Netsparker Web Güvenliği Blog'u

Content-Type ve Status Code Leakage

Content-Type ve Status Code Leakage

Kategori: Web Güvenliği - Güncelleme: 08 Nisan 2019 - Ziyahan Albeniz

Dönerse senindir sözünden hareketle, HTTP Status Kodu ve Content-Type Leak araştırmasını inceliyoruz. "terjanq" nicki ile 20 Mart'ta yayınlanan araştırmayı ele aldık. Devamı

Web Uygulama Güvenliği ve ISO 27001

Web Uygulama Güvenliği ve ISO 27001

Kategori: Web Güvenliği - Güncelleme: 15 Mart 2019 - Huriye Ozdemir

Netsparker raporlama yelpazesine eklediği ISO 27001 raporu ile, tespit ettiği zafiyetleri ISO 27001 standartlarına göre sınıflandırarak kuruluşların kendi risk düzeylerini belirlemesi ve bu riskleri en aza indirerek uygulama güvenliğini artırması için rehberlik etmektedir. Bu yazımızda, ISO 27001’e göre sınıflandırmış olduğumuz bazı başlıkların detaylarına göz atacağız. Devamı

Form ve Input Elemanlarında Autocomplete Kullanımı

Form ve Input Elemanlarında Autocomplete Kullanımı

Kategori: Web Güvenliği - Güncelleme: 09 Ocak 2019 - Mustafa Yalcin

Form elementlerinde yer alan Autocomplete, hem web geliştiriciler için hem tarayıcılar için tam bir kaos kurbanı olmuş durumda. Kullanılan autocomplete değerlerindeki farklılık ve tarayıcı davranışlarını bu karmaşayı çözmek için araştırdık. Devamı

Web Güvenliği Sadece Web Güvenliği Değildir #2 - Saldırganlar Web Üzerinden Mouse ve Klavyenize Erişebilir mi?

Web Güvenliği Sadece Web Güvenliği Değildir #2 - Saldırganlar Web Üzerinden Mouse ve Klavyenize Erişebilir mi?

Kategori: Web Güvenliği - Güncelleme: 17 Aralık 2018 - Ziyahan Albeniz

Bu hafta Haftanın Hackleri'nde Google Project Zero ekibinin tanınan siması Tavis Ormandy'nin Logitech marka mouseları web üzerinden yönetebilmeye yönelik keşfettiği zafiyeti ve Silesia Security Lab'dan Dawid Czagan'ın D-Link DIR-600 routuerlarda keşfettiği CSRF'den Remote Code Execution'a uzanan zafiyetini konu aldık. Devamı

SoundHijacking - Abusing Missing XFO

SoundHijacking - Abusing Missing XFO

Kategori: Web Güvenliği - Güncelleme: 12 Kasım 2018 - Ziyahan Albeniz

Yıllar öncesinde çokça tartışılan UI Redressing atağının ve önlemi olarak bildiğimiz X-Frame-Options Header'ı farklı bir amaçla kullanıldı. Araştırmacı Raushan Raj, Google Docs'te XFO header'ının kullanılmamasından faydalanarak sitesini ortam dinleme cihazına çevirmeyi başardı. Devamı

Google Arama Bot'u Adres Sormaz ki!

Google Arama Bot'u Adres Sormaz ki!

Kategori: Web Güvenliği - Güncelleme: 05 Kasım 2018 - Ziyahan Albeniz

Siteniz arama motorunun saldırısı altında mı? Google arama botları aracılığı ile saldırılarını websitenize yönlendiriyor olabilirler. Apache Struts zafiyetlerinde yakın zamanda çıkanlardan bir tanesi (CVE-2018-11776) bakın botlarla beraber ne amaçlarla kullanılıyormuş. Devamı

Web Güvenliği Sadece Web Güvenliği Değildir: Web Temelli Saldırılar ile IoT Cihazların Keşfi ve Kontrolü

Web Güvenliği Sadece Web Güvenliği Değildir: Web Temelli Saldırılar ile IoT Cihazların Keşfi ve Kontrolü

Kategori: Web Güvenliği - Güncelleme: 09 Ekim 2018 - Ziyahan Albeniz

DNS rebinding atakları günümüzde hala atak vektörleri değişerek karşımıza çıkıyor. IOT cihazlarda DNS rebinding ataklar ile yapılan araştırmayı paylaşıyoruz. Ayrıca Fragmented SQL Injection ile birden fazla parametre kullanılarak nasıl injection yapıldığını da sizler için yazdık.. Devamı

Tor Kokarsa Neylenir?

Tor Kokarsa Neylenir?

Kategori: Web Güvenliği - Güncelleme: 18 Eylül 2018 - Ziyahan Albeniz

Kullandığınız browser'ı seçerken sadece hıza mı bakıyorsunuz? Her an yeni versiyonlarıyla karşılaştığımız browser'ınızı ne kadar güncel tutuyorsunuz? Microsoft Edge ve Safari tarayıcıları üzerinde ortaya koyulan yeni phishing saldırıları tarayıcı seçimlerimizin önemini gösteriyorken, Tor Browser 7.x versiyonunda NoScript eklentisinin bypass edilerek script çalıştırabildiğimizi öğrenmemiz aynı haftaya denk geldi. Daha fazlası için sizi içeri alalım. Devamı

Toparlanın Git'miyoruz

Toparlanın Git'miyoruz

Kategori: Web Güvenliği - Güncelleme: 11 Eylül 2018 - Ziyahan Albeniz

Git - versiyon kontrol sistemini (VCS) websiteniz de kullanıyor musunuz? Peki, konfigurasyonların doğru yapılandırılmadığında tüm websitesinin kaynak kodunun saldırganın eline verebileceğizi biliyor muydunuz? Git'e hızlı bir bakış ile güvenlik konfigurasyonlarını inceliyoruz. Tor servislerinde SSL ekleyeyim derken Public IP'nizin ifşa olması! Devamı