Haftanın Hackleri

HPKP'ye Veda mı? DNS over TLS, ADINT

Kategori: Web Güvenliği - 30 Ekim 2017 - Netsparker Security Team

DNS sorgularının dahi şifrelenmiş olduğu ancak web sitelerinde karşılaştığınız reklamlar ile adım adım takip edilebildiğiniz, KRACK ile şifreli iletişimin hiçe sayılabildiği, BadRabbit gibi sürekli yeni bir tehlikenin olduğu dünya gerçekten güvenli mi? HPKP’den bahsetmiyoruz bile. Devamı


Web Uygulama Zafiyetlerinde Önem Dereceleri

Netsparker'a CyberSecurity Breakthrough 2017 Ödülü Verildi

Kategori: Web Güvenliği - 27 Ekim 2017 - Robert Abela

Dünya çapında dijital bilgi güvenliği alanında başarı sağlayan teknoloji şirketleri, ürün ve kişileri her yıl ödüllendiren merkezi Londra’da bulunan CyberSecurity Breakthrough bu yıl “Yılın Zafiyet Yönetimi Çözüm Sağlayıcısı” ödülünü Türk şirketi Netsparker’a verdi. Devamı


Web Uygulama Zafiyetlerinde Önem Dereceleri

Web Uygulama Zafiyetlerinde Önem Dereceleri

Kategori: Web Güvenliği - 24 Ekim 2017 - Selçuk Mıynat

Zafiyet Önem Dereceleri (Vulnerability Severities) nelerdir? Netsparker tespit ettiği zafiyetleri önem derecelerine göre sınıflandırıyor. Kritik, Önemli, Orta, Düşük ve Bilgilendirici düzeyde sınıflandırılan zaatiyetler hangileridir? Devamı


Haftanın Hackleri

IoT’nin HTTPS ile İmtihanı, API Security, SVG ile SSRF

Kategori: Web Güvenliği - 10 Ekim 2017 - Netsparker Security Team

Bu haftaki yazımızda: Tarayıcıların IoT cihazlarına olan acımasızlığını, olmazsa olmaz API Security Checklist'i, SVG dosyası ile SSRF saldırısını ve Recon aşamasının avantajlarını konu aldık. Devamı




Yazılım Geliştiricileri Anketi

Yazılım Geliştiricileri Anketi

Kategori: Haber - 02 Ekim 2017 - Robert ABELA

Seçim sistemleri gibi kritik alt yapılar dışarıya açık test ortamlarında zafiyetli uygulamalar bırakılması, güncellemelerin yapılmaması gibi basit ihmaller yüzünden tehlike altında mı? Devamı


Haftanın Hackleri

Collision Based Hashing Algoritma İfşası

Kategori: Web Güvenliği - 25 Eylül 2017 - Sven Morgenroth

Bu makalede, Collision Based Hashing Algoritma İfşası yönteminden yararlanarak, hedef web sitesinin kullanıcılara ait parolaları hash'lerken SHA-1 algoritmasını kullanıp kullanmadığını tespit etmenin yollarını anlattık. Devamı


Haftanın Hackleri

Security.TXT, Self XSS+oAuth = Good XSS, Web Mining ve dahası

Kategori: Web Güvenliği - 22 Eylül 2017 - Netsparker Security Team

Security.txt ile artık bug hunter'lara ne istediğinizi anlatabilirsiniz. Web siteleri CPU'nuza erişip Monero coin üretmesi hareketi reklamları kaldırır mı? Cure53'ten Browser Security hakkında derinlemesine bir araştırma. İşletim sisteminizi tarayıcınızdan da kullanabilir misiniz? Deep Web'in Shodan'ı Ichidan'a merhaba deyin. SSRF testing hakkında güzel bir repo görmek ster miydiniz? Self-XSS bulunca bir de OAuth varsa üzülmeyeceksiniz desek, inanır mısınız? Devamı


Netsparker Ağustos 2017 Sürüm Notları

Netsparker Ağustos 2017 Sürüm Notları

Kategori: Web Güvenliği - 20 Eylül 2017 - Netsparker Security Team

Netsparker'ın Ağustos 2017 Sürüm Notları: Farklı URL ve Doğrulama Mekanizmaları için Çoklu Credential Desteği, Yeni Güvenlik Kontrolleri ve daha fazlası. Devamı



1 Soru 1 Cevap

1S1C: CORS, CSRF'e karşı bir tedbir olarak kullanılabilir mi?

Kategori: Web Güvenliği - 08 Eylül 2017 - Netsparker Security Team

Web güvenliğinde uyuyan dev olarak adlandırdığımız CSRF saldırılarının etkilerinden korunmak isteyen kişilerin sıkça sorduğu sorulardan bir tanesi "Cross Origin Resource Sharing mekanizmasını kullanarak bu saldırı tekniklerinden korunmak mümkün mü?" olmuştur. Bir çok güvenlik modelinin olması, konseptlere aşina olmayanlar için kafa karıştırıcı olabilmektedir. Devamı


1 Soru 1 Cevap

1S1C: WWW Subdomainini Websitemde Kullanmalı mıyım?

