{"id":476846,"date":"2023-08-09T09:04:34","date_gmt":"2023-08-09T09:04:34","guid":{"rendered":""},"modified":"2023-09-05T11:13:34","modified_gmt":"2023-09-05T11:13:34","slug":"directory-traversal-attack","status":"publish","type":"wiki","link":"https:\/\/oneproxy.pro\/tr\/wiki\/directory-traversal-attack\/","title":{"rendered":"Dizin ge\u00e7i\u015f sald\u0131r\u0131s\u0131"},"content":{"rendered":"

Yol ge\u00e7i\u015f sald\u0131r\u0131lar\u0131 olarak da bilinen dizin ge\u00e7i\u015f sald\u0131r\u0131lar\u0131, web g\u00fcvenli\u011fi alan\u0131nda \u00f6nemli bir risk olu\u015fturur. \u00d6ncelikle bir web uygulamas\u0131n\u0131n sunucuda bulunan dosyalara eri\u015fme i\u015flevindeki g\u00fcvenlik a\u00e7\u0131\u011f\u0131ndan yararlan\u0131rlar. Bu sald\u0131r\u0131lar, k\u00f6t\u00fc niyetli bir kullan\u0131c\u0131n\u0131n, "nokta-nokta-e\u011fik \u00e7izgi (..\/)" dizileriyle dosyalara referans veren de\u011fi\u015fkenleri manip\u00fcle ederek, web k\u00f6k\u00fc klas\u00f6r\u00fc d\u0131\u015f\u0131nda depolanan dosyalara ve dizinlere eri\u015fmesine olanak tan\u0131r.<\/p>\n

Dizin Ge\u00e7i\u015fi Sald\u0131r\u0131lar\u0131n\u0131n Geli\u015fimi<\/h2>\n

Dizin ge\u00e7i\u015f sald\u0131r\u0131lar\u0131n\u0131n k\u00f6keni, web uygulamalar\u0131n\u0131n sunucu taraf\u0131ndaki dosyalara eri\u015fmek i\u00e7in komut dosyalar\u0131n\u0131 ilk kez kullanmaya ba\u015flad\u0131\u011f\u0131 internetin ilk g\u00fcnlerine kadar izlenebilir. Teknoloji ilerledik\u00e7e ve web uygulamalar\u0131 karma\u015f\u0131kla\u015ft\u0131k\u00e7a bu t\u00fcr g\u00fcvenlik a\u00e7\u0131klar\u0131n\u0131n potansiyeli de artt\u0131.<\/p>\n

Bu g\u00fcvenlik a\u00e7\u0131\u011f\u0131n\u0131n temel yap\u0131s\u0131ndan dolay\u0131, dizin ge\u00e7i\u015f sald\u0131r\u0131lar\u0131ndan ilk kez bahsedildi\u011finin kesin olarak belirlenmesi biraz zordur. Ancak, 1990'lar\u0131n sonlar\u0131nda ve 2000'lerin ba\u015flar\u0131nda, web uygulamalar\u0131 yayg\u0131nla\u015ft\u0131k\u00e7a ve g\u00fcvenli olmayan dosya referanslar\u0131ndan yararlanma f\u0131rsatlar\u0131 artt\u0131k\u00e7a, g\u00fcvenlik kayg\u0131s\u0131 daha da belirgin hale geldi.<\/p>\n

Dizin Ge\u00e7i\u015fi Sald\u0131r\u0131lar\u0131n\u0131 Geni\u015fletmek<\/h2>\n

Dizin ge\u00e7i\u015f sald\u0131r\u0131s\u0131, bir bilgisayar korsan\u0131n\u0131n genellikle halka a\u00e7\u0131k olmayan bir sunucunun dizinine eri\u015fti\u011fi bir HTTP istismar bi\u00e7imidir. Sald\u0131rgan, kullan\u0131c\u0131 taraf\u0131ndan sa\u011flanan giri\u015f dosyas\u0131 adlar\u0131n\u0131n yetersiz g\u00fcvenlik do\u011frulamas\u0131ndan veya ar\u0131nd\u0131r\u0131lmas\u0131ndan yararlan\u0131r ve b\u00f6ylece k\u0131s\u0131tl\u0131 ortamdan \u00e7\u0131kmalar\u0131na olanak tan\u0131r.<\/p>\n

Dizin ge\u00e7i\u015f dizilerinin en yayg\u0131n kullan\u0131m\u0131 URL tabanl\u0131 sald\u0131r\u0131lardad\u0131r, ancak bunlar ayn\u0131 zamanda ba\u015fl\u0131k enjeksiyonlar\u0131nda, \u00e7erez manip\u00fclasyonlar\u0131nda ve hatta POST parametrelerinde de g\u00f6r\u00fcnebilir. Bu sayede sald\u0131rganlar, k\u0131s\u0131tlanm\u0131\u015f dizinleri g\u00f6r\u00fcnt\u00fcleyebilir ve web sunucusunun k\u00f6k dizini d\u0131\u015f\u0131ndaki komutlar\u0131 \u00e7al\u0131\u015ft\u0131rabilir, b\u00f6ylece hassas bilgilere yetkisiz eri\u015fim elde edebilir.<\/p>\n

Dizin Ge\u00e7i\u015fi Sald\u0131r\u0131lar\u0131 Nas\u0131l \u00c7al\u0131\u015f\u0131r?<\/h2>\n

Dizin ge\u00e7i\u015f sald\u0131r\u0131s\u0131, kullan\u0131c\u0131 taraf\u0131ndan sa\u011flanan giri\u015f dosya adlar\u0131n\u0131n yetersiz g\u00fcvenlik do\u011frulamas\u0131ndan\/temizlenmesinden yararlanarak \u00e7al\u0131\u015f\u0131r, b\u00f6ylece bir sald\u0131rgan, k\u0131s\u0131tl\u0131 konumun d\u0131\u015f\u0131na atlamak i\u00e7in bunlar\u0131 manip\u00fcle edebilir.<\/p>\n

A\u015f\u0131r\u0131 basitle\u015ftirilmi\u015f bir bi\u00e7imde, bir uygulaman\u0131n sunucudaki bir g\u00f6r\u00fcnt\u00fc dosyas\u0131na eri\u015fmeye \u00e7al\u0131\u015ft\u0131\u011f\u0131 bir senaryoyu ele alal\u0131m:<\/p>\n

arduino<\/span>