Full Transcript
https://www.youtube.com/watch?v=43ZIspB_V2c
[00:00] Hər kəsə salam.
[00:03] Bu günkü video Cyber Warfarein Webrota imtahanı ilə bağlı olacaq.
[00:08] Bu imtahana daxil olmaq üçün exam hissəsinə daxil oluruq və burada ilk öncə bizə 30 günlük bir labasiyası gəlir.
[00:14] Hal-hazırda mən onu dünən başlatdığım üçün artıq davam edir.
[00:16] Credential olaraq iki dənə veb app verir.
[00:21] Hansı ki, biri eyni ıp-nin fərqli portlarında yerləşirlər həmin weblər.
[00:27] Daha sonra modulun exam hissəsinə daxil modullarda da bir dənə exam var ki, hansı ki, bizə burda suallar qarşılayır.
[00:34] 16 dənə sual yerləşir burada.
[00:36] İlk dörd sual nəzəri suallardır.
[00:39] Hansı ki, bu sualları heç bir etmədən yazmaq mümkündür.
[00:44] Artıq beşinci sualdan başlayaraq web app haqqında suallar başlayır ki, hansı ki, məsələn burda bizə bildirir ki, what the rate autentifikasiya olmamış userlara vap 1də verilən rol hansıdır?
[00:58] Bunun üçün gəlib ilk olaraq vap 1ə baxmalıyıq.
[01:01] İlk olaraq vap 1ə baxmalıyıq.
[01:04] Gəlib Firefoxumuza. Arxada bsti açıq yandırmışam artıq.
[01:06] gedən sorğular tutulsun deyə.
[01:11] Daha sonra gəlib bunu disch vasitəsilə sorğu göndərə bilərik.
[01:19] Bu da arxada özü üçün getsin.
[01:22] Aha, deməli dissert artıq yavaş-yavaş nəticə verməyə başladı.
[01:25] Mənə lazım olan da bu hissə idi.
[01:27] Onsuz da das də das dəhşb hissəsi.
[01:30] İlk olaraq səhifəyə daxil olduğumuzda bizi belə bir səhifə qarşılayır ki,
[01:32] login səhifəsi.
[01:35] Get start basdığımız zaman login səhifəsini atır.
[01:37] Burda cap ilə qarşılaşırıq.
[01:39] Basic bir arxometrik cap gəlir.
[01:42] User istəyir, password istəyir.
[01:43] Daha sonra da kapsanı daxil elməyimiz gözləyür.
[01:46] Deməli, bunlara baxmamışdan əvvəl gəlin dashşbord hissəsinə baxaq.
[01:48] Bizim üçün lazım olan bir şeyi görək.
[02:04] Dşbord hissəsinə daxil olduğumuzda fikir.
[02:06] Dşbord hissəsinə daxil olduğumuzda fikir verirsizsə, heç bir şeydən, qeydiyyatdan keçməmişik.
[02:09] Yəni unautentificated usuruq hal-hazırda və bizə rol olaraq anonim istəyir.
[02:13] Bu da elə suallarımızın artıq birinin cavabının çıxdığını göstərir.
[02:15] Anonim userünün.
[02:18] Və daha sonra hansı endpdən tapdığımızı soruşur.
[02:20] Növbəti sual olaraq biz burda neyniyəcəyik?
[02:23] Ctrl shift e və yaxud da sağ klik inspect düyməsini klikləyərək gəlirik burda cooky hissəsinə.
[02:26] Normalda access token falan olur burada.
[02:28] Remember tokens falan sonradan artılıb səhv etmirəmsə.
[02:32] Gəlib bunu kopyaladığımız zaman fikir veririk ki, üç hissəyə bölünüb.
[02:36] Yəni burda bir nöqtə ilə bu hissə var.
[02:38] İkinci hissə və üçüncü hissəmiz boşdur.
[02:40] Bu jivdə nədir?
[02:42] Jivdə non alqoritm hissəsi var ki, hansı ki bu zaman signature k olmur.
[02:46] Bunun özü də bir problemdir bizim üçün.
[02:48] Əslində bizim üçün yox da, siz üçün.
[03:04] Əslində bizim üçün yox da, siz üçün.
[03:07] fikir verirsizsə alqoritm olaraq n qeyd edilib və burda hər hansı bir signat k yoxdur və decoded payda subject anonyus r anonyus.
[03:18] gəlib burda yoxlaya biləcəyimiz şeylər nədir subjekt və rolu admin və ya hər hansı bir başqa bir olaraq dəyişmək.
[03:25] admin olaraq dəyişdirdikdə heç bir geri dönüş olmur hələ bizi atır ki icazən yoxdur səhv etmirəmsə elə bir olur.
[03:33] Elə error verir və daha sonra user user olaraq dəyişdim.
[03:39] Gəlib burda access token hissəsində enter basırıq və səhifəni yeniledirik.
[03:45] Səhifəni yenilədiyimizdə rol olaraq user olduğunu göstərir.
[03:49] Təbii ki də burda biz rola elmir yazsaq, elmir olaraq göstərəcəkdi və ya hər hansı bir başqa bir yazsaq başqa bir göstərəcəkdir.
[03:56] Lakin onların hər hansı bir eventi olmur.
[03:58] User user eventini görürük.
[04:01] Hansı ki, burda bizə lazım olan cavabları da
[04:04] burda bizə lazım olan cavabları da buradan çıxardırıq.
[04:06] İki dənə cavabı.
[04:06] Bir yeddinci sualın cavabı belə çıxır.
[04:09] yeddinci sualın cavabı belə çıxır.
[04:10] Və səkkizinci sualın cavabı da belə çıxır ki, hansı ki, burda yazıb ki,
[04:12] çıxır ki, hansı ki, burda yazıb ki, created by not at phcical adminir nə elə bir yazıb.
[04:15] created by not at phcical adminir nə elə bir yazıb.
[04:19] Bunu da kopyalayırıq.
[04:19] Bu bizə lazım olacaq çünki artıq bir dənə
[04:21] bizə lazım olacaq çünki artıq bir dənə userin adını bilirik ki, belə bir
[04:23] userin adını bilirik ki, belə bir userımız var.
[04:26] userımız var.
[04:28] Daha sonra burdan log bassaq yenə əvvəlki səhifəyə qaytaracaq bizi login
[04:30] əvvəlki səhifəyə qaytaracaq bizi login səhifəsinə və bizdən istəyir ki please
[04:33] səhifəsinə və bizdən istəyir ki please login to access this page.
[04:36] Login olmağımızı istəyir.
[04:38] Məsələn usernamei bilmirik.
[04:40] bilmirik.
[04:43] Salam yazaq nə isə qalsın.
[04:43] Passorda da salam.
[04:45] salam.
[04:49] Və captyanı səhv yazaq.
[04:49] İki.
[04:52] səhv yazdığım zaman götürür deyir ki, cap
[04:56] götürür deyir ki, cap fikrimcə beləd ki, sorğu belə gedir.