Kategori: Web Güvenliği - 05 Eylül 2017 - Netsparker Security Team

WWW subdomaini herkes için geleneksel önem taşıyan bir subdomain gibi durur ancak işin iç yüzü öyle değil. Özellikle de birden çok kullanıcıya kendi etki alanında hizmet veren servisler için, Cookie'nin yani imparatorluğun anahtarlarının korunması için oldukça elzemdir. Devamı



Haftanın Hackleri

TOR, React, XSS ve CORS ile Güvenli Bir Hafta

Kategori: Web Güvenliği - 11 Ağustos 2017 - Netsparker Security Team

TOR ağındaki sitelerde web güvenliği ne durumda? ReactJS ile Script Injection'a nasıl mahal verebilirsiniz? Haveibeenpwned'ın password kısmını kullandınız mı? XFO header'ını gerçekten her yerde kullanmalı mısınız? CORS ile CSRF koruması sağlayabilir misiniz? Devamı


Haftanın Hackleri

Metadata, Azure Frontable Domain Tespiti, Office Belgelerindeki Tehdit

Kategori: Web Güvenliği - 04 Ağustos 2017 - Netsparker Security Team

Meta data analizi ile saldırgan kullanıcı ve bilgisayarı hakkında ne gibi bilgiler edinebilir? CDN domain kaydı ve host header saldırılarından microsoft nasıl etkilendi? Phishing saldırılarında zararlı kod içeren word belgeleri artık güvenlik cihazlarına yakalanmıyor mu? Devamı


Haftanın Hackleri

Modern Browserlarda SOP Davranışı, WP Setup Attack ve JSONP Güvenliği

Kategori: Web Güvenliği - 28 Temmuz 2017 - Netsparker Security Team

Modern Browserlarda Same-Origin-Policy Macerası yazımızda SOP kurallarının tarayıcı tasarımlarındaki farklılıklarına ait analizler, Wordpress Fresh Setup Attack yazımızda wordfence ait wordpress güvenlik analizleri, Kocayan Kurt JSONP ve Güvenlik Maskaralıkları yazımızda ise CORS kullanmaktan kaçanların JSONP ile imtihanı anlatılmaktadır. Devamı


Meraklısı İçin Apache Struts RCE Zafiyeti

Meraklısı İçin Apache Struts RCE Zafiyeti

Kategori: Web Güvenliği - 24 Temmuz 2017 - Nur YEŞİLYURT

CVE-2017-9197 kodlu uzaktan kod çalıştırma zafiyetinin Showcase uygulamasında bulunan bir programlama hatasından kaynaklandığını, sadece Showcase uygulamasını deploy edenlerin etkileneceğini, zafiyetin teknik detaylarını ve daha fazlasını bu yazımızda bulabilirsiniz. Devamı


Netsparker'da İspata Dayalı Tarama Teknolojisi

Netsparker'da İspata Dayalı Tarama Teknolojisi

Kategori: Web Güvenliği - 21 Temmuz 2017 - Robert ABELA

Netsparker web uygulama güvenliği tarayıcıları, tanımladığı güvenlik zafiyetlerini tarama esnasında otomatik olarak exploit eden ilk ve tek tarayıcıdır. Netsparker’ı rakiplerinden ayıran ve doğru sonuçlar üretmesini sağlayan özelliklerden birisi de ispata dayalı tarama teknolojisidir. Devamı


Haftanın Hackleri

SSL Revocation Mekanizmasına Endişeli Bir Bakış

Kategori: Web Güvenliği - 19 Temmuz 2017 - Netsparker Security Team

Haftanın Hackleri'nde bu hafta, çalınan SSL sertifkalarına karşı bir imdat çekici olan Revocation mekanizması nasıl çalışıyor ve Güvenlik Uzmanı Ivan Novikov'un tecrübe imbiğinden damıtılmış web uygulamalarında rastlanan 5 konfigürasyon hatası konularına değindik. Devamı


Haftanın Hackleri

Harf ve Sayıları Engelleyen WAF'ları Bypass, Alex Top 1M Site Analizi ve daha fazlası

Kategori: Web Güvenliği - 30 Haziran 2017 - Netsparker Security Team

Haftanın Hackleri'nde bu hafta harf ve sayı kullanımını engelleyen WAF'ları nasıl atlatabileceğimizden, Alexa Top 1 milyonda yer alan sitelerin güvenlik teknolojilerini ne ölçüde uyguladığından, yeni bir phishing tekniği olarak kullanılan URL Padding'den bahsettik. Bunlara ek olarak hoşumuza giden araçları sizlerle paylaşmaktan da geri kalmadık. Devamı


Web Güvenliğinde Otomasyonun Önemi

Web Güvenliğinde Otomasyonun Önemi

Kategori: Web Güvenliği - 29 Haziran 2017 - Onur YILMAZ

Bu yazımızda, web uygulama güvenliğinin neden önemli olduğuna dair kısa ve net bilgiler vererek, güvenliği sağlama amacıyla gerçekleştirilecek olan testlerin neden otomatize edilmesi gerektiği konusunu somut örneklerle göstermeye çalışacağız. Devamı



Netsparker'ı WMI ile Uzak Makineden Çalıştırmak

Netsparker'ı WMI ile Uzak Makineden Çalıştırmak

Kategori: Web Güvenliği - 23 Haziran 2017 - Nur YEŞİLYURT

İç ağ üzerinde bulunan bir Netsparker'ın WMI ile komut satırı kullanılarak uzaktan tetiklenebilir. Bu sayede iç ağ üzerinde yapılacak taramalar otomatize edilip aynı zamanda kullanıcının hazırladığı konfigürasyonları kullanılarak yapılıp aynı zamanda raporlanabilir. Devamı


