[B]Bir pentester bu ekrana baktığında neden onlarca farklı saldırı senaryosu görür?[/B]
[B][/B]
[B]MFA bulunan bir sistem gerçekten güvenli midir?[/B]
[B][/B]
[B]Login ekranından başlayarak bir hesabın ele geçirilmesine kadar giden süreç nasıl işler?[/B]
[B][/B]
Bu yazıda bir pentesterin login mekanizmasına nasıl yaklaştığını ve hangi kritik noktaları test ettiğini adım adım inceleyeceğiz.

Bismillah..

1*rdRVLAKUB7Sw7r5WGRKoxg.gif

Kullanıcı Adı Enumeration (Kullanıcı Doğrulama Sızıntısı)


Çoğumuza sıradan gelen fakat aslında bir veri sızıntısı olan , sistemin kullanıcı varlığını açıklayıp açıklamadığı bu zafiyet login ekranında aranan ilk zafiyetimiz olacaktır.

Normal şartlarda Kullanıcı adı kısmında random bir isim girdiğinizde şöyle bir uyarı almanız gerekiyor:

1*5ECpjkmvcdpVUF5Zo75GkA.png

Burada zeki kayad kullanıcısı sitede kayıtlı mı dğeil mi onu test ettik.

Çok sıradan ve basit görünen bu durum tek başına elbette büyük bir data leak değildir lakin bu hata sonraki saldırıların temelini oluşturur.

Bu durum şu 3 şekilde incelenebilir :

Geçerli kullanıcıların tespit eidlmesi

Hedef listesi oluşturulması

Password sparing saldırıları gerçekleşebilir
Genişletmek için tıkla ...



BRUTE FORCE KORUMASI



Login ekranınızda bir kullanıcı çok fazla deneme yaptığında hesap kitleniyor mu?

CAPCTHA var mı?

1*SzlTuMlO3KWYU2FIDJpISg.gif



Rate Limit uygulanıyor mu?

Uygulanmıyorsa aynı anda atılacak milyonlarca istek nasıl kontrol ediliyor?

1*YsJ8pOTAX1c6PXDtsA21kg.gif
IP bazlı koruma var mı?

Kullanıcı bazlı koruma var mı?

Kontrol edilmeyen login endpointleri yüz binlerce denemeye maruz kalabilir.



Credential Stuffing



Buradaki saldırı yüzeyi şöyledir: Farklı mecralardan toplanılan kullanıcı bilgileri denenerek hesap ele geçirilme yapılmaya çalışılır.

Linkedln veri sızıntısı, adobe ,canva, forum gibi yerlerden kullanıcılar aynı paroları tekrar kullanıyorsa pentesterlar da bu şifre ve kullanıcı adlarını tekrar kullanarak hesabı çalarlar.



SQL Injection

SQL injection saldırılarını detaylıca anlatmamıza gerke yok burada. Login ekranında en çok denenen ve başarıya ulaşan saldırı türlerinden biri de budur. Burada temel hedef kimlik doğrulamayı atlatarak database sızmaktır.

Detaylı bilgi için:

SQL İnj Sistemi Nasıl Manipüle Eder?​

SQL İnj Sistemi Nasıl Manipüle Eder? XSS sistemi nasıl manipüle eder yazımızdan sonra şimdi de SQL sistemi nasıl…​

zekikayaalp.medium.com




Session Prediction

Bazı uygulamalar tahmin edilebilir, düşük entropili session üretir. Bunun sonucunda ise şöyle bir saldırı yüzeyi ortaya çıkabilir:

Kod: 
session=10001
session=10002
session=10003

Bu şekilde başkasına ait oturumlar tahmin edilebilir hale gelir.



MFA Bypass

Hepimiz özellikle instagram gibi yerlerde çok katmanlı kimlik doğrulama görüdük mü kendimizi tamamen güvende hissederiz lakin durum pek de öyle değil.

MFA’nın varlığı ilk kritik noktadır.