[04:58] fikrimcə beləd ki, sorğu belə gedir.
[04:58] İlk olaraq yoxlayır.
[05:01] Kap doğru olduğu təqdirdə usern və password hisələr keçid
[05:05] təqdirdə usern və password hisələr keçid edir.
[05:08] edir.
[05:10] Məsələn, yenə userame-i götürək. Bunu username olaraq yazaq.
[05:12] Passworda da elə onu yazaq. Bir də əziyyət çəkim.
[05:14] Və captaya mənfi yazaq.
[05:19] Bu zaman isə invil username or gedir.
[05:23] Təbii ki, burda gedən post sorğularına baxıb belə bir də görə bilərik.
[05:25] Məsələn, bu axırıncı atdığımız post sorusudur.
[05:29] Username doğru idi.
[05:32] Fikir verirsizə. Not at fal admin.
[05:35] Və kçəmiz də doğrudur.
[05:37] Digər bir post sorğusuna baxsaq artıq aradakı fərqi görürük ki, biri 211 millisaniyə deyək ki, respons verib.
[05:42] digər isə 384, yəni 400-ə daha yaxındır.
[05:46] Yəni burdan belə çıxır ki, kapça doğru olduqda bizim usernameiz doğrudura, biraz daha çox vaxt sərf edir.
[05:52] Gəlin capənin doğru username fərqli olduğu bir hal yoxlayaq.
[05:54] Salam.
[05:56] Password yalandan bir Capcha
[06:07] Salam.
[06:07] Password yalandan bir Capcha olsun.
[06:10] 21 olsun.
[06:10] 21 yenə inviled username or password gəlir.
[06:14] yenə inviled username or password gəlir və yenə gedən post sorğusuna baxdığım zaman iki üzlü bir olduğunu görürük.
[06:19] zaman iki üzlü bir olduğunu görürük.
[06:19] Dəqiqləşdirmək üçün bir də yoxlasaq əgər userame-i və kyanı artıq gedən sorğuda yenə 300-lü bir gəldiyini görürük.
[06:23] userame-i və kyanı artıq gedən sorğuda yenə 300-lü bir gəldiyini görürük.
[06:31] artıq gedən sorğuda yenə 300-lü bir gəldiyini görürük. Bu 400-də də olur, 300 də olur. Yəni dəyişir.
[06:33] Bu 400-də də olur, 300 də olur. Yəni dəyişir.
[06:33] Əsas odur ki, aradakı fərqi görürük ki, burdan bilirik ki, usernameiz doğrudur.
[06:37] aradakı fərqi görürük ki, burdan bilirik ki, usernameiz doğrudur.
[06:40] ki, usernameiz doğrudur. İlk olaraq ağlıma capture baypass gəldi.
[06:42] İlk olaraq ağlıma capture baypass gəldi. İnternetə də axtaranda aritmometrik capture baypass haqqında məlumatlar geniş çıxır.
[06:44] də axtaranda aritmometrik capture baypass haqqında məlumatlar geniş çıxır.
[06:49] baypass haqqında məlumatlar geniş çıxır. Yəni fərqli-fərqli tollar falan çıxır ya video falan çıxır.
[06:51] Yəni fərqli-fərqli tollar falan çıxır ya video falan çıxır.
[06:54] video falan çıxır. Burda aı-dan istifadə elədim süni intellektdən bir az daha kömək olsun deyə və C kötür neyniəyir.
[06:56] Burda aı-dan istifadə elədim süni intellektdən bir az daha kömək olsun deyə və C kötür neyniəyir.
[06:58] intellektdən bir az daha kömək olsun deyə və C kötür neyniəyir.
[07:01] deyə və C kötür neyniəyir.
[07:05] Bayaqlar gördüyümüz kimi
[07:07] neyniəyir.
[07:07] Bayaqlar gördüyümüz kimi orada bizə tokenlər verilir.
[07:09] Hansı ki, orada bizə tokenlər verilir.
[07:10] Hansı ki, bu siyasə tokeni burdan gəlib görə bilərik elə bu hissədə olmadı səhv etmirəmsə.
[07:16] Aha de input gəlir ki, siyasəf token typedin bir dəyəri və burda bizə gəlir ki, əgər biz burda CSR-i artırmasaq bu hissədə bizə error qaytarır ki, CSF token tapılmadı.
[07:29] Yəni bu AI-ın verdiyi kod işləmir.
[07:32] Ona görə CSRF tokeni də artırmalıydıq.
[07:37] İlk olaraq gördüyümüz kimi sessionda re götürürük session olaraq basda həmin ıp və portdur.
[07:48] Və daha sonra mən daxil elədim ki, siyasət bu formada olacaq.
[07:50] Yəni buna uyğun bir reject yazsın.
[07:52] Və həmin gedib rejecti axtarıb tapır, gətirir siyasət token olaraq da qeyd eləyir əgər məç olursa.
[07:59] Daha sonra cap çözmək üçün adi riyazi hesablama olduğu üçün evaldan istifadə eləyir.
[08:04] istifadə eləyir.
[08:06] Evaldan istifadə eləyir.
[08:06] Səhv eləmirsə
[08:07] Evaldan istifadə eləyir.
[08:15] For password hansı hissədir?
[08:22] Respons session s capture responsation.
[08:26] Capure capture cap
[08:32] adh bu sırada fikir verdiyimiz kimi
[08:35] adh bu sırada fikir verdiyimiz kimi evaldan istifadə eledyir.
[08:36] Eval düzdür təhlükəli bir proses yerinə yetirir
[08:39] lakin bunu öz komputerimizdə icra elədiyimiz üçün hər hansı problem olmayacağını düşündüm.
[08:47] Yəni vebsayt qursam, eval istifadə eləsəm bəlkə onda problem yaşadardı.
[08:52] Lakin yəni skriptin içərisində bu mənə heç bir problem yaratmayacaq.
[08:56] Və daha sonra brut force işlə başlayır ki, hansı ki, artıq yoxlamalar gedir.
[09:02] Bunun özünün bir dənə problemi var idi burdakı kodun.
[09:03] Hansı ki, həmin problem nə idi?
[09:06] Müəyyən sorğu sayından sonra 20
[09:09] nə idi?
[09:11] Müəyyən sorğu sayından sonra 20 və yaxud 25 deyəsən avtomatik olaraq connection itirdi və bizə error qaytarırdı.
[09:13] connection itirdi və bizə error qaytarırdı.
[09:15] Bunu da dəyişmək üçün deyəsən belə bir sorğu göndərildi.
[09:19] deyəsən belə bir sorğu göndərildi.
[09:22] Yoxsa bu başqası üçündür?
[09:22] Yox, deyəsən bu başqadır.
[09:33] Uşaqlar dənə baxmadlarına
[09:40] bilsin kəəmə olsun.