Referrer-Policy Security Header

Referrer-Policy Security Header

Kategori: Web Güvenliği - 20 Haziran 2017 - Ziyahan ALBENİZ

Referer, maalesef hem yanlış yazılan (bir hata sonucu Referrer kelimesi Referer olarak implemente edilmiştir.), hem de yeterince anlaşılmayan bir istek (request) headerı. Bu yazıda Referer headerı, cross-domain referrer leakage gibi konular kapsamında yeni güvenlik headerı Referrer-Policy'i tanıyacağız. Devamı






Jenkins ile Netsparker Cloud Entegrasyonu

Jenkins ile Netsparker Cloud Entegrasyonu

Kategori: Nasıl Yapılır - 22 Mayıs 2017 - Ömer ÇITAK

Bu yazımızda popüler Continuous Integration araçlarından biri olan Jenkins ile Netsparker Cloud tarafından yapılacak testlerin nasıl otomatize edilip Continuous Integration sürecine dahil edilebileceğini anlattık. Devamı



Hacktrick 17

Hacktrick 2017 İzlenimleri

Kategori: Haber - 03 Mayıs 2017 - Ziyahan ALBENİZ

Ne zaman sanatsal imgelemin izlerini siber güvenlik çalışmalarının birinde görsem, o alana duyduğum kalbi yakınlık daha da artıyor. Hacktrick organizasyonu da bunlardan biri. Hacktrick Konferansı, bu yıl 4.sü BTK ev sahipliğinde gerçekleşen Devamı


Remote Code Evaluation Zafiyeti

Remote Code Evaluation Zafiyeti

Kategori: Web Güvenliği - 24 Nisan 2017 - Sven MORGENROTH

Bu yazıda, Remote Code Evaluation zafiyetinin ne olduğu, saldırganların bu zafiyeti nasıl suistimal ettiği ve saldırılara karşı hangi tedbirlerin alınması gerektiği anlatılmaktadır. Devamı


OWASP AppSec Europe 2017 Konferansına Bilet Kazabilirsiniz

OWASP AppSec Europe 2017 Konferansına Bilet Kazabilirsiniz

Kategori: Haberler - 17 Nisan 2017 - Ufuk İŞMAN

Netsparker olarak, hem konferansına hem sergi alanına sponsor olduğumuz OWASP AppSec Europe Konferansı için iki şanslı kişiye bilet vereceğiz. Konferans 8-12 Mayıs 2017 tarihleri arasında Belfast’da gerçekleşecek. Orada Netsparker Standını ziyaret ederek, web uygulamalarındaki açıkların programımız tarafından nasıl kolayca listelenebildiğini görebileceksiniz. Devamı


Nasıl Yapılır?

E-Posta ve SMS Yoluyla Anında Haberdar Olmak için NC Bildirimlerini Kullanma

Kategori: Web Güvenliği - 14 Nisan 2017 - Robert ABELA

Netsparker Cloud'da, taramaların durumları ve sonuçlarından e-posta ya da SMS yoluyla anında haberdar olmak için bildirim kuralları ayarlayabilirsiniz. Ek olarak, web sitenizde tespit edildiğinde bildirim gönderilmesini istediğiniz özel zafiyet türleri için de kurallar oluşturabilirsiniz. Devamı





Web Uygulama Güvenliğinde False Positive Sorunu

Web Uygulama Güvenliğinde False Positive Sorunu

Kategori: Web Güvenliği - 29 Mart 2017 - Robert ABELA

False positive'lerin web uygulama güvenliği sektöründe neden büyük bir problem teşkil ettiğini ve ücretsiz bir false positive web güvenik tarayıcısını nasıl temin edebileceğinizi bu yazımızı okuyarak öğrenebilirsiniz. Devamı


Apache Struts2 Zaafiyeti

Apache Struts2 Zafiyeti

Kategori: Web Güvenliği - 17 Mart 2017 - Omar KURT

Struts 1.0, ilk olarak 2001’in ortasında yayınlandı, Java tabanlı bir web framework olan Struts, Apache Vakfı Jakarta Projesinin bir parçasıdır. OGNL (Object-Graph Navigation Language) ifade dili desteği bulunmaktadır. Zafiyet CVE-2017-5638 kodu ile yayınlanmıştır. Detaylar yazımızda. Devamı


Nasıl Yapılır?

Hedefle Bağlantılı Web Sitelerini Tarama

Kategori: Nasıl Yapılır - 16 Mart 2017 - Gökhan DEMİR

Bu yazıda, Netsparker web uygulaması güvenlik tarayıcısının taranan hedefe bağlı diğer web sitelerini de taraması için yapılması gereken ayarlar gösterilmiştir. Devamı


Bir Web Uygulaması Güvenlik Tarayıcısı için Ücret Ödenmeli Mi?

Bir Web Uygulaması Güvenlik Tarayıcısı için Ücret Ödenmeli Mi?

