Netsparker Web Güvenliği Blog'u

SoundHijacking - Abusing Missing XFO

SoundHijacking - Abusing Missing XFO

Kategori: Web Güvenliği - Güncelleme: 12 Kasım 2018 - Ziyahan Albeniz

Yıllar öncesinde çokça tartışılan UI Redressing atağının ve önlemi olarak bildiğimiz X-Frame-Options Header'ı farklı bir amaçla kullanıldı. Araştırmacı Raushan Raj, Google Docs'te XFO header'ının kullanılmamasından faydalanarak sitesini ortam dinleme cihazına çevirmeyi başardı. Devamı

Google Arama Bot'u Adres Sormaz ki!

Google Arama Bot'u Adres Sormaz ki!

Kategori: Web Güvenliği - Güncelleme: 05 Kasım 2018 - Ziyahan Albeniz

Siteniz arama motorunun saldırısı altında mı? Google arama botları aracılığı ile saldırılarını websitenize yönlendiriyor olabilirler. Apache Struts zafiyetlerinde yakın zamanda çıkanlardan bir tanesi (CVE-2018-11776) bakın botlarla beraber ne amaçlarla kullanılıyormuş. Devamı

Web Güvenliği Sadece Web Güvenliği Değildir: Web Temelli Saldırılar ile IoT Cihazların Keşfi ve Kontrolü

Web Güvenliği Sadece Web Güvenliği Değildir: Web Temelli Saldırılar ile IoT Cihazların Keşfi ve Kontrolü

Kategori: Web Güvenliği - Güncelleme: 09 Ekim 2018 - Ziyahan Albeniz

DNS rebinding atakları günümüzde hala atak vektörleri değişerek karşımıza çıkıyor. IOT cihazlarda DNS rebinding ataklar ile yapılan araştırmayı paylaşıyoruz. Ayrıca Fragmented SQL Injection ile birden fazla parametre kullanılarak nasıl injection yapıldığını da sizler için yazdık.. Devamı

Tor Kokarsa Neylenir?

Tor Kokarsa Neylenir?

Kategori: Web Güvenliği - Güncelleme: 18 Eylül 2018 - Ziyahan Albeniz

Kullandığınız browser'ı seçerken sadece hıza mı bakıyorsunuz? Her an yeni versiyonlarıyla karşılaştığımız browser'ınızı ne kadar güncel tutuyorsunuz? Microsoft Edge ve Safari tarayıcıları üzerinde ortaya koyulan yeni phishing saldırıları tarayıcı seçimlerimizin önemini gösteriyorken, Tor Browser 7.x versiyonunda NoScript eklentisinin bypass edilerek script çalıştırabildiğimizi öğrenmemiz aynı haftaya denk geldi. Daha fazlası için sizi içeri alalım. Devamı

Toparlanın Git'miyoruz

Toparlanın Git'miyoruz

Kategori: Web Güvenliği - Güncelleme: 11 Eylül 2018 - Ziyahan Albeniz

Git - versiyon kontrol sistemini (VCS) websiteniz de kullanıyor musunuz? Peki, konfigurasyonların doğru yapılandırılmadığında tüm websitesinin kaynak kodunun saldırganın eline verebileceğizi biliyor muydunuz? Git'e hızlı bir bakış ile güvenlik konfigurasyonlarını inceliyoruz. Tor servislerinde SSL ekleyeyim derken Public IP'nizin ifşa olması! Devamı

Dimyat'a Pirince Giderken, Evdeki Gizlilikten Olmak: Firefox'un DNS over TLS ve Trusted Recursive Resolver Özelliklerine Kaygılı Bir Bakış

Dimyat'a Pirince Giderken, Evdeki Gizlilikten Olmak: Firefox'un DNS over TLS ve Trusted Recursive Resolver Özelliklerine Kaygılı Bir Bakış

Kategori: Web Güvenliği - Güncelleme: 14 Ağustos 2018 - Netsparker Security Team

Firefox, yerel ISS'lerin DNS konusunda kullanıcı gizliliğini tehlikeye atmalarına karşın CloudFlare'i varsayılan Trusted Recursive Resolver tarayıcısına dahil ediyor. Trusted Recursive Resolver(TRR) ve bu gelişmelerin gizliliğimizi nasıl etkileyeceğini merak ediyor musunuz? Diğer bir yandan Let's encrypt artık bağımsız bir otorite oldu. Daha önce değil miydi diyenleri duyar gibiyiz. Devamı

Hoş Gelişler Ola Feature Policy ve Yolcudur X-XSS-Protection!

Hoş Gelişler Ola Feature Policy ve Yolcudur X-XSS-Protection!

Kategori: Web Güvenliği - Güncelleme: 23 Temmuz 2018 - Netsparker Security Team

Güvenli internet'e atılan adımlarda en popüler yazılımlarımız olan internet tarayıcılarının da güvenlik noktasındaki sıkılaştırmalarına her gün yenileri ekleniyor. Taslak halindeki yeni bir çalışma olan Feature Policy ile konum erişimi, kamera, mikrofon, jiroskop gibi sensörlere ait verilerin artık site contextin de izin yönetimi de mümkün hale geliyor. Güvenlik Header'i X-XSS-Protection artık Edge'de varsayılan olarak kapalı gelecek! Devamı

GDPR Sürecini Nasıl Yönetmeliyiz?

GDPR Sürecini Nasıl Yönetmeliyiz?

Kategori: Web Güvenliği - Güncelleme: 28 Haziran 2018 - Huriye Ozdemir

GDPR uyumluluğunu yönetme sürecinde şirketler, verilerin sınıflandırılması, veri akışının kontrolü, veri güvenliğinin sağlanması, olası bir veri ihlali durumunda eylem planının oluşturulması, hesap verebilirlik ilkesine bağlı olarak veri koruma sorumlularının belirlenmesi, sürecin izlenebilmesi için veri kaydının tutulması ve mevcut politikaların güncellenerek gerekli politika ve sözleşmelerin tamamlanması gibi hususlar üzerinde önemle durmalı ve kişisel verilerin korunması adına süreci sürekli olarak kontrol altında bulundurmalıdır. Devamı

8 Milyon Kullanıcıyı Etkileyen SOP Bypass'ı

8 Milyon Kullanıcıyı Etkileyen SOP Bypass'ı

Kategori: Web Güvenliği - Güncelleme: 11 Haziran 2018 - Netsparker Security Team

Hepimiz tarayıcılarımızda bir takım eklentiler kullanıyoruz, kimisi sayfaların başına kimisi sonuna kendi javascript dosyalarını injecte ediyor. Peki, hangi durumda ne kadar güvenebiliriz? Tehlikeli olabilecek noktaları Same Origin Policy engelleyebiliyor mu? Birlikte öğrenelim. Devamı

CSP'de Yeni Bir Bypass: "Kevgir Misin Be Kardeşlik?"

CSP'de Yeni Bir Bypass: "Kevgir Misin Be Kardeşlik?"

Kategori: Web Güvenliği - Güncelleme: 28 Mayıs 2018 - Netsparker Security Team

CSP ile güvenlik önlemlerini ne kadar katılaştırsakta saldırganlar sürekli bir yeni gedik açıyorlar. Bu sefer Firefox'un Legacy Extension'ı kullanılarak, CSP bypass edildi. Iframe güvenliğinden bahsederken HTML5 özelliklerinden srcdoc attribute gözlerden uzakta tehlike saçabiliyor. Yine yardıma ise bir başka html5 iframe attribute sandbox geliyor. Devamı