Netsparker Web Güvenliği Blog'u

Web Güvenliği Sadece Web Güvenliği Değildir: Web Temelli Saldırılar ile IoT Cihazların Keşfi ve Kontrolü

Web Güvenliği Sadece Web Güvenliği Değildir: Web Temelli Saldırılar ile IoT Cihazların Keşfi ve Kontrolü

Kategori: Web Güvenliği - Güncelleme: 09 Ekim 2018 - Ziyahan Albeniz

DNS rebinding atakları günümüzde hala atak vektörleri değişerek karşımıza çıkıyor. IOT cihazlarda DNS rebinding ataklar ile yapılan araştırmayı paylaşıyoruz. Ayrıca Fragmented SQL Injection ile birden fazla parametre kullanılarak nasıl injection yapıldığını da sizler için yazdık.. Devamı

Tor Kokarsa Neylenir?

Tor Kokarsa Neylenir?

Kategori: Web Güvenliği - Güncelleme: 18 Eylül 2018 - Ziyahan Albeniz

Kullandığınız browser'ı seçerken sadece hıza mı bakıyorsunuz? Her an yeni versiyonlarıyla karşılaştığımız browser'ınızı ne kadar güncel tutuyorsunuz? Microsoft Edge ve Safari tarayıcıları üzerinde ortaya koyulan yeni phishing saldırıları tarayıcı seçimlerimizin önemini gösteriyorken, Tor Browser 7.x versiyonunda NoScript eklentisinin bypass edilerek script çalıştırabildiğimizi öğrenmemiz aynı haftaya denk geldi. Daha fazlası için sizi içeri alalım. Devamı

Toparlanın Git'miyoruz

Toparlanın Git'miyoruz

Kategori: Web Güvenliği - Güncelleme: 11 Eylül 2018 - Ziyahan Albeniz

Git - versiyon kontrol sistemini (VCS) websiteniz de kullanıyor musunuz? Peki, konfigurasyonların doğru yapılandırılmadığında tüm websitesinin kaynak kodunun saldırganın eline verebileceğizi biliyor muydunuz? Git'e hızlı bir bakış ile güvenlik konfigurasyonlarını inceliyoruz. Tor servislerinde SSL ekleyeyim derken Public IP'nizin ifşa olması! Devamı

Dimyat'a Pirince Giderken, Evdeki Gizlilikten Olmak: Firefox'un DNS over TLS ve Trusted Recursive Resolver Özelliklerine Kaygılı Bir Bakış

Dimyat'a Pirince Giderken, Evdeki Gizlilikten Olmak: Firefox'un DNS over TLS ve Trusted Recursive Resolver Özelliklerine Kaygılı Bir Bakış

Kategori: Web Güvenliği - Güncelleme: 14 Ağustos 2018 - Netsparker Security Team

Firefox, yerel ISS'lerin DNS konusunda kullanıcı gizliliğini tehlikeye atmalarına karşın CloudFlare'i varsayılan Trusted Recursive Resolver tarayıcısına dahil ediyor. Trusted Recursive Resolver(TRR) ve bu gelişmelerin gizliliğimizi nasıl etkileyeceğini merak ediyor musunuz? Diğer bir yandan Let's encrypt artık bağımsız bir otorite oldu. Daha önce değil miydi diyenleri duyar gibiyiz. Devamı

Hoş Gelişler Ola Feature Policy ve Yolcudur X-XSS-Protection!

Hoş Gelişler Ola Feature Policy ve Yolcudur X-XSS-Protection!

Kategori: Web Güvenliği - Güncelleme: 23 Temmuz 2018 - Netsparker Security Team

Güvenli internet'e atılan adımlarda en popüler yazılımlarımız olan internet tarayıcılarının da güvenlik noktasındaki sıkılaştırmalarına her gün yenileri ekleniyor. Taslak halindeki yeni bir çalışma olan Feature Policy ile konum erişimi, kamera, mikrofon, jiroskop gibi sensörlere ait verilerin artık site contextin de izin yönetimi de mümkün hale geliyor. Güvenlik Header'i X-XSS-Protection artık Edge'de varsayılan olarak kapalı gelecek! Devamı

Yeni bir atak vektörü: Content Security Policy Embedded Enforcement

Yeni bir atak vektörü: Content Security Policy Embedded Enforcement

Kategori: Web Güvenliği - Güncelleme: 09 Temmuz 2018 - Netsparker Security Team

2018 yılı Temmuz ayının ilk haftası için hazırladığımız haftanın hacklerinde taslak aşamasında olan Content Security Policy Embedded Enforcement standartı üzerinde oluşabilecek 4 farklı riske ayrıntıyla beraber bakıyoruz. Devamı

GDPR Sürecini Nasıl Yönetmeliyiz?

GDPR Sürecini Nasıl Yönetmeliyiz?