Kategori: Web Güvenliği - 14 Mart 2017 - Robert ABELA

Ücretsiz ve ticari web güvenlik tarayıcıları arasındaki farklılıkları öğrenmek, doğru bilinen yanlışların farkına varmak için bu yazımızı okumalısınız. Bu yazıda, web güvenliği ve sızma testi konularında kullanıcılara belirgin bir zaman ve efor tasarrufu sağlayan ticari yazılımlar ile hususi amaçlar için üretilmiş ücretsiz yazılımlar arasında performans, fiyat ve zaman tasarrufu gibi belli kıstaslar açısından bir değerlendirme yapılmıştır. Devamı


DOM Clobbering

DOM Clobbering

Kategori: Web Güvenliği - 08 Mart 2017 - Ömer ÇITAK

Clobbering’i bilgisayar terminolojisi çerçevesinde Türkçe’ye çevirdiğimizde “üzerine yazmak” gibi bir manaya geliyor. Bu yazıda kastettiğimiz olay tam da bu aslında. Bir DOM objesinin başka bir DOM objesi üzerine sorgusuz sualsiz yazması sonucu ortaya çıkan duruma verilen isimdir DOM Clobbering. Devamı


İleri Seviye Sqlmap Kullanımı

İleri Seviye Sqlmap Kullanımı

Kategori: Web Güvenliği - 02 Mart 2017 - Emre İYİDOĞAN

Sqlmap, web uygulamalarında SQL Injection tespitini ve bulunan açıkların exploit edilmesini otomatik hale getiren açık kaynak kodlu bir araçtır. Sqlmap'te kullanılan parametrelerin neredeyse tamamı önemli işlevlere sahip parametrelerdir. Bu yazıda söz konusu parametrelerden bazıları hakkında bilgiler verilmiş ve örnekler gösterilmiştir. Ayrıca Netsparker Desktop'ın sunduğu sqlmap komutlarını kopyalayabilme desteği hakkında da bilgilendirme yapılmıştır. Devamı


Haftanın Hackleri

Haftanın Hackleri: CloudBleed - Cloudflare, Firefox: Yeni Bir Fingerprint

Kategori: Web Güvenliği - 01 Mart 2017 - Ziyahan ALBENİZ

2016 yılı geriye bir alışkanlık bıraktı. Her ayın son haftasını sansasyonel güvenlik haberleri ile kapatmak. Aralık 2016'dan beri devam eden bu furyanın Şubat ayındaki izdüşümü ise gelecek bir yılı etkisi altında bırakacak denli ciddi güvenlik zafiyetleri. Devamı


Server Side Template Injection Zafiyeti

Server Side Template Injection Zafiyeti

Kategori: Web Güvenliği - 27 Şubat 2017 - Ömer ÇITAK

Web uygulamarı geliştirmek artık eskisi kadar kolay değil. Artık projelerimizi modern mimariler ile tasarlamamız gerekiyor. Bu modern mimarinin birçoğunda olan View katmanında bize yardımcı olması için template engineler kullanırız. Template engineler birçok kolaylığın yanında bir takım güvenlik zafiyetlerini de yanında getiriyor. Bu yazıda bu zafiyetlerden bahsettik. Devamı



Netsparker Nasıl Kullanılır?

Web Güvenlik Taramalarındaki Uyumsuzluğu Çözme

Kategori: Nasıl Yapılır - 23 Şubat 2017 - Robert ABELA

Sunucu sorunları, bağlantı problemleri gibi sebeplerden dolayı yaptığınız iki farklı tarama, birbirinden farklı neticeler verebilir. Hatalı tarama sonuçlarının neden oluştuğunu ve bu sorunların nasıl tespit edilip çözüme kavuşturulacağını bu yazımızla öğrenebilirsiniz. Devamı


BeEF Framework Nedir?

BeEF Framework Nedir?

Kategori: Web Güvenliği - 17 Şubat 2017 - Ömer ÇITAK

Mobil istemciler de dahil olmak üzere müşterilere yönelik web tabanlı saldırılarla ilgili endişeler arttıkça, BeEF, profesyonel penetrasyon test cihazının istemci taraflı saldırı vektörlerini kullanarak gerçek bir hedef güvenlik ortamını değerlendirebilmesini sağlar. BeEF, bir veya daha fazla web tarayıcısını kendine bağlayarak ve bunları yönlendirilmiş komut modüllerini başlatmak ve ... Devamı




Netsparker Cloud Yerleşik Raporları ve Raporlama Aracı

Netsparker Cloud Yerleşik Raporları ve Raporlama Aracı

Kategori: Web Güvenliği - 09 Şubat 2017 - Robert ABELA

Bu yazı, Netsparker Cloud'da yerleşik olarak bulunan, web siteleri ve zafiyetler hakkında istatistiksel raporlar oluşturmanıza olanak sağlayan Reporting Tool (Raporlama Aracı) ve raporlar hakkında genel bir değerlendirme sunmaktadır. Devamı


Jenkins ile Netsparker Entegrasyonu

Jenkins ile Netsparker Entegrasyonu

Kategori: Web Güvenliği - 06 Şubat 2017 - Ömer ÇITAK

Continuous Integration mimarisi günümüzdeki yazılım projelerinde olmazsa olmaz haline geldi. Deployment sürecinin otomatize olarak yapılmasının artılarından dolayı güvenlik testlerinin de bu mimari dahilinde otomatize edilmesi gereksinimi ortaya çıktı. Jenkins popüler Continuous Integration araçlarından biridir. Bu yazımızda Jenkins ile Netsparker tarafından yapılacak testlerin nasıl otomatize edilip Continuous Integration sürecine dahil edilebileceğini anlattık. Devamı


Meraklısı için Wordpress Content Injection Zafiyeti (4.7.0 & 4.7.1)

