HPKP'ye Veda mı? DNS over TLS, ADINT

Kategori: Web Güvenliği - Güncelleme: 30 Ekim 2017 - Netsparker Security Team
HPKP'ye Veda mı? DNS over TLS, ADINT

DNS sorgularının dahi şifrelenmiş olduğu ancak web sitelerinde karşılaştığınız reklamlar ile adım adım takip edilebildiğiniz, KRACK ile şifreli iletişimin hiçe sayılabildiği, BadRabbit gibi sürekli yeni bir tehlikenin olduğu dünya gerçekten güvenli mi? HPKP’den bahsetmiyoruz bile. Devamı

Security.TXT, Self XSS+oAuth = Good XSS, Web Mining ve dahası

Kategori: Web Güvenliği - Güncelleme: 22 Eylül 2017 - Netsparker Security Team
Security.TXT, Self XSS+oAuth = Good XSS, Web Mining ve dahası

Security.txt ile artık bug hunter'lara ne istediğinizi anlatabilirsiniz. Web siteleri CPU'nuza erişip Monero coin üretmesi hareketi reklamları kaldırır mı? Cure53'ten Browser Security hakkında derinlemesine bir araştırma. İşletim sisteminizi tarayıcınızdan da kullanabilir misiniz? Deep Web'in Shodan'ı Ichidan'a merhaba deyin. SSRF testing hakkında güzel bir repo görmek ster miydiniz? Self-XSS bulunca bir de OAuth varsa üzülmeyeceksiniz desek, inanır mısınız? Devamı

1S1C: Cross Origin Resource Sharing (CORS), CSRF'e karşı bir tedbir olarak kullanılabilir mi?

Kategori: Web Güvenliği - Güncelleme: 08 Eylül 2017 - Netsparker Security Team
1S1C: Cross Origin Resource Sharing (CORS), CSRF'e karşı bir tedbir olarak kullanılabilir mi?

Web güvenliğinde uyuyan dev olarak adlandırdığımız CSRF saldırılarının etkilerinden korunmak isteyen kişilerin sıkça sorduğu sorulardan bir tanesi "Cross Origin Resource Sharing mekanizmasını kullanarak bu saldırı tekniklerinden korunmak mümkün mü?" olmuştur. Bir çok güvenlik modelinin olması, konseptlere aşina olmayanlar için kafa karıştırıcı olabilmektedir Devamı

1S1C: WWW Subdomainini Websitemde Kullanmalı mıyım?

Kategori: Web Güvenliği - Güncelleme: 05 Eylül 2017 - Netsparker Security Team
1S1C: WWW Subdomainini Websitemde Kullanmalı mıyım?

WWW subdomaini herkes için geleneksel önem taşıyan bir subdomain gibi durur ancak işin iç yüzü öyle değil. Özellikle de birden çok kullanıcıya kendi etki alanında hizmet veren servisler için, Cookie'nin yani imparatorluğun anahtarlarının korunması için oldukça elzemdir. Devamı

TOR, React, XSS ve CORS ile Güvenli Bir Hafta

Kategori: Web Güvenliği - Güncelleme: 11 Ağustos 2017 - Netsparker Security Team
TOR, React, XSS ve CORS ile Güvenli Bir Hafta

TOR ağındaki sitelerde web güvenliği ne durumda? ReactJS ile Script Injection'a nasıl mahal verebilirsiniz? Haveibeenpwned'ın password kısmını kullandınız mı? XFO header'ını gerçekten her yerde kullanmalı mısınız? CORS ile CSRF koruması sağlayabilir misiniz? Devamı

Modern Browserlarda SOP Davranışı, WP Setup Attack ve JSONP Güvenliği

Kategori: Web Güvenliği - Güncelleme: 28 Temmuz 2017 - Netsparker Security Team
Modern Browserlarda SOP Davranışı, WP Setup Attack ve JSONP Güvenliği

Modern Browserlarda Same-Origin-Policy Macerası yazımızda SOP kurallarının tarayıcı tasarımlarındaki farklılıklarına ait analizler, Wordpress Fresh Setup Attack yazımızda wordfence ait wordpress güvenlik analizleri, Kocayan Kurt JSONP ve Güvenlik Maskaralıkları yazımızda ise CORS kullanmaktan kaçanların JSONP ile imtihanı anlatılmaktadır. Devamı

SSL Revocation Mekanizmasına Endişeli Bir Bakış

Kategori: Web Güvenliği - Güncelleme: 19 Temmuz 2017 - Netsparker Security Team
SSL Revocation Mekanizmasına Endişeli Bir Bakış

Haftanın Hackleri'nde bu hafta, çalınan SSL sertifkalarına karşı bir imdat çekici olan Revocation mekanizması nasıl çalışıyor ve Güvenlik Uzmanı Ivan Novikov'un tecrübe imbiğinden damıtılmış web uygulamalarında rastlanan 5 konfigürasyon hatası konularına değindik. Devamı

Harf ve Sayıları Engelleyen WAF'ları Bypass, Alex Top 1M Site Analizi ve daha fazlası

Kategori: Web Güvenliği - Güncelleme: 30 Haziran 2017 - Netsparker Security Team
Harf ve Sayıları Engelleyen WAF'ları Bypass, Alex Top 1M Site Analizi ve daha fazlası

Haftanın Hackleri'nde bu hafta harf ve sayı kullanımını engelleyen WAF'ları nasıl atlatabileceğimizden, Alexa Top 1 milyonda yer alan sitelerin güvenlik teknolojilerini ne ölçüde uyguladığından, yeni bir phishing tekniği olarak kullanılan URL Padding'den bahsettik. Bunlara ek olarak hoşumuza giden araçları sizlerle paylaşmaktan da geri kalmadık. Devamı