[09:46] Aha
[09:49] burda fikir verirsizsə artıq özü də yazıb qeyd eledyib ki avtomatik retry
[09:51] burda fikir verirsizsə artıq özü də yazıb qeyd eledyib ki avtomatik retry mexanizmini quraşdırırıq
[09:53] mexanizmini quraşdırırıq müddət artır və demək olar eyni koddur.
[09:56] müddət artır və demək olar eyni koddur.
[09:59] Sadəcə əlavə olaraq gözləmələr artırılır bura
[10:01] əlavə olaraq gözləmələr artırılır bura
[10:03] hər 20 sorğudan bir serveri dincəlt yazıb sorğu tamamlanda üç saniyə fasilə verilir.
[10:04] yazıb sorğu tamamlanda üç saniyə fasilə verilir.
[10:07] Daha sonra tapılsa əgər
[10:10] verilir. Daha sonra tapılsa əgər password tapıldı deyilir.
[10:12] user name-i password tapıldı deyilir.
[10:14] user name-i özüm verirəm deyə sadəcə mənə yerdə qalır passwordu tapmaq.
[10:16] sadəcə mənə yerdə qalır passwordu tapmaq.
[10:19] Captəni də eval vasitəsilə həll edir.
[10:21] Əgər mən yoxlamaq istəsəydim necə olacaqdır?
[10:23] Məsələn belə bir sorğular başlayacaqdı yavaş-yavaş getməyə.
[10:26] başlayacaqdı yavaş-yavaş getməyə.
[10:29] Fikir verirsizsə, yazır Wordə olan şeyləri yoxlayır.
[10:31] Burda təbii ki də Word qeyd olunubdur.
[10:33] Daxildə Wordess texti var.
[10:35] Həmin textdə olan sözləri başlayırıb yoxlamağa və capcədə avtomatik olaraq dəyişir.
[10:37] avtomatik olaraq dəyişir.
[10:39] Təbii ki, indi burda görsənmir amma istəsək artıra bilərik.
[10:41] burda görsənmir amma istəsək artıra bilərik.
[10:43] bilərik.
[10:48] Python 2 belə də bilərik.
[10:50] Məsələn tokeni də göstərsin.
[10:53] Tokin ilk 10 simvol səfər görsənir.
[10:57] Burda indeks verilmiş istəsəz toə göstərə bilərsə
[11:01] toə göstərə bilərsə bun xeyli vaxt itirdim.
[11:06] Çünki SQL inctiontion başda yoxladım, lakin
[11:10] SQL inctiontion başda yoxladım, lakin alınmamışdı.
[11:11] alınmamışdı və bir xeyli vaxt itirdim ki, bəlkə usernamein özü var, parolunu taparam.
[11:16] usernamein özü var, parolunu taparam.
[11:16] Lakin alınmadı nə.
[11:19] Lakin alınmadı nə.
[11:19] Və belə bir payload yoxlayanda artıq burda payloadları yoxlamaq üçün neyniyə bilərik?
[11:23] Və belə bir payload yoxlayanda artıq burda payloadları yoxlamaq üçün neyniyə bilərik?
[11:25] burda payloadları yoxlamaq üçün neyniyə bilərik? İnternetdə gəlib SQL injection haqqında çitşitlər də var ki, hansı ki, həmin çitşitləri yoxlaya bilərik.
[11:28] bilərik? İnternetdə gəlib SQL injection haqqında çitşitlər də var ki, hansı ki, həmin çitşitləri yoxlaya bilərik.
[11:29] haqqında çitşitlər də var ki, hansı ki, həmin çitşitləri yoxlaya bilərik.
[11:32] həmin çitşitləri yoxlaya bilərik. autentification bypass üçün olanlardan burda belə idi səhv elirəmsə səhv yaza bilərəmş
[11:34] autentification bypass üçün olanlardan burda belə idi səhv elirəmsə səhv yaza bilərəmş
[11:37] burda belə idi səhv elirəmsə səhv yaza bilərəmş password istədiyimiz bir və capcyaya də düzgün bir yazmalıyıq bunun səbəbi nədir capcni yoxlayır sistem capu təqdirdə keçir username yoxlamağa yəni capture false ols username password hissəsinə keçmir altı yazıram
[11:40] password istədiyimiz bir və capcyaya də düzgün bir yazmalıyıq bunun səbəbi nədir capcni yoxlayır sistem capu təqdirdə keçir username yoxlamağa yəni capture false ols username password hissəsinə keçmir altı yazıram
[11:42] password istədiyimiz bir və capcyaya də düzgün bir yazmalıyıq bunun səbəbi nədir capcni yoxlayır sistem capu təqdirdə keçir username yoxlamağa yəni capture false ols username password hissəsinə keçmir altı yazıram
[11:44] də düzgün bir yazmalıyıq bunun səbəbi nədir capcni yoxlayır sistem capu təqdirdə keçir username yoxlamağa yəni capture false ols username password hissəsinə keçmir altı yazıram
[11:50] səbəbi nədir capcni yoxlayır sistem capu təqdirdə keçir username yoxlamağa yəni capture false ols username password hissəsinə keçmir altı yazıram
[11:52] təqdirdə keçir username yoxlamağa yəni capture false ols username password hissəsinə keçmir altı yazıram
[11:55] capture false ols username password hissəsinə keçmir altı yazıram
[11:55] altı yazıram və sistemə daxil ola bilirəm.
[12:00] və sistemə daxil ola bilirəm.
[12:04] və sistemə daxil ola bilirəm.
[12:04] Burda bir dənə problem nə də yaranır?
[12:06] Burda bir dənə problem nə də yaranır?
[12:06] Tam hissə mənə aydın olmayan hissə ordadır ki, username
[12:09] Tam hissə mənə aydın olmayan hissə ordadır ki, username
[12:10] aydın olmayan hissə ordadır ki, username hissəsində mən belə yazıramsa və bu hissəsində mən belə yazıramsa və bu keçirsə əgər indi yoxlayaraq keçməyə də bilər.
[12:15] Düzdür bu keçirsə, niyə mənim boş göndərdiyim zaman keçmir?
[12:18] Elə bir sual mənə qaranlıq qalır.
[12:22] Onu da araşdırıb tapa bilsəm, əlavə edəcəm yorumlara.
[12:30] Incorrect capture
[12:35] nə səhv idi.
[12:39] Aha gördüyünüz kimi sistemə daxil ola bildik rol olaraq admin verified özü də deyir dənə.
[12:42] Logout eləyəcəm.
[12:45] Username hissəsinə yazıram.
[12:48] Passvorda.
[12:50] Onsuzda fərqi yoxdur.
[12:52] Nə olur olsun.
[12:54] Bunu qeyd eləyirəm.
[12:58] Burda gedən sorğumuz nədir?
[13:01] Sadəcə sual tək dırnaq atırıq SQL sorğusunu pozmaq üçün.
[13:05] Daha sonra or 1 b= 1.
[13:08] Bu həmişə olan bir ifadədir.