Meraklısı için Wordpress Content Injection Zafiyeti (4.7.0 & 4.7.1)

Kategori: Web Güvenliği - 03 Şubat 2017 - Ziyahan ALBENİZ

Wordpress 4.4 sürümü ile birlikte REST API desteğini eklemişti. 4.7.0 ve 4.7.1 sürümlerinde ise varsayılan olarak aktif hale getirdi. Getirilen bu imkan, söz konusu versiyonlarda bugünlerde herkesin konuştuğu Content Injection zafiyetini ortaya çıkardı. Zafiyetin ayrıntılarını ve etkilerini, hakkında yazılan ilk Türkçe kaynaktan öğrenmek için yazımızı okuyabilirsiniz. Devamı


Sunucu Üzerinde Dizin Listeleme Özelliği ve Getirdiği Riskler

Sunucu Üzerinde Dizin Listeleme Özelliği ve Getirdiği Riskler

Kategori: Web Güvenliği - 02 Şubat 2017 - Onur YILMAZ

Web sunucusu üzerinde yanlış olarak yapılan ya da ön tanımlı olarak gelen konfigürasyonlar neticesinde dizin listeleme açık hale gelebilmekte ve çeşitli riskler doğurabilmektedir. Söz konusu riskler hakkında bilgi edinmek ve sunucu türüne göre dizin listelemenin nasıl kapatıldığını öğrenmek için detayları blog girdisinden okuyabilirsiniz. Devamı



Unexpected Redirect Response Body (Too Large)

Unexpected Redirect Response Body (Too Large)

Kategori: Web Güvenliği - 27 Ocak 2017 - Emre İYİDOĞAN

Netsparker, bir tarama esnasında veya sonrasında Information olarak geçen bazı uyarılar verebilir. Bu uyarıları hafife almak bazen kötü sonuçlar doğurabilmektedir. Bunlardan biri olan ve authentication bypass ya da çeşitli script hataları gibi olumsuzluklara neden olabilen Unexpected Redirect Response Body (Too Large) uyarısı hakkında bilgi edinmek için yazımızı okuyabilirsiniz. Devamı


Web Güvenlik Testleri Neden Otomatikleştirilmeye İhtiyaç Duyar?

Web Güvenlik Testleri Neden Otomatikleştirilmeye İhtiyaç Duyar?

Kategori: Web Güvenliği - 25 Ocak 2017 - Robert ABELA

Web güvenlik testlerinin otomatize edilmesinin iş süreçlerine birçok faydası vardır. Manuel testler ise daha fazla zamana, daha fazla iş gücüne ihtiyaç duyar. Her yönüyle maliyeti azaltan web güvenlik otomasyonları hakkında detaylı bilgi almak için bu yazımızı okuyun. Devamı



CRLF Injection ve HTTP Response Splitting Zafiyeti

CRLF Injection ve HTTP Response Splitting Zafiyeti

Kategori: Web Güvenliği - 23 Ocak 2017 - Sven MORGENROTH

Bu yazımızda CRLF Injection zafiyetinin ne olduğu ve bu zafiyetin kurbanın web tarayıcısını kandırmaya yönelik yapılan HTTP response splitting veya HTTP header injection saldırılarına nasıl zemin hazırladığını anlattık. Devamı



Meraklısı İçin PwnScriptum (PHP Mailer Remote Code Execution) Zafiyeti

Meraklısı İçin PwnScriptum (PHP Mailer Remote Code Execution) Zafiyeti

Kategori: Web Güvenliği - 03 Ocak 2017 - Ziyahan ALBENİZ

"2016 yılının son günlerinde birbiri ardına yayınlanan dört zafiyet tüm dikkatleri üzerine çekti. Dört farklı kütüphanedeki (PHPMailer < 5.2.18, SwiftMailer <= 5.4.5-DEV, RoundCube 1.2.2, Zend Framework<2.4.11(ZendMail < 2.7.2 )) bu zafiyetler esasen PHP mail() fonksiyonunun ekstra parametre göndermek için kullanılan bir özelliğinden kaynaklanmakta. Daha doğrusu, kullanıcıdan alınan datanın doğru bir biçimde denetlenmeyip, bu parametreye aktarılması ve sonrasında açığa çıkan komut enjeksiyonu hakkında. Devamı



CVSS: Guvenlik Zafiyetlerini Karakterize Etmek ve Derecelendirmek

CVSS: Güvenlik Zafiyetlerini Karakterize Etmek ve Derecelendirmek

Kategori: Web Güvenliği - 27 Aralık 2016 - Ziyahan ALBENİZ

"Pek çok farklı ürün ve standartın bu alanda boy göstermesi, sadece zafiyetler ile ilgili standart bir kimlik belirlemeyi değil, aynı zamanda zafiyetin içerdiği ciddiyeti ve bunun gerektirdiği önlemlerin alınmasını da olumsuz yönde etkiliyor. 2005 yılında geliştirilmeye başlayan CVSS (Common Vulnerable Scoring System), zafiyetleri derecelendirirken, bağımsız, açık ve kapsamlı bir standart sunuyor. CVSS ile zafiyetleri derecelendirmek ve puanlamak; zafiyetin bu kimliğini metinsel bir ifade ile zafiyet yönetim sistemleri ve raporlarda kullanabilmek mümkün. Devamı


