Netsparker Web Güvenliği Blog'u

SameSite Cookie Aynı SameSite Cookie Değil!

SameSite Cookie Aynı SameSite Cookie Değil!

Kategori: Web Güvenliği - Güncelleme: 17 Mayıs 2019 - Ziyahan Albeniz

Google Chrome, 10 yıllık mazisini güvenli tarayıcı anlayışına öncülük edecek yeni uygulamalarla geliyor. Websitelerimizdeki çerez (cookie) davranışlarını etkileyen SameSite attribute de yenilikler duyurdu. Devamı

Frame Injection'ı Yeniden Düşünmek

Frame Injection'ı Yeniden Düşünmek

Kategori: Web Güvenliği - Güncelleme: 24 Nisan 2019 - Ziyahan Albeniz

Frame Injection deyip geçmeyin! Bu yazımızda Frame Injection'ın nelere sebep olabileceğinden ve XSS ile Frame Injection'ın nasıl bir arada kullanabileceğinden bahsettik! Örnek olarak bug bounty programında raporlanan Frame Hijacking olarak adlandırabileceğimiz bir zafiyeti de işledik! Devamı

Content-Type ve Status Code Leakage

Content-Type ve Status Code Leakage

Kategori: Web Güvenliği - Güncelleme: 08 Nisan 2019 - Ziyahan Albeniz

Dönerse senindir sözünden hareketle, HTTP Status Kodu ve Content-Type Leak araştırmasını inceliyoruz. "terjanq" nicki ile 20 Mart'ta yayınlanan araştırmayı ele aldık. Devamı

Web Uygulama Güvenliği ve ISO 27001

Web Uygulama Güvenliği ve ISO 27001

Kategori: Web Güvenliği - Güncelleme: 15 Mart 2019 - Huriye Ozdemir

Netsparker raporlama yelpazesine eklediği ISO 27001 raporu ile, tespit ettiği zafiyetleri ISO 27001 standartlarına göre sınıflandırarak kuruluşların kendi risk düzeylerini belirlemesi ve bu riskleri en aza indirerek uygulama güvenliğini artırması için rehberlik etmektedir. Bu yazımızda, ISO 27001’e göre sınıflandırmış olduğumuz bazı başlıkların detaylarına göz atacağız. Devamı

Form ve Input Elemanlarında Autocomplete Kullanımı

Form ve Input Elemanlarında Autocomplete Kullanımı

Kategori: Web Güvenliği - Güncelleme: 09 Ocak 2019 - Mustafa Yalcin

Form elementlerinde yer alan Autocomplete, hem web geliştiriciler için hem tarayıcılar için tam bir kaos kurbanı olmuş durumda. Kullanılan autocomplete değerlerindeki farklılık ve tarayıcı davranışlarını bu karmaşayı çözmek için araştırdık. Devamı

Web Güvenliği Sadece Web Güvenliği Değildir #2 - Saldırganlar Web Üzerinden Mouse ve Klavyenize Erişebilir mi?

Web Güvenliği Sadece Web Güvenliği Değildir #2 - Saldırganlar Web Üzerinden Mouse ve Klavyenize Erişebilir mi?

Kategori: Web Güvenliği - Güncelleme: 17 Aralık 2018 - Ziyahan Albeniz

Bu hafta Haftanın Hackleri'nde Google Project Zero ekibinin tanınan siması Tavis Ormandy'nin Logitech marka mouseları web üzerinden yönetebilmeye yönelik keşfettiği zafiyeti ve Silesia Security Lab'dan Dawid Czagan'ın D-Link DIR-600 routuerlarda keşfettiği CSRF'den Remote Code Execution'a uzanan zafiyetini konu aldık. Devamı

SoundHijacking - Abusing Missing XFO

SoundHijacking - Abusing Missing XFO

Kategori: Web Güvenliği - Güncelleme: 12 Kasım 2018 - Ziyahan Albeniz

Yıllar öncesinde çokça tartışılan UI Redressing atağının ve önlemi olarak bildiğimiz X-Frame-Options Header'ı farklı bir amaçla kullanıldı. Araştırmacı Raushan Raj, Google Docs'te XFO header'ının kullanılmamasından faydalanarak sitesini ortam dinleme cihazına çevirmeyi başardı. Devamı

Google Arama Bot'u Adres Sormaz ki!

Google Arama Bot'u Adres Sormaz ki!

Kategori: Web Güvenliği - Güncelleme: 05 Kasım 2018 - Ziyahan Albeniz

Siteniz arama motorunun saldırısı altında mı? Google arama botları aracılığı ile saldırılarını websitenize yönlendiriyor olabilirler. Apache Struts zafiyetlerinde yakın zamanda çıkanlardan bir tanesi (CVE-2018-11776) bakın botlarla beraber ne amaçlarla kullanılıyormuş. Devamı