[13:09] Dəşhtəş də ki, kommentariyanı bildirmək üçün istifadə olunur.
[13:11] Məsələn mən gəlib burda belə bir
[13:12] olunur.
[13:12] Məsələn mən gəlib burda belə bir yoxlasam, submin ya nə bilim nəsə yoxlasam, submin ya nə bilim nəsə random bir normalda neynəməliyidi?
[13:18] random bir normalda neynəməliyidi?
[13:18] Bu tərəf false, bu tərəf tred deyə sistemdə ilk olan user qaytarmalı idi
[13:21] Bu tərəf false, bu tərəf tred deyə sistemdə ilk olan user qaytarmalı idi bizə.
[13:26] bizə. Ola bilsin ki, burda nə var? Ola bilsin ki, burda nə var?
[13:26] Daxil olmaq istədiyimiz user sistemin ilk userı deyil və ilk user boşlu olan bir userdır.
[13:33] Daxil olmaq istədiyimiz user sistemin ilk userı deyil və ilk user boşlu olan bir userdır. Yəni elə bir user yoxdur.
[13:35] bir userdır. Yəni elə bir user yoxdur. Sadəcə fərqli bir user boş bir şeydir və yəni ona daxil ola bilmirik.
[13:37] Sadəcə fərqli bir user boş bir şeydir və yəni ona daxil ola bilmirik. Ağlıma gələn ən məntiqli səbəb odur.
[13:41] yəni ona daxil ola bilmirik. Ağlıma gələn ən məntiqli səbəb odur. Yəni bu nə vaxt yoxlanardı?
[13:44] gələn ən məntiqli səbəb odur. Yəni bu nə vaxt yoxlanardı? Sadmin. Məsələn sistemin ilk userı not at physical admin olsa onda submin yazmağım və hər hansı bir yazmağım avtomatik olaraq sistemə məni qoyacaqdır ki, daxil ola bilim.
[13:47] bu nə vaxt yoxlanardı? Sadmin. Məsələn sistemin ilk userı not at physical admin olsa onda submin yazmağım və hər hansı bir yazmağım avtomatik olaraq sistemə məni qoyacaqdır ki, daxil ola bilim.
[13:51] sistemin ilk userı not at physical admin olsa onda submin yazmağım və hər hansı bir yazmağım avtomatik olaraq sistemə məni qoyacaqdır ki, daxil ola bilim.
[13:55] olsa onda submin yazmağım və hər hansı bir yazmağım avtomatik olaraq sistemə məni qoyacaqdır ki, daxil ola bilim.
[13:57] bir yazmağım avtomatik olaraq sistemə məni qoyacaqdır ki, daxil ola bilim.
[13:59] sistemə məni qoyacaqdır ki, daxil ola bilim.
[14:01] daxil ola bilim.
[14:03] bilim. Düşünürəm ki, yəni bu user sistemin birinci userı deyil və birinci userdur sistemdə.
[14:05] Düşünürəm ki, yəni bu user sistemin birinci userı deyil və birinci userdur sistemdə. Yəni hər hansı bir boş blank
[14:09] birinci userı deyil və birinci userdur sistemdə. Yəni hər hansı bir boş blank
[14:12] sistemdə.
[14:12] Yəni hər hansı bir boş blank bir şeydir ya nədir?
[14:14] Tam dəqiq bir şeydir ya nədir?
[14:14] Tam dəqiq bilmədiyim üçün yalan deyəcəm.
[14:16] Yəni öz bilmədiyim üçün yalan deyəcəm.
[14:16] Yəni öz fərziyəmi irəli sürürəm.
[14:19] Və sistemə fərziyəmi irəli sürürəm.
[14:19] Və sistemə daxil olaq.
[14:21] Hər nə isə. sistemə daxil olaq.
[14:21] Hər nə isə.
[14:24] sistemə daxil olduğumuz zaman belə bir dəş qarşılayır bizi.
[14:26] Yenə fikir versə bayaqki user, bayaqkiı hissədə gəldiyimiz dashşard hissəsidir.
[14:29] gəldiyimiz dashşard hissəsidir.
[14:31] Not at physical admin tərəfindən yaradılmış user.
[14:33] Və burda bizi update və delete qarşılayır.
[14:35] Update kliklədiyimiz zaman aşağı düşdüyümüzdə məsələn submit exml event asm gəlir.
[14:38] Və burda biz XML-ı görürüksə nə yoxlamağımıza gələ bilər?
[14:40] Təbii ki də x boşluğu.
[14:43] Gəlib onu da yoxlayaq.
[14:47] Bunu əllə yazmaq biraz vaxt aparıncaq.
[14:49] Ona görə xxe port silver yazaq
[14:51] və elə burada gəlib bunu kopyalasaq,
[15:14] və elə burada gəlib bunu kopyalasaq, əlavə eləsək daha sonra bir də dope əlavə eləsək daha sonra bir də dope əlavə eləyirik əlavə eləyirik və gəlib bura əlavə edirik.
[15:22] Do type-ı və gəlib bura əlavə edirik.
[15:24] Do type-ı əlavə eledikdən sonra bura xx qala da bilər, qalmaya da bilər.
[15:27] bilər, qalmaya da bilər.
[15:30] Mən description yoxladım, alındı.
[15:32] O digərlərini də yoxlamamışdım.
[15:36] He description falan yoxladım elə alındı.
[15:40] Burda gəlirəm xxy yazıram və burda ən əsas şeylərdən biri də nöqtə verginin olmasıdır.
[15:44] olmasıdır. Gəlib yoxlayaq.
[15:49] Submit XML deyirik və fikir veririksə biz artıq avtomatik olaraq HC passfed faylın içərisini oxumuş olduq.
[15:55] bizə bir dənə belə bir flq verir hansı ki, bu da cavablardan biridir.
[16:06] Burda gedən sorğu da nəd bir dənə entity əlavə edirik sistemə.
[16:09] XX adında bir dənə entit əlavə edirik.
[16:11] O da sistemi gedir çağırır. HC passf faylını oxuyur
[16:15] HC passf faylını oxuyur və gəlib biz burda end işarəsi
[16:17] və gəlib biz burda end işarəsi vasitəsilə həmin entityni çağırmış
[16:19] vasitəsilə həmin entityni çağırmış oluruq.
[16:22] Yəni o entity də çağırıldıqdan sonra gedir nəticəsini bizə göstərir və
[16:25] sonra gedir nəticəsini bizə göstərir və gəlib suallara baxdığımız zaman görürük
[16:27] gəlib suallara baxdığımız zaman görürük ki, cavablardan elə biri lokal fayl
[16:30] sistemi soruşur. Hi passido. Daha sonra
[16:33] bizdən soruşur ki, web birdə olan flag
[16:36] nədir? Onu da artıq tapdıq.
[16:39] Gəlib burda description hissəsində də
[16:42] and xx nöqtə vergül yaza bilərdik. Ya da
[16:45] elə gəlib burda update event hissəsində
[16:47] rahatlıqla tək bir sətir də yaza
[16:49] bildirik.