Haftanın Hackleri

Haftanın Hackleri: Komut Enjeksiyonu, Same Origin Policy ve Angular 1.5.8

Kategori: Web Güvenliği - 07 Aralık 2016 - Emre İYİDOĞAN

“Haftanın Hackleri” başlığı ile yayınladığımız yazılarda bu hafta Boşluk Karakteri Kullanmadan Komut Enjeksiyonu, Same Origin Policy’de Açılan Gedik ve Angular 1.5.8 Engeli başlıklı konulara değindik. Sosyal medyada bu yazıyı #haftaninhackleri etiketi ile tartışabilir, sorularınızı bize sorabilirsiniz. Devamı


GoCD ile Netsparker Entegrasyonu

GoCD ile Netsparker Entegrasyonu

Kategori: Web Güvenliği - 06 Aralık 2016 - Ömer ÇITAK

Continuous Integration mimarisi günümüzdeki yazılım projelerinde olmazsa olmaz haline geldi. Deployment sürecinin otomatize olarak yapılmasının artılarından dolayı güvenlik testlerinin de bu mimari dahilinde otomatize edilmesi gereksinimi ortaya çıktı. GoCD popüler Continuous Integration araçlarından biridir. Bu yazımızda GoCD ile Netsparker tarafından yapılacak testlerin nasıl otomatize edilip Continuous Integration sürecine dahil edilebileceğini anlattık.Devamı


OWASP Proactive Controls

OWASP Proactive Controls

Kategori: Web Güvenliği - 05 Aralık 2016 - Ziyahan ALBENİZ

Geliştriciler tarafından, yine geliştiricileri güvenli yazılım geliştirme sürecinde desteklemek için yazılan Proactive Controls yazılımların güvenlik açısından penaltıya düştüğü noktaları geliştiricilerin zihnine bir mıh gibi çakmak niyetinde. Bu yazıda özetle Proactive Controls maddelerini değerlendirecek ve maddelerin, OWASP Top 10 Kritik Zafiyetler Listesi'ndeki hangi derde deva olduğunu göreceğiz.Devamı


Türkiye'de HTTP Güvenlik Headerlarının Kullanımı

Türkiye'de HTTP Güvenlik Headerlarının Kullanımı

Kategori: Web Güvenliği - 10 Kasım 2016 - Ziyahan ALBENİZ

Yazımızın konusu, Dr. Emin İslam Tatlı ve Koray Emre Kısa tarafından yapılan Türkiye Güvenlik Headarları Araştırması. Bu araştırmadan hareketle hem güvenlik header'larına değinecek, hem de araştırma ile birlikte gündeme gelen güvenlik headerlarının kullanım oranlarını inceleyeceğiz.Devamı


Haftanın Hackleri

Haftanın Hackleri : NodeJS İstek Kaçakçılığı, Paypal 2FA Bypass Yöntemi ve Dahası

Kategori: Web Güvenliği - 28 Ekim 2016 - Emre İYİDOĞAN | Zeynep Onur ERSİNADIM

“Haftanın Hackleri” başlığı ile yayınladığımız yazılarda bu hafta NodeJS İstek Kaçakçılığı, SOH Karakterleriyle Kaynak Kod Elde Etme, Sosyal Medyadaki Parmak İziniz ve Paypal 2FA Bypass Yöntemi başlıklı konulara değindik. Sosyal medyada bu yazıyı #haftaninhackleri etiketi ile tartışabilir, sorularınızı bize sorabilirsiniz. Devamı



Özgür Web Teknolojileri Günleri 2016

Özgür Web Teknolojileri Günleri 2016

Netsparker Türkiye olarak, 22-23 Ekim tarihlerinde Boğaziçi Üniversitesi Güney Kampüsü'nde gerçekleştirilecek olan Özgür Web Teknolojileri Günleri 2016 etkinliğinde iki adet sunumla biz de yerimizi alacağız. Devamı


CSP - Content Security Policy

CSP - Content Security Policy

Kategori: Web Güvenliği - 18 Ekim 2016 - Ziyahan ALBENİZ

CSP, web uygulamalarımızı başta XSS olmak üzere, bir dizi güvenlik zafiyetine karşı korumak için ek bir güvenlik katmanı sunmaktadır. Elbette cürmü, CSP'nin desteklendiği browser'lar kadardır. Dolayısı ile mevzu bahis zafiyetler için (örneğin, XSS) tek başına yeterli olmayacak; CSP'nin desteklenmediği bir browserda, sitenizdeki zafiyet yine istismar edilebilecektir. CSP bir Derinliğine Savunma (defense-in-depth) olarak değerlendirilip, zafiyetin giderilmesi konusunda gerekli işlemler mutlaka yapılmalıdır. Devamı


6698 Sayılı Kişisel Verilerin Korunması Kanunu

Perspektifimizden Kişisel Verilerin Korunması Kanunu’na Dair

Kategori: Web Güvenliği - 27 Eylül 2016 - Zeynep ONUR ERSİNADIM

Bu blog yazımızda; üzerinden beş ay geçmesine rağmen ve hazırlık sürecinin bitmesine sayılı günler kala belki de hala hakkında fazla bilgi sahibi olmadığımız 6698 Sayılı Kişisel Verilerin Korunması Kanunu hakkında konuşarak geç olmadan cezai yükümlülüklerimizi öğrenip, korunan haklarımızın farkına vararak; gerekli önlemleri alma yoluna gidebileceğiz. Devamı


CSV Injection Nedir? CSV Injection Zafiyeti Nerede ve Nasıl Oluşur?

