SSL Unpinning (bypass) Yöntemleri

Android 1.0 ın çıktığın 2007 yılından beri Android’in ve mobil köprünü altından çok sular aktı geçti.Bugün bir çok uygulama Certificate authoriy (CA) kontrolü yapıyor. Biz pentesterlar ise man-in-the-middle (MITM) ile bu trafiği kesmek ve izlemek istiyoruz. Bu yazımda sizinle Android’de SSL sertifikasını bypass etmenin 4 farklı yolunu paylaşacağım, bunlar; •Güvenilen Sertifika deposuna özel bir CA […]

Frida Kurulum

Gerekli Yazılım Donanım ve Dosyalar Python3 (Download) ADB Windows (Download) Fridayi Python PIP ile kuruyoruz (pip install frida-tools) frida-server-10.6.53-android-arm64 (Download) (Yüklenecek frida-server telefonunuza uygun olmalıdır benim telefonum arm64 işlemciye sahip) Root’lu Bir telefon yada Android Studio Emulatoru (Biz rootlu bir galaxy s6 kullanacağız) ADB yi kuruyoruz, indirdip unzip ettiğimiz frida-server-10.6.53-android-arm64 dosyasını pushluyoruz. Shell’den su izinlerini […]

Android SSL Pinning Çalışmam

Uzun süredir ilgimi çeken bir konudur ssl pinning aslında. Bu merakım bir android uygulamasını Charles yazılımı ile Man-in-the-middle atağı yaparken karşılaştığım sorunla başladı. Charles’in CA sertifikasını telefona yüklediğim halde uygulamanın yolladığı istekleri kesemiyordum. Öncelikle ssl unpinning üzerine araştırma yaptım ve araya girebilmek için farklı yöntemler keşfettim fakat bu yazımda Curl request yollarken ssl pinning kullanan bir […]

Linux SSH Güvenlik ve Port Değiştirme

Güvenlik için sunucularda SSH portunun değiştirilmesi çok önemlidir. Port değiştirmek için nano /etc/ssh/sshd_config komutuyla dosyayı açıp Port 22 olan standart portu istediğimiz portla değiştiriyoruz Seçeceğimiz portun 1024 ten büyük 60000 ten de küçük olması tavsiye edilir. Port seçmeden önce netstat -an | grep <portnumber> ile kontrolü sağlanarak kullanımda olmayan bir port olduğundan emin olabiliriz. service sshd […]