[16:50] cancel deyək.
[16:52] Burda özümüz yeni bir dənəsini yarada
[16:53] bilərik. Eyni prosesi yenə həmin yerdə
[16:56] təkrar eləsək yenə eyni nəticəni
[16:57] alacaqdıq.
[17:01] Aha. Daha sonra burdan manage event
[17:04] səsini görürük.
[17:06] Çaçdım.
[17:08] Bayaqları eventlar idi onsuzda.
[17:11] Check out age görürük.
[17:14] Daxil olduğumuz zaman quest the clouds aring data. They are
[17:17] Quest the clouds aring data.
[17:17] They are sneaking vacation.
[17:19] Keep your apps sneaking vacation.
[17:19] Keep your apps grounded with instant alerts.
[17:22] Gəlib mən burda check stat deyirəm və bu mənə grounded with instant alerts.
[17:24] burda check stat deyirəm və bu mənə göstərir ki, application jon content grounded with instant alerts.
[17:27] typında bir dənə mesaj gəlir.
[17:30] Serv haqqında.
[17:32] statusda okdir.
[17:34] Görürük ki, burda lokal hostda sorğu gedir 8000 portu üzərinə və he typında bir dənə mesaj gəlir.
[17:39] end point nə deyək sorğumuz gedir.
[17:42] Success və status kod 200 qayıdır.
[17:44] Daha sonra burda bizə gəlir ki, fet status service təbii ki gəlib burda başlayırıq typında bir dənə mesaj gəlir.
[17:49] yoxlamağa.
[17:51] 1271
[17:54] və 8000 portu deyək.
[17:58] bizə belə bir error qaytarır result olaraq.
[18:03] Və bu errordan artıq biz başlayırıq bu hissədə müəyyən baypass typında bir dənə mesaj gəlir.
[18:07] üsullarından istifadə eləməyə ki, arxada indi vaf yerləşibsə, onu keçə bilək.
[18:13] Burda təbii ki neyniyə bilərik?
[18:15] Gəlib qoşa nöqtədir slash slashdir. Bunları
[18:20] qoşa nöqtədir slash slashdir.
[18:20] Bunları url encod eləyə bilərik.
[18:23] Bunu gəlib url encod eləyə bilərik.
[18:24] Bunu gəlib internetdə səhifələrdən də eləyə bilərik internetdə səhifələrdən də eləyə bilərik
[18:26] və yaxud özündə olan dekoder hissəsində və yaxud özündə olan dekoder hissəsində eləyə bilərik.
[18:29] Məsələn, gəlib belə bir eləyə bilərik.
[18:32] Məsələn, gəlib belə bir eləsəm, encod asl gəlib bunu kopyalasam.
[18:35] gəlib bunu kopyalasam.
[18:38] Gəlin bu hissəni silim. Bunları URL kod formatda verim.
[18:42] Fet secret deyirəm.
[18:44] Bunu bir neçə də səfə yoxladıqdan sonra yaylanır.
[18:46] Bu oturub bir-bir yoxladım.
[18:47] Hamısını elədim.
[18:50] Sonra tək-tək elədim. 8000 elədim.
[18:53] Axırdakı qoşu nöqtəni elədim.
[18:54] 127 001 yerinə və yaxud da belə bir şeylər
[18:56] də yaza bilərdik.
[18:58] Təbii ki də indi fərqli bir senenari olsa 1271 yaza
[19:01] bilərdik və ya lokal host yaza bilərdik.
[19:03] Lokal host.
[19:09] Lokal host.
[19:11] Lokal host yəni hərflərdən bəzilərinin böyük, bəzilərinin kiçik olduğu kimi
[19:12] yaza bilərdik.
[19:17] Bunları yoxladıqdan sonra gəlib gördük ki, axırdan biri yekun
[19:20] nəticəni verdi bizə. Bayaqki formada
[19:23] nəticəni verdi bizə.
[19:23] Bayaqki formada tapım o formanı.
[19:26] Aha bu formada tapım o formanı.
[19:26] Aha bu formada yazdığımız zaman qoşa nöqtəni heç bəlkə eləməsəm də olardı.
[19:29] Burda qoşa nöqtə eləməsəm də olardı.
[19:31] Burda qoşa nöqtə yoxlayım.
[19:33] yoxlayım.
[19:33] Aha.
[19:36] Əsas olaraq sləşləri elədiyim təqdirdə mənə nəticəni verdi.
[19:39] Bir dənə content deyir.
[19:39] Hidden in layers.
[19:42] Daha sonra requested ur deyir və görürük ki, 8də secret urinə sorğu göndərilir.
[19:46] Bu da elə cavablardan biridir hansı ki hansı getdiyini deyir.
[19:50] Ftingə daha sonra bizdən bu hissəni bir götürür cavab kimi istəyir və onun açılışını istəyir.
[19:56] Gəlib burda neyniyirik?
[19:58] Fərqli-fərqli web toolarından istifadə eledyə bilərik.
[20:00] Decode effd entan istifadə eləyəcəm.
[20:16] Decode effd entan istifadə eləyəcəm.
[20:21] Gəlib burda layeri kopyalasam başdan
[20:23] Gəlib burda layeri kopyalasam başdan ayağa kimi
[20:28] elə bilsəm.
[20:33] Daha sonra gəlib atıram bura. Mən
[20:35] Daha sonra gəlib atıram bura. Mən izləyirəm
[20:38] izləyirəm ask kodu seçirəm.
[20:43] Bu sizə yəqin ki, səhv olacaq. Amma nəsə
[20:45] Bu sizə yəqin ki, səhv olacaq. Amma nəsə aha gələn nəticələrdən
[20:48] aha gələn nəticələrdən qarşıma çıxır ki, hex formasında və
[20:51] qarşıma çıxır ki, hex formasında və burda bərabəri gördüyə avtomatik olaraq
[20:53] burda bərabəri gördüyə avtomatik olaraq adamın ağlına onsuzlar base 64, base 32
[20:56] adamın ağlına onsuzlar base 64, base 32 falan gəlir. Gəlib bunu da yerləşdirirəm
[20:58] falan gəlir. Gəlib bunu da yerləşdirirəm yerinə. Analiz deyirəm. Analiz dediyimdə
[21:00] yerinə. Analiz deyirəm. Analiz dediyimdə elə özü məni qaytarır ki, B64 koding özü
[21:03] elə özü məni qaytarır ki, B64 koding özü də yüksək səviyyədə, yəni yaşıl, daha
[21:04] də yüksək səviyyədə, yəni yaşıl, daha yuxarıdır. Gəlib bunu yerləşdirdən sonra
[21:07] yuxarıdır. Gəlib bunu yerləşdirdən sonra yerinə deyirəm. Və deod dediyim zaman
[21:11] yerinə deyirəm. Və deod dediyim zaman belə bir nəticə ilə qarşılaşırıq ki, bir
[21:13] belə bir nəticə ilə qarşılaşırıq ki, bir username verir və onun passwordunu
[21:15] username verir və onun passwordunu verir. Təbii ki də bu password hashş də
[21:17] verir. Təbii ki də bu password hashş də ola bilər. Bunu daha sonra yoxlayacağıq.
