Bugün Bolu’da onuncu, kampta sekizinci günüm. Uyku saatlerimi 00.00–07.00 arasında tutmaya gayret gösteriyorum. Böylelikle yoğun geçen ders saatlerinin öncesi ve sonrasında kendime zaman ayırabiliyorum.
Sabah oturumunda dün başladığımız SQL Injection konusuna devam ettik. Time-based, Error-based ve Out-of-band SQL Injection türlerini öğrendik. Boolean, Blind ve Time-based türleri arasındaki terminolojik ilişkiyi kavradık. Yine Web for Pentester’daki alıştırmaları yaparak oturumu tamamladık.
Öğle oturumunun ilk yarısına SSL ile başladık. Sertifika otoritelerindenSSL Spoofing’e kadar birçok konuya değinen yine temelden bir girizgah oldu. Bir MITM senaryosuyla, bir web sitesinin HTTPS ile nasıl çalıştığını ve HTTP ile arasındaki farkları anladık. Mehmet İnce ve Hasan Emre Özer ile yaptığımız derslerin son günü olması hasebiyle konu konuyu açtı. Başlık olarak vermem gerekirse, ReDoS, ReDoS örnekleri, DFA, NFA, XFF, Object Relational Mapping (ORM), Parameter Binding, HSTS ve uygulama tarafında SQL Injection zafiyetini engellemenin yolları öğle oturumunun ilk yarısının konularıydı.
Oturumun ikinci yarısında ise Hasan Emre Özer’in anlatımı sonrasında sqlmap aracını kullandık. Web for Pentester üzerinde elle çözdüğümüz SQL Injection alıştırmalarını bu defa sqlmap’e yaptırdık. IDOR zafiyetiyle oturumu bitirdik.
Yarın yeni hocalarla yapacağımız ilk ders olacak. Bu da kampın ilk yarısının tamamlandığı anlamına geliyor.