osquery Injection

Kategori: Web Güvenliği - Güncelleme: 25 Mayıs 2018 - Omer Citak
osquery Injection

osquery, Facebook tarafından geliştirilen, işletim sistemi üzerinde SQL syntax'ı ile komut çalıştırmaya yarayan bir araç. Şu an en güncel sürümü 2.11.2 ve macOS, CentOS, Ubuntu ve Windows gibi popüler işletim sistemi ve dağıtımları destekliyor. osquery, syntax olarak SQL benzeri bir yapıda olduğundan tıpkı SQL dilini kullanan veri tabanları gibi tabloları kullanıyor. osquery kurulduğu vakit bir takım ön tanımlı tablolar ile birlikte geliyor. Tabii ki sonrasında ek tablolar eklenebiliyor. Bu blogpostta ise osquery'de açıpa çıkan "osquery Injection" zafiyetinden bahsediyoruz. Devamı

Jenkins ile Netsparker Cloud Entegrasyonu

Kategori: Web Güvenliği - Güncelleme: 22 Mayıs 2017 - Omer Citak
Jenkins ile Netsparker Cloud Entegrasyonu

Bu yazımızda popüler Continuous Integration araçlarından biri olan Jenkins ile Netsparker Cloud tarafından yapılacak testlerin nasıl otomatize edilip Continuous Integration sürecine dahil edilebileceğini anlattık. Devamı

DOM Clobbering

Kategori: Web Güvenliği - Güncelleme: 08 Mart 2017 - Omer Citak
DOM Clobbering

Clobbering’i bilgisayar terminolojisi çerçevesinde Türkçe’ye çevirdiğimizde “üzerine yazmak” gibi bir manaya geliyor. Bu yazıda kastettiğimiz olay tam da bu aslında. Bir DOM objesinin başka bir DOM objesi üzerine sorgusuz sualsiz yazması sonucu ortaya çıkan duruma verilen isimdir DOM Clobbering. Devamı

Server Side Template Injection Zafiyeti

Kategori: Web Güvenliği - Güncelleme: 27 Şubat 2017 - Omer Citak
Server Side Template Injection Zafiyeti

Web uygulamarı geliştirmek artık eskisi kadar kolay değil. Artık projelerimizi modern mimariler ile tasarlamamız gerekiyor. Bu modern mimarinin birçoğunda olan View katmanında bize yardımcı olması için template engineler kullanırız. Template engineler birçok kolaylığın yanında bir takım güvenlik zafiyetlerini de yanında getiriyor. Bu yazıda bu zafiyetlerden bahsettik. Devamı

BeEF Framework Nedir? Nasıl Kullanılır?

Kategori: Web Güvenliği - Güncelleme: 17 Şubat 2017 - Omer Citak
BeEF Framework Nedir? Nasıl Kullanılır?

Mobil istemciler de dahil olmak üzere müşterilere yönelik web tabanlı saldırılarla ilgili endişeler arttıkça, BeEF, profesyonel penetrasyon test cihazının istemci taraflı saldırı vektörlerini kullanarak gerçek bir hedef güvenlik ortamını değerlendirebilmesini sağlar. BeEF, bir veya daha fazla web tarayıcısını kendine bağlayarak ve bunları yönlendirilmiş komut modüllerini başlatmak ve ... Devamı

Jenkins ile Netsparker Entegrasyonu

Kategori: Web Güvenliği - Güncelleme: 06 Şubat 2017 - Omer Citak
Jenkins ile Netsparker Entegrasyonu

Continuous Integration mimarisi günümüzdeki yazılım projelerinde olmazsa olmaz haline geldi. Deployment sürecinin otomatize olarak yapılmasının artılarından dolayı güvenlik testlerinin de bu mimari dahilinde otomatize edilmesi gereksinimi ortaya çıktı. Jenkins popüler Continuous Integration araçlarından biridir. Bu yazımızda Jenkins ile Netsparker tarafından yapılacak testlerin nasıl otomatize edilip Continuous Integration sürecine dahil edilebileceğini anlattık. Devamı

GoCD ile Netsparker Entegrasyonu

Kategori: Web Güvenliği - Güncelleme: 06 Aralık 2016 - Omer Citak
GoCD ile Netsparker Entegrasyonu

Continuous Integration mimarisi günümüzdeki yazılım projelerinde olmazsa olmaz haline geldi. Deployment sürecinin otomatize olarak yapılmasının artılarından dolayı güvenlik testlerinin de bu mimari dahilinde otomatize edilmesi gereksinimi ortaya çıktı. GoCD popüler Continuous Integration araçlarından biridir. Bu yazımızda GoCD ile Netsparker tarafından yapılacak testlerin nasıl otomatize edilip Continuous Integration sürecine dahil edilebileceğini anlattık. Devamı

Object Injection

Kategori: Web Güvenliği - Güncelleme: 29 Ağustos 2016 - Omer Citak
Object Injection

Object Injection; PHP de kullanıcıdan alınan verinin “unserialize()” fonksiyonundan geçirilmesi sonucu oluşan bir zafiyettir. “unserialize()” fonksiyonu; “serialize()” fonksiyonundan geçirilmiş bir PHP variable’ını tekrardan kullanılması için oluşturur. Eğer serialized edilen değişken; bir class’tan türetilen bir object (nesne) ise; zaten var olup serialize edilip saklanmış bir veriyi tekrardan oluşturduğu için otomatik olarak nesnenin ait olduğu class’ın “__wakeup” metodu tetiklenecektir. Devamı