Content-Type ve Status Code Leakage

Content-Type ve Status Code Leakage

Kategori: Web Güvenliği - Güncelleme: 08 Nisan 2019 - Ziyahan Albeniz

Dönerse senindir sözünden hareketle, HTTP Status Kodu ve Content-Type Leak araştırmasını inceliyoruz. "terjanq" nicki ile 20 Mart'ta yayınlanan araştırmayı ele aldık. Devamı

Web Güvenliği Sadece Web Güvenliği Değildir #2 - Saldırganlar Web Üzerinden Mouse ve Klavyenize Erişebilir mi?

Web Güvenliği Sadece Web Güvenliği Değildir #2 - Saldırganlar Web Üzerinden Mouse ve Klavyenize Erişebilir mi?

Kategori: Web Güvenliği - Güncelleme: 17 Aralık 2018 - Ziyahan Albeniz

Bu hafta Haftanın Hackleri'nde Google Project Zero ekibinin tanınan siması Tavis Ormandy'nin Logitech marka mouseları web üzerinden yönetebilmeye yönelik keşfettiği zafiyeti ve Silesia Security Lab'dan Dawid Czagan'ın D-Link DIR-600 routuerlarda keşfettiği CSRF'den Remote Code Execution'a uzanan zafiyetini konu aldık. Devamı

SoundHijacking - Abusing Missing XFO

SoundHijacking - Abusing Missing XFO

Kategori: Web Güvenliği - Güncelleme: 12 Kasım 2018 - Ziyahan Albeniz

Yıllar öncesinde çokça tartışılan UI Redressing atağının ve önlemi olarak bildiğimiz X-Frame-Options Header'ı farklı bir amaçla kullanıldı. Araştırmacı Raushan Raj, Google Docs'te XFO header'ının kullanılmamasından faydalanarak sitesini ortam dinleme cihazına çevirmeyi başardı. Devamı

Google Arama Bot'u Adres Sormaz ki!

Google Arama Bot'u Adres Sormaz ki!

Kategori: Web Güvenliği - Güncelleme: 05 Kasım 2018 - Ziyahan Albeniz

Siteniz arama motorunun saldırısı altında mı? Google arama botları aracılığı ile saldırılarını websitenize yönlendiriyor olabilirler. Apache Struts zafiyetlerinde yakın zamanda çıkanlardan bir tanesi (CVE-2018-11776) bakın botlarla beraber ne amaçlarla kullanılıyormuş. Devamı

Web Güvenliği Sadece Web Güvenliği Değildir: Web Temelli Saldırılar ile IoT Cihazların Keşfi ve Kontrolü

Web Güvenliği Sadece Web Güvenliği Değildir: Web Temelli Saldırılar ile IoT Cihazların Keşfi ve Kontrolü

Kategori: Web Güvenliği - Güncelleme: 09 Ekim 2018 - Ziyahan Albeniz

DNS rebinding atakları günümüzde hala atak vektörleri değişerek karşımıza çıkıyor. IOT cihazlarda DNS rebinding ataklar ile yapılan araştırmayı paylaşıyoruz. Ayrıca Fragmented SQL Injection ile birden fazla parametre kullanılarak nasıl injection yapıldığını da sizler için yazdık.. Devamı

Tor Kokarsa Neylenir?

Tor Kokarsa Neylenir?

Kategori: Web Güvenliği - Güncelleme: 18 Eylül 2018 - Ziyahan Albeniz

Kullandığınız browser'ı seçerken sadece hıza mı bakıyorsunuz? Her an yeni versiyonlarıyla karşılaştığımız browser'ınızı ne kadar güncel tutuyorsunuz? Microsoft Edge ve Safari tarayıcıları üzerinde ortaya koyulan yeni phishing saldırıları tarayıcı seçimlerimizin önemini gösteriyorken, Tor Browser 7.x versiyonunda NoScript eklentisinin bypass edilerek script çalıştırabildiğimizi öğrenmemiz aynı haftaya denk geldi. Daha fazlası için sizi içeri alalım. Devamı

Toparlanın Git'miyoruz

Toparlanın Git'miyoruz

Kategori: Web Güvenliği - Güncelleme: 11 Eylül 2018 - Ziyahan Albeniz

Git - versiyon kontrol sistemini (VCS) websiteniz de kullanıyor musunuz? Peki, konfigurasyonların doğru yapılandırılmadığında tüm websitesinin kaynak kodunun saldırganın eline verebileceğizi biliyor muydunuz? Git'e hızlı bir bakış ile güvenlik konfigurasyonlarını inceliyoruz. Tor servislerinde SSL ekleyeyim derken Public IP'nizin ifşa olması! Devamı

HTTP Güvenlik Headerları

HTTP Güvenlik Headerları

Kategori: Web Güvenliği - Güncelleme: 05 Ocak 2018 - Ziyahan Albeniz

Header’lar güvenlik dünyasında çok önem görmezler ancak bir çok zafiyetin ve güvenli iletişimin gizli bahçesini barındırırlar. Devamı