Bazı sistemlerde:

— MFA sadece aktif edilebiliyor ya da ilk login’den sonra öneriliyor

Bu durumda saldırgan:

— MFA hiç aktif edilmemiş hesapları hedefler ya da MFA’sız fallback login akışını kullanır

Kritik hata:
[COLOR=rgb(250, 197, 28)]Backend tarafında MFA enforcement yoksa, frontend kontrolü hiçbir şey ifade etmez.[/COLOR]

genelde şu akışla çalışır:

Kod: 
1. Username + Password
2. MFA Challenge (OTP / Push / TOTP)
3. Session Creation
Ama zayıf sistemlerde:

  1. adım kontrol edilmeden 3. adıma geçilebilir
Direkt session üretimi yapılabilir

Örnek mantık hatası

endpoint’i MFA doğrulaması olmadan çalışıyorsa MFA tamamen bypass edilir.




Remember Me / Device Trust Zafiyetleri

Remember me özelliği çoğu zaman MFA bypass zincirinin en zayıf halkasıdır.

Riskli durumlar:

Cihaz doğrulaması sadece cookie’ye bağlı

Device fingerprint zayıf

Token süresi çok uzun

MFA sadece ilk login’de isteniyor

Bu durumda:

Bir kez login olan cihaz tekrar MFA sormadan erişir

Cookie çalınırsa MFA tamamen devre dışı kalır

Gibi saldırı yöntemleri ve sistem zayıflıkları ile MFA atlatılabilir.




Race Condition

Race condition saldırısı [COLOR=rgb(184, 49, 47)]aynı zamanda iki farklı isteğin[/COLOR] sunucuya düşerek sistemin manipüle edilmesidir. Sisteme aynı anda düşen istekler bazı durumlarda beklenmedik sonuçlar da üretebilir.

Daha detaylı bakmak için:

Race Condition Zafiyeti​

Race Condition Zafiyeti En son yazımızda herhangi bir koda hiç payload inj etmeden Insecure Design konusunu ele…​

zekikayaalp.medium.com

Mesela ne?

MFA doğrulanmadan oturum açılması

Login deneme sayacının atlatılması

Hesap kilidinin bypass edilmesi

Son yıllarda bu tip açıklar çok fazla görünmeye başlandı

1*U1nj6Dvh3Lk_OPMkt7O58w.gif




API Login Noktaları

Bazı developerlar kritik derece endpointler unutarak kullanıcı verilerini tehlikeli bir duruma sokar.

Kod: 
[COLOR=rgb(250, 197, 28)]/api/login
/api/auth
/api/v1/token[/COLOR]

Unutulan bu endpointler login ekranının arkasındaki API’yi analiz ederek…

VELHASIL -I KELAM

Login ekranı sadece sıradan bir ekran değil bir hacker için hayat memat meselesidir.



Çözülebilir lab’lar:

1 - Lab: Username enumeration via different responses

This lab is vulnerable to username enumeration and password brute-force attacks. It has an account with a predictable…

portswigger.net
https://portswigger.net/web-securit...528f5c---------------------------------------

2 - Lab: Username enumeration via response timing

This lab is vulnerable to username enumeration using its response times. To solve the lab, enumerate a valid username…

portswigger.net

3 - Lab: Broken brute-force protection, IP block

This lab is vulnerable due to a logic flaw in its password brute-force protection. To solve the lab, brute-force the…

portswigger.net

[COLOR=rgb(247, 218, 100)]4 - [/COLOR]Lab: SQL injection vulnerability allowing login bypass

This lab contains a SQL injection vulnerability in the login function. To solve the lab, perform a SQL injection attack…

portswigger.net

[COLOR=rgb(250, 197, 28)]5 - [/COLOR]Lab: 2FA simple bypass

This lab's two-factor authentication can be bypassed. You have already obtained a valid username and password, but do…

portswigger.net

6 - Lab: 2FA broken logic

This lab's two-factor authentication is vulnerable due to its flawed logic. To solve the lab, access Carlos's account…

portswigger.net

[COLOR=rgb(250, 197, 28)]7- [/COLOR] https://portswigger.net/web-security/race-conditions/lab-race-conditions-password-reset



ZEKİ KAYAALP/CYBER SECURİTY ARAŞTIRMACISI :)
 
Cevap yazmak için giriş yap yada kayıt ol.
Geri
Üst