Uzun bir aradan sonra hız kesmeden araştırmalarımıza devam ediyoruz. Bu yazımızda aslında çoğu junyır pentester'ın pek de umursamadığı veya kıymeti hakkında pek bilgisi olmadığı dehşet-ul wahşet bir konu konuşacağız. COOKİE TÜRLERİ ve Pentest bakış açısı.Tüm cookie çeşitlerinden değil arada seçip anlatacağız bazılarını. Bismillah.

Cookie Nedir, Neden var?

Sen bir siteye giriş yaptığında sunucu sana özel bir oturum yani session oluşturur. Bu oturumun içerisinde ise sana has bir kimlik verir. İşte bu kimlik cookie içerisinde taşınır. Sen sisteme her girdiğinde veyahut bir istek yolladığında oturum(session) senin kimliğini sunucuya göndererek doğrulatır. İşte bu kimlik de cookielerin içerisinde saklanıp taşınır.

Bi nevi senin sitede çalışma mantığını da ele aldık.

Hocam Cookie neymiş, senin sitede gezinebilmen için oluşturulan kimliği taşıyormuş.

Cookie Türleri Nelerdir ve Bir Hacker Bunlara Nasıl Yaklaşır

1. Session Cookie

Bu fotoğraf aslında bizlere session Cookie'lerin pozisyonunu net bir şekilde anlatıyor. Biz yine de Teorik olarak detayına inelim.

Session cookieler geçici cookilerdir. Bunun amacı ise kullanıcının oturumunu tanımlamaktır. Eğer geçici ise tarayıcı kapanınca silinmeli diyebilir miyiz?

Evet, tam da öyle. Genellikle Expires veya max-age içermez.

Max-age: Cookienin ne kadar süre yaşayacağıdır. Ee bu cookie geçici olduğu için ömrü tarayıcı açık kalana kadardır. Modern bir yöntemdir.

Expires: Tam olarak hangi tarihte biteceğidirr, ne kadar yaşayacağıdır. Max-Age ile aynı mantıkta çalışır , daha eski ve çok tercih edilmeyen bir yöntemdir.

Set-Cookie: user=Zeki; Expires=Wed, 10 Apr 2026 12:00:00 GMT

Nasıl çalıştığını az çok anladık gibi şöyle hemen hızlıca özetleyelim.

-Sen siteye giriş yaptın

-Site sana hemen sitede dolaş diye bir kimlik tanıdı ve bunu oturuma verdi

-Oturum da cookiede taşıdı.

Burda şuna dikkat et. Bu cookielerde kullanıcı bilgisi yok sadece sana atanan geçici ID-Kimlik var çünkü geçicidir. Sen bir şey araştırmak için bir web sitesine girdiğinde sana verilir bu kimlik. İşin bittiğinde de çıkıp gidiyorsun. Sitede beni hatırla dersen kimlik bilgin her girişte aynı olur ve silinmez bilgin olsun.

Bu bilgiler her zaman geçerli değildir. Kullanıcı bilgisi ve cookie süresi bazı sistemlerde değişiklik gösterebilir.

Cookie süresinde beni hatırla kısmı ile süresi kalıcı hale gelebilir.

Kullanıcı bilgisi ise kötü bir tasarımda mesela ;

user_id:

role:Admin

gibi bir zafiyet de olabilir.

Bir Hacker neler yapabilir peki?

Session hijacking saldırısı sana verilen bu geçici Kimliği Cookie üzerinden öğrenerek sistemde senin oturumunu ele geçirir.

Tamam ele geçirir falan da peki bunu nasıl yapıyor?

XSS ile Cookie Çalma

Eğer cookie'de Httponly yoksa:

alert(document.cookie) gibi bir payload ile Session ID direkt çalınır.

MITM (Man in the Middle)

Man in the middle( ortadaki adam saldırısı) ile cookieler çalınabilir.

Sadece bu yöntemler değil birden fazla yöntem mevcuttur session cookieleri çalmak için. En bilindik olanlar bu iki yöntemdir.

2. Persistent( kalıcı) Cookie

Bu cookie türü geçici değil kalıcıdır ve diskte saklanır.

Session cookielerde max-age veya expire yoktu ama bu cookie türü kalıcı olduğundan bunları barındırıyor.

Beni Hatırla sistemlerinde çokça kullanılır.

Pentest açısından nasıl bir tehlike içeriyor?

Bu cookie türleri kalıcı olduğundan ve sistemde uzun süre kaldığından dolayı hacker üzerinden çokça işlem yapabilir ve ele geçirebilir.