CSV Injection Nedir?

Kategori: Web Güvenliği - 06 Eylül 2016 - Emre İYİDOĞAN

Formula Injection (Formül Enjeksiyonu) ya da Excel Macro Injection olarak da bilinen CSV Injection zafiyeti ilk defa 2014 yılında keşfedilmiştir. Microsoft Office Excel, Libre Office Calc ve Open Office Calc gibi elektronik çizelge programlarındaki formüller kullanılarak kullanıcıların bilgisayarlarında zararlı kod çalıştırılmasına neden olan bir açıktır. Devamı


Infografik: 396 Açık Kaynak Kodlu Web Uygulamasını Taradık

Infografik: 396 Açık Kaynak Kodlu Web Uygulamasını Taradık

Kategori: Web Güvenliği - 02 Eylül 2016 - Deniz PARLAK

2011 yılından bu yana 396 adet açık kaynak web uygulamasını taradık. Tarayıcılarımız bu uygulamalarda 269 güvenlik zafiyeti tespit etti ve bunlarla ilgili birisi 0-day olmak üzere 114 öneri yayınladık. Geçtiğimiz yıllardan bugüne kadar geçen süre içerisinde keşfedilen web güvenliği zafiyetlerini de araştırarak bazı istatistikler çıkardık. Popüler zafiyetlerle ilgili yaptığımız araştırmayı yazımızın devamında okuyabilirsiniz. Devamı


Object Injection

Object Injection

Kategori: Web Güvenliği - 29 Ağustos 2016 - Ömer ÇITAK

Object Injection; PHP de kullanıcıdan alınan verinin “unserialize()” fonksiyonundan geçirilmesi sonucu oluşan bir zafiyettir. “unserialize()” fonksiyonu; “serialize()” fonksiyonundan geçirilmiş bir PHP variable’ını tekrardan kullanılması için oluşturur.

Eğer serialized edilen değişken; bir class’tan türetilen bir object (nesne) ise; zaten var olup serialize edilip saklanmış bir veriyi tekrardan oluşturduğu için otomatik olarak nesnenin ait olduğu class’ın “__wakeup” metodu tetiklenecektir. Devamı


Haftanın Hackleri

Haftanın Hackleri: Black Hat USA 2016 & DEF CON 24

Kategori: Web Güvenliği - 22 Ağustos 2016 - Mustafa YALÇIN

“Haftanın Hackleri” başlığı ile yayınladığımız yazılarda bu hafta “Black Hat USA 2016” & “DEF CON 24” etkinliklerinden çıkardığımız notları sizlerle paylaştık. Sosyal medyada bu yazıyı #haftaninhackleri etiketi ile tartışabilirsiniz, bize sorularınızı sorabilirsiniz. Devamı

Geçtiğimiz haftalarda Black Hat USA 2016 & DEF CON 24 etkinlikleri gerçekleştirildi. Bu yoğun gündem içerisinde ilgimizi çeken başlıkları:


ImageTragick Zafiyeti

ImageTragick Zafiyeti

Kategori: Web Güvenliği - 18 Ağustos 2016 - Ziyahan ALBENİZ

ImageMagick, açık kaynak kodlu bir resim işleme kütüphanesi. Bu kütüphane sayesinde resimleri resize etmek, watermark eklemek, kesmek gibi çeşitli işlemler yapabilmek mümkün. PHP'de kullanılan imagick, Ruby'de kullanılan paperclip, rmagick, nodejs'de kullanılan imagemagick kütüphaneleri, ImageMagick üzerine bina edilmiş kütüphaneler.

Web'de bu kadar yaygın olarak kullanılan ImageMagick kütüphanesinde keşfedilen zafiyet 3 Mayıs 2016 tarihinde, www.imagetragick.com üzerinden yayınlandı.

Gelin ayrıntılarını hep birlikte inceleyelim: Devamı


Haftanın Hackleri

Haftanın Hackleri: HEIST Atağı ve CSS mix-blend-mode ile Tarayıcı Geçmişini Çalmak

Kategori: Web Güvenliği - 15 Ağustos 2016 - Alperen YILMAZ - Deniz PARLAK

“Haftanın Hackleri” başlığı ile yayınladığımız yazılarda bu hafta HEIST ile HTTPS içerisindeki bilgileri çalmak ve CSS mix-blend-mode ile tarayıcı geçmişini çalmak isimli ilginç konulara değindik. Sosyal medyada bu yazıyı #haftaninhackleri etiketi ile tartışabilirsiniz, bize sorularınızı sorabilirsiniz. Devamı


Same Origin Policy

Same Origin Policy

Kategori: Web Güvenliği - 12 Ağustos 2016 - Ziyahan ALBENİZ

SOP, browser güvenliğinin merkezinde bir konsept olmasına rağmen, yine de az tanınan ve hakkında pek çok şehir efsanesi bulunan bir konsepttir. İlk görünüşte, basit bir kaynak karşılaştırmasından ibaret görünen SOP, ayrıntılara girildikçe kavranması zor ve yer yer güvenlik açısından yönetimi dikkat isteyen bir konsepttir.(..) SOP'u karanlık bir odada tarif edilen fil imajından kurtarmak için SOP'un çizdiği ve aslında çok net olan kuralları hatırlayalım. Devamı


DOM-XSS Zafiyeti

DOM Tabanlı Cross-site Scripting (XSS) Zafiyeti

Kategori: Web Güvenliği - 09 Ağustos 2016 - Emre İYİDOĞAN

Bu yazımızda, Reflected ve Stored XSS kadar yoğun işlenmeyen ama zafiyetin doğuracağı tehlikeler açısından pek bir farkı bulunmayan, Google ve Yahoo gibi popüler ve bilinen firmaların web sitelerinde de tespit edilen DOM XSS zafiyetini inceleyeceğiz.

