Dimyat'a Pirince Giderken, Evdeki Gizlilikten Olmak: Firefox'un DNS over TLS ve Trusted Recursive Resolver Özelliklerine Kaygılı Bir Bakış

Dimyat'a Pirince Giderken, Evdeki Gizlilikten Olmak: Firefox'un DNS over TLS ve Trusted Recursive Resolver Özelliklerine Kaygılı Bir Bakış

Kategori: Web Güvenliği - Güncelleme: 14 Ağustos 2018 - Netsparker Security Team

Firefox, yerel ISS'lerin DNS konusunda kullanıcı gizliliğini tehlikeye atmalarına karşın CloudFlare'i varsayılan Trusted Recursive Resolver tarayıcısına dahil ediyor. Trusted Recursive Resolver(TRR) ve bu gelişmelerin gizliliğimizi nasıl etkileyeceğini merak ediyor musunuz? Diğer bir yandan Let's encrypt artık bağımsız bir otorite oldu. Daha önce değil miydi diyenleri duyar gibiyiz. Devamı

Hoş Gelişler Ola Feature Policy ve Yolcudur X-XSS-Protection!

Hoş Gelişler Ola Feature Policy ve Yolcudur X-XSS-Protection!

Kategori: Web Güvenliği - Güncelleme: 23 Temmuz 2018 - Netsparker Security Team

Güvenli internet'e atılan adımlarda en popüler yazılımlarımız olan internet tarayıcılarının da güvenlik noktasındaki sıkılaştırmalarına her gün yenileri ekleniyor. Taslak halindeki yeni bir çalışma olan Feature Policy ile konum erişimi, kamera, mikrofon, jiroskop gibi sensörlere ait verilerin artık site contextin de izin yönetimi de mümkün hale geliyor. Güvenlik Header'i X-XSS-Protection artık Edge'de varsayılan olarak kapalı gelecek! Devamı

8 Milyon Kullanıcıyı Etkileyen SOP Bypass'ı

8 Milyon Kullanıcıyı Etkileyen SOP Bypass'ı

Kategori: Web Güvenliği - Güncelleme: 11 Haziran 2018 - Netsparker Security Team

Hepimiz tarayıcılarımızda bir takım eklentiler kullanıyoruz, kimisi sayfaların başına kimisi sonuna kendi javascript dosyalarını injecte ediyor. Peki, hangi durumda ne kadar güvenebiliriz? Tehlikeli olabilecek noktaları Same Origin Policy engelleyebiliyor mu? Birlikte öğrenelim. Devamı

CSP'de Yeni Bir Bypass: "Kevgir Misin Be Kardeşlik?"

CSP'de Yeni Bir Bypass: "Kevgir Misin Be Kardeşlik?"

Kategori: Web Güvenliği - Güncelleme: 28 Mayıs 2018 - Netsparker Security Team

CSP ile güvenlik önlemlerini ne kadar katılaştırsakta saldırganlar sürekli bir yeni gedik açıyorlar. Bu sefer Firefox'un Legacy Extension'ı kullanılarak, CSP bypass edildi. Iframe güvenliğinden bahsederken HTML5 özelliklerinden srcdoc attribute gözlerden uzakta tehlike saçabiliyor. Yine yardıma ise bir başka html5 iframe attribute sandbox geliyor. Devamı

URL'in Elli Tonu

URL'in Elli Tonu

Kategori: Web Güvenliği - Güncelleme: 21 Şubat 2018 - Netsparker Security Team

URL, yani Uniform Resource Locator, web'in en önemli, temel bileşenlerinden biri. Talep ettiğimiz kaynak nereden ve nasıl talep edilecek, hangi yetkilerle talep edilecek URL'ler vasıtası ile bildirebiliyoruz. Devamı

Bana Her Şey SOP'u Hatırlatıyor: DNS Rebinding ile Ethereum'larınız Çalınabilir!

Bana Her Şey SOP'u Hatırlatıyor: DNS Rebinding ile Ethereum'larınız Çalınabilir!

Kategori: Web Güvenliği - Güncelleme: 05 Şubat 2018 - Netsparker Security Team

PHP Composer modülü bağımlılıkları yönetmek için ne kadar ideal olsa da güvenlik perspektifi olarak ele aldığımızda onunda kullanımı noktasında dikkat edilmesi gereken hususlar var. Ethereum geth Client'ı üzerinde DNS rebinding ile nasıl hack saldırısı yapabileceğine değiniyoruz ve SOP'u bir kez daha anıyoruz. Devamı