Kategori: Web Güvenliği - Güncelleme: 28 Haziran 2018 - Huriye Ozdemir

GDPR uyumluluğunu yönetme sürecinde şirketler, verilerin sınıflandırılması, veri akışının kontrolü, veri güvenliğinin sağlanması, olası bir veri ihlali durumunda eylem planının oluşturulması, hesap verebilirlik ilkesine bağlı olarak veri koruma sorumlularının belirlenmesi, sürecin izlenebilmesi için veri kaydının tutulması ve mevcut politikaların güncellenerek gerekli politika ve sözleşmelerin tamamlanması gibi hususlar üzerinde önemle durmalı ve kişisel verilerin korunması adına süreci sürekli olarak kontrol altında bulundurmalıdır. Devamı

8 Milyon Kullanıcıyı Etkileyen SOP Bypass'ı

8 Milyon Kullanıcıyı Etkileyen SOP Bypass'ı

Kategori: Web Güvenliği - Güncelleme: 11 Haziran 2018 - Netsparker Security Team

Hepimiz tarayıcılarımızda bir takım eklentiler kullanıyoruz, kimisi sayfaların başına kimisi sonuna kendi javascript dosyalarını injecte ediyor. Peki, hangi durumda ne kadar güvenebiliriz? Tehlikeli olabilecek noktaları Same Origin Policy engelleyebiliyor mu? Birlikte öğrenelim. Devamı

Kirlenmemek Güzeldir: HTTP Parameter Pollution ve reCAPTCHA By-Pass

Kirlenmemek Güzeldir: HTTP Parameter Pollution ve reCAPTCHA By-Pass

Kategori: Web Güvenliği - Güncelleme: 04 Haziran 2018 - Netsparker Security Team

HTTP Parameter Pollution bir kaynağa aynı isimle yollanan parametrelerin farklı uygulama katmanlarında, farklı şekillerde yorumlanması ile ortaya çıkan bir zafiyet türüdür. Bu zafiyet ile Google ecaptcha sistemi bakın nasıl bypass edilmiş. Devamı

CSP'de Yeni Bir Bypass: "Kevgir Misin Be Kardeşlik?"

CSP'de Yeni Bir Bypass: "Kevgir Misin Be Kardeşlik?"

Kategori: Web Güvenliği - Güncelleme: 28 Mayıs 2018 - Netsparker Security Team

CSP ile güvenlik önlemlerini ne kadar katılaştırsakta saldırganlar sürekli bir yeni gedik açıyorlar. Bu sefer Firefox'un Legacy Extension'ı kullanılarak, CSP bypass edildi. Iframe güvenliğinden bahsederken HTML5 özelliklerinden srcdoc attribute gözlerden uzakta tehlike saçabiliyor. Yine yardıma ise bir başka html5 iframe attribute sandbox geliyor. Devamı

osquery Injection

osquery Injection

Kategori: Web Güvenliği - Güncelleme: 25 Mayıs 2018 - Omer Citak

osquery, Facebook tarafından geliştirilen, işletim sistemi üzerinde SQL syntax'ı ile komut çalıştırmaya yarayan bir araç. Şu an en güncel sürümü 2.11.2 ve macOS, CentOS, Ubuntu ve Windows gibi popüler işletim sistemi ve dağıtımları destekliyor. osquery, syntax olarak SQL benzeri bir yapıda olduğundan tıpkı SQL dilini kullanan veri tabanları gibi tabloları kullanıyor. osquery kurulduğu vakit bir takım ön tanımlı tablolar ile birlikte geliyor. Tabii ki sonrasında ek tablolar eklenebiliyor. Bu blogpostta ise osquery'de açıpa çıkan "osquery Injection" zafiyetinden bahsediyoruz. Devamı

Seni Ben Unutmak İçin Sevmedim Cross Protocol Request Forgery (CPRF)

Seni Ben Unutmak İçin Sevmedim Cross Protocol Request Forgery (CPRF)

Kategori: Web Güvenliği - Güncelleme: 30 Nisan 2018 - Netsparker Security Team

Edge Side Includes mekanizması ile önbellekleme mekanizmalarında ortaya çıkabilecek güvenlik sorunlarını ele alan bir araştırmacı, esi kullanılan sistemlerde ssrf, xss saldırları ve httpOnly flag işaretli olmasına Cookie bilgilerini nasıl sömürülebileceğini anlatıyor. Devamı

Edge Side Includes (ESI): XSS'den Öte, XSS'den Ziyade!

Edge Side Includes (ESI): XSS'den Öte, XSS'den Ziyade!

Kategori: Web Güvenliği - Güncelleme: 09 Nisan 2018 - Netsparker Security Team

Edge Side Includes mekanizması ile önbellekleme mekanizmalarında ortaya çıkabilecek güvenlik sorunlarını ele alan bir araştırmacı, esi kullanılan sistemlerde ssrf, xss saldırları ve httpOnly flag işaretli olmasına Cookie bilgilerini nasıl sömürülebileceğini anlatıyor. Devamı

Alexa Top 1 Milyon Domain'de .DS_Store Avı! HTTPS'in Limitlerini Anlamak

Alexa Top 1 Milyon Domain'de .DS_Store Avı! HTTPS'in Limitlerini Anlamak

Kategori: Web Güvenliği - Güncelleme: 19 Mart 2018 - Netsparker Security Team

Alexa top 1 milyon websitesi üzerinde .ds_store avına çıkan araştırmacılar bizlerle bulgularını paylaşıyorlar. Web site bağlantısını güvenli bağlantıya geçirmek için kullandığımız HTTPS'in limitlerini yeterince anlayabiliyor muyuz? Devamı