Netsparker Web Güvenliği Blog'u

GDPR Sürecini Nasıl Yönetmeliyiz?

GDPR Sürecini Nasıl Yönetmeliyiz?

Kategori: Web Güvenliği - Güncelleme: 28 Haziran 2018 - Huriye Ozdemir

GDPR uyumluluğunu yönetme sürecinde şirketler, verilerin sınıflandırılması, veri akışının kontrolü, veri güvenliğinin sağlanması, olası bir veri ihlali durumunda eylem planının oluşturulması, hesap verebilirlik ilkesine bağlı olarak veri koruma sorumlularının belirlenmesi, sürecin izlenebilmesi için veri kaydının tutulması ve mevcut politikaların güncellenerek gerekli politika ve sözleşmelerin tamamlanması gibi hususlar üzerinde önemle durmalı ve kişisel verilerin korunması adına süreci sürekli olarak kontrol altında bulundurmalıdır. Devamı

8 Milyon Kullanıcıyı Etkileyen SOP Bypass'ı

8 Milyon Kullanıcıyı Etkileyen SOP Bypass'ı

Kategori: Web Güvenliği - Güncelleme: 11 Haziran 2018 - Netsparker Security Team

Hepimiz tarayıcılarımızda bir takım eklentiler kullanıyoruz, kimisi sayfaların başına kimisi sonuna kendi javascript dosyalarını injecte ediyor. Peki, hangi durumda ne kadar güvenebiliriz? Tehlikeli olabilecek noktaları Same Origin Policy engelleyebiliyor mu? Birlikte öğrenelim. Devamı

CSP'de Yeni Bir Bypass: "Kevgir Misin Be Kardeşlik?"

CSP'de Yeni Bir Bypass: "Kevgir Misin Be Kardeşlik?"

Kategori: Web Güvenliği - Güncelleme: 28 Mayıs 2018 - Netsparker Security Team

CSP ile güvenlik önlemlerini ne kadar katılaştırsakta saldırganlar sürekli bir yeni gedik açıyorlar. Bu sefer Firefox'un Legacy Extension'ı kullanılarak, CSP bypass edildi. Iframe güvenliğinden bahsederken HTML5 özelliklerinden srcdoc attribute gözlerden uzakta tehlike saçabiliyor. Yine yardıma ise bir başka html5 iframe attribute sandbox geliyor. Devamı

osquery Injection

osquery Injection

Kategori: Web Güvenliği - Güncelleme: 25 Mayıs 2018 - Omer Citak

osquery, Facebook tarafından geliştirilen, işletim sistemi üzerinde SQL syntax'ı ile komut çalıştırmaya yarayan bir araç. Şu an en güncel sürümü 2.11.2 ve macOS, CentOS, Ubuntu ve Windows gibi popüler işletim sistemi ve dağıtımları destekliyor. osquery, syntax olarak SQL benzeri bir yapıda olduğundan tıpkı SQL dilini kullanan veri tabanları gibi tabloları kullanıyor. osquery kurulduğu vakit bir takım ön tanımlı tablolar ile birlikte geliyor. Tabii ki sonrasında ek tablolar eklenebiliyor. Bu blogpostta ise osquery'de açıpa çıkan "osquery Injection" zafiyetinden bahsediyoruz. Devamı

URL'in Elli Tonu

URL'in Elli Tonu

Kategori: Web Güvenliği - Güncelleme: 21 Şubat 2018 - Netsparker Security Team

URL, yani Uniform Resource Locator, web'in en önemli, temel bileşenlerinden biri. Talep ettiğimiz kaynak nereden ve nasıl talep edilecek, hangi yetkilerle talep edilecek URL'ler vasıtası ile bildirebiliyoruz. Devamı

Bana Her Şey SOP'u Hatırlatıyor: DNS Rebinding ile Ethereum'larınız Çalınabilir!

Bana Her Şey SOP'u Hatırlatıyor: DNS Rebinding ile Ethereum'larınız Çalınabilir!

Kategori: Web Güvenliği - Güncelleme: 05 Şubat 2018 - Netsparker Security Team

PHP Composer modülü bağımlılıkları yönetmek için ne kadar ideal olsa da güvenlik perspektifi olarak ele aldığımızda onunda kullanımı noktasında dikkat edilmesi gereken hususlar var. Ethereum geth Client'ı üzerinde DNS rebinding ile nasıl hack saldırısı yapabileceğine değiniyoruz ve SOP'u bir kez daha anıyoruz. Devamı

ROBOT Saldırısı 19 Yıllık Zafiyeti Hayata Döndürüyor

ROBOT Saldırısı 19 Yıllık Zafiyeti Hayata Döndürüyor

Kategori: Web Güvenliği - Güncelleme: 17 Ocak 2018 - Hakan Arici

Daniel Bleichenbacher, 1998 yılında sunucularda koşan TLS yığınlarına bir takım hatalı PKCS#1 v1.5 padding'leri ile paketler göndererek, adaptif seçilmiş şifreli metin saldırısı yapmanın mümkün olduğunu tespit etti. Söz konusu yöntem RSA kriptolama üzerinde kullanıldığında TLS gizliliğini paramparça etti. Devamı

HTTP Güvenlik Headerları

HTTP Güvenlik Headerları

Kategori: Web Güvenliği - Güncelleme: 05 Ocak 2018 - Ziyahan Albeniz

Header’lar güvenlik dünyasında çok önem görmezler ancak bir çok zafiyetin ve güvenli iletişimin gizli bahçesini barındırırlar. Devamı