Netsparker Web Güvenliği Blog'u

osquery Injection

osquery Injection

Kategori: Web Güvenliği - Güncelleme: 25 Mayıs 2018 - Omer Citak

osquery, Facebook tarafından geliştirilen, işletim sistemi üzerinde SQL syntax'ı ile komut çalıştırmaya yarayan bir araç. Şu an en güncel sürümü 2.11.2 ve macOS, CentOS, Ubuntu ve Windows gibi popüler işletim sistemi ve dağıtımları destekliyor. osquery, syntax olarak SQL benzeri bir yapıda olduğundan tıpkı SQL dilini kullanan veri tabanları gibi tabloları kullanıyor. osquery kurulduğu vakit bir takım ön tanımlı tablolar ile birlikte geliyor. Tabii ki sonrasında ek tablolar eklenebiliyor. Bu blogpostta ise osquery'de açıpa çıkan "osquery Injection" zafiyetinden bahsediyoruz. Devamı

URL'in Elli Tonu

URL'in Elli Tonu

Kategori: Web Güvenliği - Güncelleme: 21 Şubat 2018 - Netsparker Security Team

URL, yani Uniform Resource Locator, web'in en önemli, temel bileşenlerinden biri. Talep ettiğimiz kaynak nereden ve nasıl talep edilecek, hangi yetkilerle talep edilecek URL'ler vasıtası ile bildirebiliyoruz. Devamı

Bana Her Şey SOP'u Hatırlatıyor: DNS Rebinding ile Ethereum'larınız Çalınabilir!

Bana Her Şey SOP'u Hatırlatıyor: DNS Rebinding ile Ethereum'larınız Çalınabilir!

Kategori: Web Güvenliği - Güncelleme: 05 Şubat 2018 - Netsparker Security Team

PHP Composer modülü bağımlılıkları yönetmek için ne kadar ideal olsa da güvenlik perspektifi olarak ele aldığımızda onunda kullanımı noktasında dikkat edilmesi gereken hususlar var. Ethereum geth Client'ı üzerinde DNS rebinding ile nasıl hack saldırısı yapabileceğine değiniyoruz ve SOP'u bir kez daha anıyoruz. Devamı

ROBOT Saldırısı 19 Yıllık Zafiyeti Hayata Döndürüyor

ROBOT Saldırısı 19 Yıllık Zafiyeti Hayata Döndürüyor

Kategori: Web Güvenliği - Güncelleme: 17 Ocak 2018 - Hakan Arici

Daniel Bleichenbacher, 1998 yılında sunucularda koşan TLS yığınlarına bir takım hatalı PKCS#1 v1.5 padding'leri ile paketler göndererek, adaptif seçilmiş şifreli metin saldırısı yapmanın mümkün olduğunu tespit etti. Söz konusu yöntem RSA kriptolama üzerinde kullanıldığında TLS gizliliğini paramparça etti. Devamı

HTTP Güvenlik Headerları

HTTP Güvenlik Headerları

Kategori: Web Güvenliği - Güncelleme: 05 Ocak 2018 - Ziyahan Albeniz

Header’lar güvenlik dünyasında çok önem görmezler ancak bir çok zafiyetin ve güvenli iletişimin gizli bahçesini barındırırlar. Devamı