[21:21] ola bilər. Bunu daha sonra yoxlayacağıq. Username və passwordla əldə eləmiş
[21:22] Username və passwordla əldə eləmiş oluruq. Bu da digər sualın elə birinin
[21:25] oluruq. Bu da digər sualın elə birinin cavabıdır.
[21:30] Və beləliklə 1də olan suallarla
[21:32] Və beləliklə 1də olan suallarla yekunlaşmış oluruq. Hansı ki, SRF
[21:35] yekunlaşmış oluruq. Hansı ki, SRF boşluğu var idi, XX var idi, SQL
[21:38] boşluğu var idi, XX var idi, SQL injection var idi,
[21:41] injection var idi, daha sonra nə var idi? Yandan çıxdı. Nə
[21:43] daha sonra nə var idi? Yandan çıxdı. Nə isə,
[21:44] isə, daha sonra Web app 2-yə keçirik. Web2yə
[21:47] daha sonra Web app 2-yə keçirik. Web2yə keçdiyimiz zaman bir dənə
[21:52] web 2yə keçdiyimiz zaman burda artıq bir
[21:54] web 2yə keçdiyimiz zaman burda artıq bir aaz süni intellekt mənə kömək oldu.
[21:58] aaz süni intellekt mənə kömək oldu. Deməli başlanğıc olaraq belə bir
[22:01] Deməli başlanğıc olaraq belə bir error qaytarır bizə. Not found. URL was
[22:03] error qaytarır bizə. Not found. URL was not found on the server. Daha sonra
[22:06] not found on the server. Daha sonra deyir search f bir sıra bu toolardan
[22:10] deyir search f bir sıra bu toolardan istifadə elədim. Fərqli-fərqli
[22:11] istifadə elədim. Fərqli-fərqli wordlərdən istifadə elədim. Heç birində
[22:13] wordlərdən istifadə elədim. Heç birində alınmırdı nəticə. Nəticəni özü bizdə
[22:16] alınmırdı nəticə. Nəticəni özü bizdə variantda cavablarda göstərir ki,
[22:19] variantda cavablarda göstərir ki, example olaraq məsələn hər hansı bir
[22:22] example olaraq məsələn hər hansı bir directorin altında başqa bir directord
[22:25] directorin altında başqa bir directord gəlib nə ola bilərdi burda? Burda ola
[22:28] gəlib nə ola bilərdi burda? Burda ola bilərdi ki, məsələn
[22:30] bilərdi ki, məsələn A ya özümüz yaza özümüz yazırıq ki,
[22:33] A ya özümüz yaza özümüz yazırıq ki, skript yazılsın bir dənə hansı ki
[22:36] skript yazılsın bir dənə hansı ki götürsün bir dənə sözü götürsün word
[22:38] götürsün bir dənə sözü götürsün word içərisində olan bir dənə sözü götürsün
[22:40] içərisində olan bir dənə sözü götürsün məsələn admin və digər sözləri adminin
[22:43] məsələn admin və digər sözləri adminin altında başlasın yoxlamağa Sonra növbəti
[22:45] altında başlasın yoxlamağa Sonra növbəti olaraq fərqli bir söz götürsün.
[22:47] olaraq fərqli bir söz götürsün. Administrator. Yəni belə-belə ardıcıl
[22:49] Administrator. Yəni belə-belə ardıcıl olaraq sözləri götürsün. Hansı ki, bu
[22:53] olaraq sözləri götürsün. Hansı ki, bu nəyə bənzəyirsdə?
[22:55] nəyə bənzəyirsdə? Intruder hücumlardan var.
[23:00] Məsə göndərim
[23:02] Məsə göndərim burda hansı ki bomb səhv eləmirəmsə.
[23:14] Par səhvdir.
[23:24] səhv eləmirəmsə klaster bomb olasıdır.
[23:26] səhv eləmirəmsə klaster bomb olasıdır. Yəni klaster bombda olduğu kimi bir
[23:28] Yəni klaster bombda olduğu kimi bir dənəsini götürür və yerdə qalan worddə
[23:31] dənəsini götürür və yerdə qalan worddə olan sözlərin hamısını başlayır ikinci
[23:33] olan sözlərin hamısını başlayır ikinci dəfə yoxlamağa. Elə elə alt-alta
[23:35] dəfə yoxlamağa. Elə elə alt-alta yoxlayacaq. Yəni nətəər
[23:38] yoxlayacaq. Yəni nətəər notipad
[23:41] notipad mötərizə səhifə məsələn admini
[23:44] mötərizə səhifə məsələn admini götürəcək. Birinci söz ad üstündə
[23:47] götürəcək. Birinci söz ad üstündə başlayacaq yoxlamağa. Admin admin.
[23:52] admin login bu biraz çox vaxt aparan bir
[23:56] admin login bu biraz çox vaxt aparan bir olacaqdı gəldim intellektə yazdım ki
[23:59] olacaqdı gəldim intellektə yazdım ki bəs default olaraq mənə elə şeylər
[24:01] bəs default olaraq mənə elə şeylər qaytar ki login page olsun
[24:06] qaytar ki login page olsun bundan sonra götürdüm bunları məsələn
[24:08] bundan sonra götürdüm bunları məsələn özü göstər bizə apı a sign in panel
[24:11] özü göstər bizə apı a sign in panel login burada login txi kimi deyir
[24:14] login burada login txi kimi deyir bunları saxla bunların hamısını əlavə
[24:16] bunları saxla bunların hamısını əlavə elədikdən sonra rahat bir şəkildə faff
[24:19] elədikdən sonra rahat bir şəkildə faff eləmək mümkündür
[24:21] eləmək mümkündür Və burda əlavə olaraq bizə protiplər də
[24:23] Və burda əlavə olaraq bizə protiplər də verir ki, lablarda çox işləyir. Web app
[24:25] verir ki, lablarda çox işləyir. Web app login, app login və elə bizə lazım
[24:28] login, app login və elə bizə lazım olanlardan biri də burda hansıdır?
[24:29] olanlardan biri də burda hansıdır? Client login. Mən adicə client yazdığım
[24:32] Client login. Mən adicə client yazdığım zaman
[24:36] slash client bu mənə error qaytarır.