Session cookieler geçici ve anlıktı bundan dolayı hackerin sistemi anlık takip etmesi gerekiyordu ama Persistent de öyle bir durum sözz konusu değil çünkü kullanıcının oturum kimlik bilgilerini içeren cookieler diskte kaydedildiğinden dolayı uzun süre sistemde kalıyor.

Account tekover denilen zafiyeti az çok duymuşsun veya biliyorsundur. Bu saldırı türü persistent cookieler ve remember me barındıran session cookiler üzerinden denenir. Burada mantık kısaca şu: Kullanıcı cookiesi çalınıp sisteme şifresiz girebilme. Genel bir tabirle böyledir.

Saldırgan sisteme kalıcı bırakılan persistent cookieleri bulup farklı bir tarayıcıda kullanır.

Sistemde eğer 2FA gibi tekrar bir doğrulama yoksa doğrudan şifresiz giriş yapılır.

Burp üzerinden genel mantık şöyledir

->Burp suite üzerinde giden isteği takip et

->Eğer istekte şöyle bir cookie görürsen bil ki sistemde Account tekover var

NORMAL KULLANICI İSTEĞİ


GET /dashboard HTTP/1.1
Host: BughaneAcademy.com 
Cookie: sessionid=USER_A_123

SİSTEM 200 DÖNER
ÇALINAN/BİLİNEN  COOKİE DENEMESİ 

ELİNDE sessionid=ADMIN_999 Olduğunu varsayıyorum
sen bu isteği repeater'a atıp cookie kısmını değiştirdin 

GET /dashboard HTTP/1.1
Host: BughaneAcademy.com
Cookie: sessionid=ADMIN_999


SİSTEM 200 DÖNERSE ADMİN PANELDESİN

Veyahut sana şöyle bir account tekover anlatayım.

Cookie: remember_token=RUHİÇENET123

Sen bunu değiştirip yerine;

Cookie: remember_token= ADMIN_TOKEN

yaparsan ve bu sistemde daha farklı bir doğrulama istemezse burda yine admin panele erişiyorsun

Third-Party Cookie (Üçüncü Taraf Çerezler)

Çoğu zaman bir şeyler araştırmak için siteleri gezdiğimizde sürekli karşılaştığımız bir durum var.

Çerezleri kabul et zımbırtısı

Nedir abi bu üçüncü taraf cookileri?

Bir web sitesini ziyaret ettiğinde, site farklı amaçlarla çeşitli cookie'ler kullanır. Bu cookie'lerin bir kısmı oturum yönetimi gibi temel işlevler için zorunluyken, bir kısmı kullanıcı davranışlarını analiz etmek ve kişiselleştirilmiş içerik sunmak için kullanılır. "Çerezleri kabul et" seçeneği ise genellikle bu ikinci gruptaki, yani takip ve analiz amaçlı cookie'ler için kullanıcıdan izin alınmasını ifade eder.

Bir pentester'ın göz bebeğinden

Diğer cookielere yaptığın şeyi burda da yap.

İlk önce Cookie analiz et.

Set-Cookie: user=zeki; role=user

istekte bunu gördüğünde şunu düşüm:

Bu veri ; client-side mi, ve manipüle edilebilir mi?

Bu veriyi user yerine admin yazarak manipüle etmeye çalış.

Bir başka kritik durum ise cookie içerisinde kullanıcı mail gibi özel şeylerin dönmesi.

kullanıcı maili dönen bir senaryoda şu yaşanabilir:

Set-Cookie: email=zeki@gmail.com

Saldırgan burda senin maili öğrendi

senin hangi maille hangi sitede gezindiğini de biliyor artık.

Sana şöyle bir mesaj yollayamaz mı: X sitesindeki hesabınızda sorun var. Hesabınızı kullanmaya devam etmek için lütfen adımları takip edin

diyip link de verebilir.

Cookieleri çok iyi kontrol et ve nasıl davrandığını analiz et.

Secure Cookie( Güvenli çerez)

Bu cookieler sadece https üzerinden gönderilir.

Normal cookieler https üzerinden gider ve herkes okuyabiliyorken secure olanlar ise sadece https üzerinden gönderilir ve kimse okuyamaz.

Normal sıradan bir siteye girdin

target.com

response bak cookie geliyor mu?

set-cookie session=abc123

secure flag var mı kontrol et

…

Diğer türleriyle devam edeceğiz

Zeki Kayaalp