Basit bir örnek üzerinden açıklamaya çalıştığımız DOM XSS zafiyeti için çözüm önerlerini de konuşacağız. Devamı


Haftanın Hackleri

Haftanın Hackleri: Tarayıcı Bazlı Zamanlama Saldırıları, Pil Durumundan Kaynaklanan Gizlilik Riski

Kategori: Web Güvenliği - 08 Ağustos 2016 - Alperen YILMAZ

Geçtiğimiz hafta HTTPOXY, ReDos, CSP Bypass, Dangling Markup ile Token Çalma konularına değinmiştik.

“Haftanın Hackleri” başlığı ile yayınladığımız yazılarda bu hafta tarayıcı bazlı zamanlama saldırılarına ve pil durumundan kaynaklanan gizlilik riski isimli ilginç bir konuya değindik. Yazımızı sosyal medyada #haftaninhackleri etiketi ile paylaşarak bizlere destek olabilirsiniz.

Bu hafta web güvenliğinde dikkatimizi çeken konular: Devamı


Haftanın Hackleri: HTTPOXY, ReDos, CSP Bypass, Dangling Markup ile Token Çalma

Haftanın Hackleri : HTTPOXY, ReDos, CSP Bypass, Dangling Markup ile Token Çalma

Kategori: Web Güvenliği - 01 Ağustos 2016 - Alperen YILMAZ & Deniz PARLAK

Bildiğiniz gibi geçen hafta Netsparker Türkiye Blog sayfasını açarak yeni bir serüvene başladık. Türkiye’deki topluluğa katkı sağlamak amacıyla açtığımız blog sayfamızda sadece teknik anlatımlara değil, o hafta web güvenliğinde ilgimizi çeken konularıda paylaşmayı planlıyoruz. “Haftanın Hackleri” başlığı ile yayınlayacağımız bu yazıları sosyal medyada #haftaninhackleri etiketi ile paylaşarak bizlere destek olabilirsiniz.

Ve karşınızda web güvenliğinde bu hafta dikkatimizi çeken konular : Devamı


HTTP İşleyişi ve Güvenliği Açısından Cookie ve Session Yönetimi

HTTP İşleyişi ve Güvenliği Açısından Cookie ve Session Yönetimi

Kategori: Web Güvenliği - 20 Temmuz 2016 - Ziyahan ALBENİZ

İlk başlarda sadece statik sayfaları sunmak için kullanılan HTTP protokolü (yapısının basitliği buradan gelmekte.), çok geçmeden üzerindeki durağanlığı attı ve ziyaretçilerle etkileşime geçecek yollar tasarlandı. İnteraktif bir iletişim için en önemli gereksinim olan, bir ziyaretçi isteğini, diğer tüm ziyaretçi isteklerinden ayrı kılacak tekil bir değer idi. İşte web'in ilk günlerinde, 1994, bir eticaret uygulaması tasarlarken bu ihtiyacı hisseden Lou Montulli adındaki Netscape çalışanı, web'in ilk alışveriş sepeti uygulaması için, Unix sistemlerde "magic cookie" olarak kullanılan bu konsepti, webe uyarlamaya karar verdi. Netscape Navigator tarafından ilk sürümünden itibaren desteklenen Cookie'ler, zamanla tüm browserlar tarafından desteklenmeye başlandı. Devamı


HTTP İşleyişi ve Güvenliği Açısından Cookie ve Session Yönetimi

LFI, RFI Güvenlik Zafiyetleri Bağlamında PHP Stream Wrapper'ları

Kategori: Web Güvenliği - 20 Temmuz 2016 - Ziyahan ALBENİZ

LFI, RFI bağlamında filtrelerin nasıl by pass edilebileceğine ve özellikle de bu amaçla PHP Wrapper’ların kullanılmasına yazı boyunca değindik.

Özet olarak, stream işlemleri için farklı fonksiyonlar kullanmak yerine, farklı türdeki stream operasyonları için ortak fonksiyonların kullanılmasını sağlayan wrapper’lar, bazı güvenlik filtrelerini by-pass etmek için kullanılabilir Devamı


SRI - Subresource Integrity

SRI - Subresource Integrity

Kategori: Web Güvenliği - 20 Temmuz 2016 - Ziyahan ALBENİZ

"HTTPS ile bir nebze olsun kendimizi güvende hissedebiliriz. Ama HTTPS teknolojisi yalnızca aktarımdaki güvenliği temin ediyor. Yani X bir hosttan aldığımız dosyalar eğer güvenli protokol ile aktarılıyorsa, bize ulaşana kadar bütünlüğü ve gizliliği korunmuş oluyor.

Peki ya bu kaynakları aldığımız sunucular bir saldırıya uğramış ve yığınla web sitesine servis edilen script ve style dosyaları değiştirilmiş ise?" Devamı


Web Güvenliği Tarayıcısı

Tam isabet, hızlı ve kolay kullanım

DENEME SÜRÜMÜNÜ İNDİR