[24:39] slash client bu mənə error qaytarır. Buna görə də dech kimi toollar bunu
[24:42] Buna görə də dech kimi toollar bunu görmür. Directory kimi görmür. Onun
[24:45] görmür. Directory kimi görmür. Onun altında da heç bir yoxlamır. Götürür
[24:47] altında da heç bir yoxlamır. Götürür avtomatik olaraq bunu deyir ki, heç bir
[24:49] avtomatik olaraq bunu deyir ki, heç bir tapmadın və keçir növbətinə. Ona
[24:51] tapmadın və keçir növbətinə. Ona görə heç bir nəticə alınmırdı. Yəni elə
[24:53] görə heç bir nəticə alınmırdı. Yəni elə bir ya skript yazmaq lazımdır, ya da
[24:55] bir ya skript yazmaq lazımdır, ya da süktən default olanları word kimi yazıb
[24:58] süktən default olanları word kimi yazıb ən yaxşı halda məndə kimi alınmağını
[25:02] ən yaxşı halda məndə kimi alınmağını gözləməkd.
[25:05] Daha sonent loginə daxil oldum
[25:09] Daha sonent loginə daxil oldum və belə bir sayt qarşılayır bizi. Burda
[25:12] və belə bir sayt qarşılayır bizi. Burda login deyirik. Və bizdə artıq
[25:15] login deyirik. Və bizdə artıq credentialarda var idi. Usernameə,
[25:18] credentialarda var idi. Usernameə, passwordumuz.
[25:20] passwordumuz. Gəlib elə bunu burdan götürsəm. Bu
[25:22] Gəlib elə bunu burdan götürsəm. Bu usernameir.
[25:26] Növbəti hissə isə mənim passwordumdur.
[25:29] Növbəti hissə isə mənim passwordumdur. Gəlib burda password kimi yoxlaya da
[25:30] Gəlib burda password kimi yoxlaya da bilərik. Alınmasa hash qurmaq da olar.
[25:34] bilərik. Alınmasa hash qurmaq da olar. Lakin alınır elə. Not deyirəm.
[25:37] Lakin alınır elə. Not deyirəm. Və bizə belə deyir ki,
[25:40] Və bizə belə deyir ki, 1337
[25:42] 1337 request scope scopumuzdir.
[25:46] request scope scopumuzdir. Basdığım zaman icazələr nəd indi gələcək
[25:50] Basdığım zaman icazələr nəd indi gələcək icazə ver falan.
[25:52] icazə ver falan. Deyir öz haqqında bax və bizi welcome
[25:55] Deyir öz haqqında bax və bizi welcome user nə bilim nə bayaqlar daxil
[25:57] user nə bilim nə bayaqlar daxil elədiyimiz user. You have read access. V
[26:00] elədiyimiz user. You have read access. V your data deyir ha. heç bir
[26:01] your data deyir ha. heç bir qarşılamır. Explore public resource yenə
[26:04] qarşılamır. Explore public resource yenə heç bir qarşılamır. Yəni boş bir
[26:06] heç bir qarşılamır. Yəni boş bir səhifədir sadəcə.
[26:08] səhifədir sadəcə. Və user data, nə bilim eləbə bizə
[26:10] Və user data, nə bilim eləbə bizə maillər göstərir.
[26:13] maillər göstərir. Daha sonra qayıdıram əvvəl. Gəlib biz
[26:15] Daha sonra qayıdıram əvvəl. Gəlib biz bunu bükdə tutubdə tutub dəyişə bilərik.
[26:19] bunu bükdə tutubdə tutub dəyişə bilərik. Lakin hal-hazırda scop elə adi URL
[26:22] Lakin hal-hazırda scop elə adi URL hissəsində görsənir. BSdə nətəər idiə
[26:27] hissəsində görsənir. BSdə nətəər idiə post sorğusu budur görə
[26:31] post sorğusu budur görə yox mənə lazımdır. Aha de bu sorğu. Bu
[26:35] yox mənə lazımdır. Aha de bu sorğu. Bu sorğud gör.
[26:41] Bdə görürük ki, post sorğusunu
[26:43] Bdə görürük ki, post sorğusunu göndərdikdən sonra interse hissəsində
[26:47] göndərdikdən sonra interse hissəsində bir dənə get sorğusu gələcəkdi. Biz
[26:49] bir dənə get sorğusu gələcəkdi. Biz gəlib həmin get sorğusuna scopu
[26:51] gəlib həmin get sorğusuna scopu dəyişəcəkdik. Fərqli-fərqli şeylər
[26:53] dəyişəcəkdik. Fərqli-fərqli şeylər eləyəcəkdik. Bunu da süni intellekt
[26:55] eləyəcəkdik. Bunu da süni intellekt vasitəsilə default olanları çağırsaq
[26:59] vasitəsilə default olanları çağırsaq bizə gəlir ki, scope redi dəyiş admin
[27:01] bizə gəlir ki, scope redi dəyiş admin eləyə bilərsən, write eləyə bilərsən,
[27:03] eləyə bilərsən, write eləyə bilərsən, read eləyə bilərsən, full eləyə
[27:04] read eləyə bilərsən, full eləyə bilərsən. admin olaraq dəyişdim
[27:07] bilərsən. admin olaraq dəyişdim və admin olaraq dəyişəndən sonra
[27:08] və admin olaraq dəyişəndən sonra yoxlamağa başladım. Gəldim bunu admin
[27:11] yoxlamağa başladım. Gəldim bunu admin eləyirəm və admin elədikdən sonra fikir
[27:14] eləyirəm və admin elədikdən sonra fikir verirsizsə request scope admin olaraq da
[27:15] verirsizsə request scope admin olaraq da dəyişdim. Ora nə yazıramsa o da gəlir.
[27:18] dəyişdim. Ora nə yazıramsa o da gəlir. Və burda dediyim zaman məndən OTP kodu
[27:21] Və burda dediyim zaman məndən OTP kodu istəyir. Email göndərilmiş OTP kodu.
[27:24] istəyir. Email göndərilmiş OTP kodu. Təbii ki də burda
[27:26] Təbii ki də burda random yoxlaya bilərik. Bir iki submit
[27:30] random yoxlaya bilərik. Bir iki submit elədim. invp
[27:33] elədim. invp həmişə göndərmir deyə bir dəfə göndərir
[27:37] həmişə göndərmir deyə bir dəfə göndərir və bur necə deyim nə qədər istəsə
[27:40] və bur necə deyim nə qədər istəsə yoxlaya bilir yəni brut force vasitəsilə
[27:42] yoxlaya bilir yəni brut force vasitəsilə tapa bilirik ki bu rəqəm hansı imiş
[27:45] tapa bilirik ki bu rəqəm hansı imiş dəyişmir yəni sistem hər dəfə yenilənmir
[27:47] dəyişmir yəni sistem hər dəfə yenilənmir o tipi kodumuz bu da sistemin daha bir
[27:50] o tipi kodumuz bu da sistemin daha bir zəifliyidir
[27:52] zəifliyidir gəlib burda neynirəm göndərilən post
[27:54] gəlib burda neynirəm göndərilən post sorğusuna baxıram və daha sonra bunu
[27:57] sorğusuna baxıram və daha sonra bunu ctrol i və yaxud da sağ klik eləyib Send
[28:00] ctrol i və yaxud da sağ klik eləyib Send to intruder deyirəm, intrudera
[28:02] to intruder deyirəm, intrudera və mənə lazım olan hissəp
[28:04] və mənə lazım olan hissəp hissəsidir. Burda simple hissəsini
[28:07] hissəsidir. Burda simple hissəsini dəyişirik, brut force eləyirik. Niyə?
