Netsparker Web Güvenliği Blog'u

Dimyat'a Pirince Giderken, Evdeki Gizlilikten Olmak: Firefox'un DNS over TLS ve Trusted Recursive Resolver Özelliklerine Kaygılı Bir Bakış

Dimyat'a Pirince Giderken, Evdeki Gizlilikten Olmak: Firefox'un DNS over TLS ve Trusted Recursive Resolver Özelliklerine Kaygılı Bir Bakış

Kategori: Web Güvenliği - Güncelleme: 14 Ağustos 2018 - Netsparker Security Team

Firefox, yerel ISS'lerin DNS konusunda kullanıcı gizliliğini tehlikeye atmalarına karşın CloudFlare'i varsayılan Trusted Recursive Resolver tarayıcısına dahil ediyor. Trusted Recursive Resolver(TRR) ve bu gelişmelerin gizliliğimizi nasıl etkileyeceğini merak ediyor musunuz? Diğer bir yandan Let's encrypt artık bağımsız bir otorite oldu. Daha önce değil miydi diyenleri duyar gibiyiz. Devamı

Hoş Gelişler Ola Feature Policy ve Yolcudur X-XSS-Protection!

Hoş Gelişler Ola Feature Policy ve Yolcudur X-XSS-Protection!

Kategori: Web Güvenliği - Güncelleme: 23 Temmuz 2018 - Netsparker Security Team

Güvenli internet'e atılan adımlarda en popüler yazılımlarımız olan internet tarayıcılarının da güvenlik noktasındaki sıkılaştırmalarına her gün yenileri ekleniyor. Taslak halindeki yeni bir çalışma olan Feature Policy ile konum erişimi, kamera, mikrofon, jiroskop gibi sensörlere ait verilerin artık site contextin de izin yönetimi de mümkün hale geliyor. Güvenlik Header'i X-XSS-Protection artık Edge'de varsayılan olarak kapalı gelecek! Devamı

GDPR Sürecini Nasıl Yönetmeliyiz?

GDPR Sürecini Nasıl Yönetmeliyiz?

Kategori: Web Güvenliği - Güncelleme: 28 Haziran 2018 - Huriye Ozdemir

GDPR uyumluluğunu yönetme sürecinde şirketler, verilerin sınıflandırılması, veri akışının kontrolü, veri güvenliğinin sağlanması, olası bir veri ihlali durumunda eylem planının oluşturulması, hesap verebilirlik ilkesine bağlı olarak veri koruma sorumlularının belirlenmesi, sürecin izlenebilmesi için veri kaydının tutulması ve mevcut politikaların güncellenerek gerekli politika ve sözleşmelerin tamamlanması gibi hususlar üzerinde önemle durmalı ve kişisel verilerin korunması adına süreci sürekli olarak kontrol altında bulundurmalıdır. Devamı

8 Milyon Kullanıcıyı Etkileyen SOP Bypass'ı

8 Milyon Kullanıcıyı Etkileyen SOP Bypass'ı

Kategori: Web Güvenliği - Güncelleme: 11 Haziran 2018 - Netsparker Security Team

Hepimiz tarayıcılarımızda bir takım eklentiler kullanıyoruz, kimisi sayfaların başına kimisi sonuna kendi javascript dosyalarını injecte ediyor. Peki, hangi durumda ne kadar güvenebiliriz? Tehlikeli olabilecek noktaları Same Origin Policy engelleyebiliyor mu? Birlikte öğrenelim. Devamı

CSP'de Yeni Bir Bypass: "Kevgir Misin Be Kardeşlik?"

CSP'de Yeni Bir Bypass: "Kevgir Misin Be Kardeşlik?"

Kategori: Web Güvenliği - Güncelleme: 28 Mayıs 2018 - Netsparker Security Team

CSP ile güvenlik önlemlerini ne kadar katılaştırsakta saldırganlar sürekli bir yeni gedik açıyorlar. Bu sefer Firefox'un Legacy Extension'ı kullanılarak, CSP bypass edildi. Iframe güvenliğinden bahsederken HTML5 özelliklerinden srcdoc attribute gözlerden uzakta tehlike saçabiliyor. Yine yardıma ise bir başka html5 iframe attribute sandbox geliyor. Devamı

osquery Injection

osquery Injection

Kategori: Web Güvenliği - Güncelleme: 25 Mayıs 2018 - Omer Citak

osquery, Facebook tarafından geliştirilen, işletim sistemi üzerinde SQL syntax'ı ile komut çalıştırmaya yarayan bir araç. Şu an en güncel sürümü 2.11.2 ve macOS, CentOS, Ubuntu ve Windows gibi popüler işletim sistemi ve dağıtımları destekliyor. osquery, syntax olarak SQL benzeri bir yapıda olduğundan tıpkı SQL dilini kullanan veri tabanları gibi tabloları kullanıyor. osquery kurulduğu vakit bir takım ön tanımlı tablolar ile birlikte geliyor. Tabii ki sonrasında ek tablolar eklenebiliyor. Bu blogpostta ise osquery'de açıpa çıkan "osquery Injection" zafiyetinden bahsediyoruz. Devamı

URL'in Elli Tonu

URL'in Elli Tonu

Kategori: Web Güvenliği - Güncelleme: 21 Şubat 2018 - Netsparker Security Team

URL, yani Uniform Resource Locator, web'in en önemli, temel bileşenlerinden biri. Talep ettiğimiz kaynak nereden ve nasıl talep edilecek, hangi yetkilerle talep edilecek URL'ler vasıtası ile bildirebiliyoruz. Devamı

Bana Her Şey SOP'u Hatırlatıyor: DNS Rebinding ile Ethereum'larınız Çalınabilir!

Bana Her Şey SOP'u Hatırlatıyor: DNS Rebinding ile Ethereum'larınız Çalınabilir!

Kategori: Web Güvenliği - Güncelleme: 05 Şubat 2018 - Netsparker Security Team

PHP Composer modülü bağımlılıkları yönetmek için ne kadar ideal olsa da güvenlik perspektifi olarak ele aldığımızda onunda kullanımı noktasında dikkat edilmesi gereken hususlar var. Ethereum geth Client'ı üzerinde DNS rebinding ile nasıl hack saldırısı yapabileceğine değiniyoruz ve SOP'u bir kez daha anıyoruz. Devamı