[28:09] dəyişirik, brut force eləyirik. Niyə? Çünki brut force eləyəcəyik. Yəni həmin
[28:11] Çünki brut force eləyəcəyik. Yəni həmin hissəni fərqlifərqli yoxlayacaıq.
[28:14] hissəni fərqlifərqli yoxlayacaıq. Number yoxlamırıq ona görə ki, burda
[28:16] Number yoxlamırıq ona görə ki, burda məsələn 0 ola bilər, 0 ola bilər. Yəni
[28:19] məsələn 0 ola bilər, 0 ola bilər. Yəni fərqlifərqli
[28:21] fərqlifərqli xarakter
[28:24] xarakter birləşmələri ola bilər deyək. Ona görə
[28:27] birləşmələri ola bilər deyək. Ona görə biz burda brut forcean istifadə elirik.
[28:29] biz burda brut forcean istifadə elirik. Gəlib
[28:30] Gəlib hərfləri silirik. Hərflər bizə lazım
[28:32] hərfləri silirik. Hərflər bizə lazım deyil. Minimum lengs üç olur. Maksimum
[28:35] deyil. Minimum lengs üç olur. Maksimum lengs olur. Və daha sonra start attack
[28:38] lengs olur. Və daha sonra start attack deyirik.
[28:47] Artıq gözləyirik ki, hansında, hansısa
[28:50] Artıq gözləyirik ki, hansında, hansısa fərqli lens verə bilər, hansısa fərqli
[28:52] fərqli lens verə bilər, hansısa fərqli stat kod verə bilər
[28:54] stat kod verə bilər və responsive vaxtı fərqli ola bilər.
[28:59] və responsive vaxtı fərqli ola bilər. Onu gözləyirik ki, hansı olacaq o.
[29:04] Aha,
[29:06] Aha, bunu yoxlaya bilərik. Yoxlaya bilərik
[29:08] bunu yoxlaya bilərik. Yoxlaya bilərik bəlkə də. Respons invil tipi. Lakin bu
[29:11] bəlkə də. Respons invil tipi. Lakin bu deyil. fikir versə yenə invil tipi
[29:13] deyil. fikir versə yenə invil tipi deyir. Bad request deyir.
[29:37] Buna heç bir çıxartmam bizə.
[29:52] Görək requestimizdə hər hansı bir aha
[29:55] Görək requestimizdə hər hansı bir aha fikir verirsizsə bunu harda dayandırım
[29:57] fikir verirsizsə bunu harda dayandırım bir dənə. Aha
[29:59] bir dənə. Aha status kodumuz da fərqlidir. Response
[30:02] status kodumuz da fərqlidir. Response resip o qədər fərqli deyil. Yəni burdan
[30:04] resip o qədər fərqli deyil. Yəni burdan heç bir əldə eləməyəcəyik. Və
[30:05] heç bir əldə eləməyəcəyik. Və lensimiz fərqlidir. Lensdə gələn
[30:08] lensimiz fərqlidir. Lensdə gələn responsdığımda shouldom
[30:11] responsdığımda shouldom deyir bizə avtomatik göndərəcək. Mən
[30:14] deyir bizə avtomatik göndərəcək. Mən gəlib bunu ctrol rə basaraq repera
[30:17] gəlib bunu ctrol rə basaraq repera göndərə bilərəm həmin sorğunu. O tip
[30:19] göndərə bilərəm həmin sorğunu. O tip kodu 176-dır gördüyünüz kimi. Və burda
[30:21] kodu 176-dır gördüyünüz kimi. Və burda send eləyərəm. Burdan bir dənə
[30:23] send eləyərəm. Burdan bir dənə settingsdən verb setin ayarlarını
[30:24] settingsdən verb setin ayarlarını düzəldim.
[30:26] düzəldim. Renderə görə bilərik. Fikir verirsizsə,
[30:30] Renderə görə bilərik. Fikir verirsizsə, özü bizə deyir ki, follow redirection.
[30:33] özü bizə deyir ki, follow redirection. Yəni bunu deyir özün də eləyə bilərsən
[30:35] Yəni bunu deyir özün də eləyə bilərsən əgər göndərməsə linkə kliklə və yaxud da
[30:37] əgər göndərməsə linkə kliklə və yaxud da f direction elə.
[30:39] f direction elə. Və bizə belə bir səhifə qayıdır. Bunu
[30:43] Və bizə belə bir səhifə qayıdır. Bunu gəlib elə özümüz ən yaxşısı burda
[30:44] gəlib elə özümüz ən yaxşısı burda yoxlamaqdır. OPP kodun OTP kodu səhv
[30:47] yoxlamaqdır. OPP kodun OTP kodu səhv eləmirəmsə 176 idi. Dəyişmir deyə rahat
[30:50] eləmirəmsə 176 idi. Dəyişmir deyə rahat şəkildə brut force eləyə bilirik. Yəni
[30:52] şəkildə brut force eləyə bilirik. Yəni hər dəfə sorğu göndərdiyimizdə yeni bir
[30:55] hər dəfə sorğu göndərdiyimizdə yeni bir OTP kodu bizə vermir və hər beş sorğudan
[30:57] OTP kodu bizə vermir və hər beş sorğudan bir vermir. Sadəcə bir dənə OTP kodu
[30:59] bir vermir. Sadəcə bir dənə OTP kodu verir və biz həmin OTP kodunu tapmağa
[31:01] verir və biz həmin OTP kodunu tapmağa çalışırıq. Bu da Hüseyn daha rahat
[31:04] çalışırıq. Bu da Hüseyn daha rahat olduğunu göstərir.
[31:06] olduğunu göstərir. All resource eyni şeyi qaytarır. Bayaqki
[31:08] All resource eyni şeyi qaytarır. Bayaqki kimi admin panel dediyimiz zaman admin
[31:11] kimi admin panel dediyimiz zaman admin panelə daxil olmuş oluruq. Və artıq
[31:14] panelə daxil olmuş oluruq. Və artıq nəticədə də admin panelə daxil olub ən
[31:16] nəticədə də admin panelə daxil olub ən son sualı
[31:18] son sualı yazmış oluruq. Ən son sual bizdə bobsun
[31:21] yazmış oluruq. Ən son sual bizdə bobsun kredit kartının nömrəsini istəyir və biz
[31:24] kredit kartının nömrəsini istəyir və biz də burda bobsun kredit kartının
[31:25] də burda bobsun kredit kartının nömrəsin, expire datein və CV-ni
[31:28] nömrəsin, expire datein və CV-ni görürük.
[31:30] görürük. Beləliklə, bu da belə qurtarmış oluruq.