Netsparker Web Güvenliği Blog'u

Anketler Güvenli Web Sitelerin Daha Fazla Gelir Elde Ettiğini Gösteriyor

Anketler Güvenli Web Sitelerin Daha Fazla Gelir Elde Ettiğini Gösteriyor

Kategori: Web Güvenliği - Güncelleme: 22 Kasım 2017 - Robert Abela

Birkaç gün sonra yiyecek ve alışverişle yakından ilgili Amerika’nın Black Friday, Cyber Monday ve yılbaşı tatillerini kapsayan bir zaman diliminin içerisine gireceğiz. Ankete katılanların büyük çoğunluğu (%84.6), yaptıkları alışverişlerin bazılarını internet üzerinden gerçekleştirdiklerini söylediler. Devamı

HPKP'ye Veda mı? DNS over TLS, ADINT

HPKP'ye Veda mı? DNS over TLS, ADINT

Kategori: Web Güvenliği - Güncelleme: 30 Ekim 2017 - Netsparker Security Team

DNS sorgularının dahi şifrelenmiş olduğu ancak web sitelerinde karşılaştığınız reklamlar ile adım adım takip edilebildiğiniz, KRACK ile şifreli iletişimin hiçe sayılabildiği, BadRabbit gibi sürekli yeni bir tehlikenin olduğu dünya gerçekten güvenli mi? HPKP’den bahsetmiyoruz bile. Devamı

Netsparker'a CyberSecurity Breakthrough 2017 Ödülü Verildi

Netsparker'a CyberSecurity Breakthrough 2017 Ödülü Verildi

Kategori: Web Güvenliği - Güncelleme: 27 Ekim 2017 - Robert Abela

Dünya çapında dijital bilgi güvenliği alanında başarı sağlayan teknoloji şirketleri, ürün ve kişileri her yıl ödüllendiren merkezi Londra’da bulunan CyberSecurity Breakthrough bu yıl “Yılın Zafiyet Yönetimi Çözüm Sağlayıcısı” ödülünü Türk şirketi Netsparker’a verdi. Devamı

Web Uygulama Zafiyetlerinde Önem Dereceleri

Web Uygulama Zafiyetlerinde Önem Dereceleri

Kategori: Web Güvenliği - Güncelleme: 24 Ekim 2017 - Selçuk Miynat

Zafiyet Önem Dereceleri (Vulnerability Severities) nelerdir? Netsparker tespit ettiği zafiyetleri önem derecelerine göre sınıflandırıyor. Kritik, Yüksek, Orta, Düşük ve Bilgilendirici düzeyde sınıflandırılan zaatiyetler hangileridir? Devamı

Yazılım Geliştiricileri Anketi

Yazılım Geliştiricileri Anketi

Kategori: Web Güvenliği - Güncelleme: 02 Ekim 2017 - Robert Abela

Seçim sistemleri gibi kritik alt yapılar dışarıya açık test ortamlarında zafiyetli uygulamalar bırakılması, güncellemelerin yapılmaması gibi basit ihmaller yüzünden tehlike altında mı? Devamı

Collision Based Hashing Algoritma İfşası

Collision Based Hashing Algoritma İfşası

Kategori: Web Güvenliği - Güncelleme: 25 Eylül 2017 - Sven Morgenroth

Bu makalede, Collision Based Hashing Algoritma İfşası yönteminden yararlanarak, hedef web sitesinin kullanıcılara ait parolaları hash'lerken SHA-1 algoritmasını kullanıp kullanmadığını tespit etmenin yollarını anlattık. Devamı

Security.TXT, Self XSS+oAuth = Good XSS, Web Mining ve dahası

Security.TXT, Self XSS+oAuth = Good XSS, Web Mining ve dahası

Kategori: Web Güvenliği - Güncelleme: 22 Eylül 2017 - Netsparker Security Team

Security.txt ile artık bug hunter'lara ne istediğinizi anlatabilirsiniz. Web siteleri CPU'nuza erişip Monero coin üretmesi hareketi reklamları kaldırır mı? Cure53'ten Browser Security hakkında derinlemesine bir araştırma. İşletim sisteminizi tarayıcınızdan da kullanabilir misiniz? Deep Web'in Shodan'ı Ichidan'a merhaba deyin. SSRF testing hakkında güzel bir repo görmek ster miydiniz? Self-XSS bulunca bir de OAuth varsa üzülmeyeceksiniz desek, inanır mısınız? Devamı

1S1C: Cross Origin Resource Sharing (CORS), CSRF'e karşı bir tedbir olarak kullanılabilir mi?

1S1C: Cross Origin Resource Sharing (CORS), CSRF'e karşı bir tedbir olarak kullanılabilir mi?

Kategori: Web Güvenliği - Güncelleme: 08 Eylül 2017 - Netsparker Security Team

Web güvenliğinde uyuyan dev olarak adlandırdığımız CSRF saldırılarının etkilerinden korunmak isteyen kişilerin sıkça sorduğu sorulardan bir tanesi "Cross Origin Resource Sharing mekanizmasını kullanarak bu saldırı tekniklerinden korunmak mümkün mü?" olmuştur. Bir çok güvenlik modelinin olması, konseptlere aşina olmayanlar için kafa karıştırıcı olabilmektedir Devamı

1S1C: WWW Subdomainini Websitemde Kullanmalı mıyım?

1S1C: WWW Subdomainini Websitemde Kullanmalı mıyım?

Kategori: Web Güvenliği - Güncelleme: 05 Eylül 2017 - Netsparker Security Team

WWW subdomaini herkes için geleneksel önem taşıyan bir subdomain gibi durur ancak işin iç yüzü öyle değil. Özellikle de birden çok kullanıcıya kendi etki alanında hizmet veren servisler için, Cookie'nin yani imparatorluğun anahtarlarının korunması için oldukça elzemdir. Devamı

TOR, React, XSS ve CORS ile Güvenli Bir Hafta

TOR, React, XSS ve CORS ile Güvenli Bir Hafta

Kategori: Web Güvenliği - Güncelleme: 11 Ağustos 2017 - Netsparker Security Team

TOR ağındaki sitelerde web güvenliği ne durumda? ReactJS ile Script Injection'a nasıl mahal verebilirsiniz? Haveibeenpwned'ın password kısmını kullandınız mı? XFO header'ını gerçekten her yerde kullanmalı mısınız? CORS ile CSRF koruması sağlayabilir misiniz? Devamı

Modern Browserlarda SOP Davranışı, WP Setup Attack ve JSONP Güvenliği

Modern Browserlarda SOP Davranışı, WP Setup Attack ve JSONP Güvenliği

Kategori: Web Güvenliği - Güncelleme: 28 Temmuz 2017 - Netsparker Security Team

Modern Browserlarda Same-Origin-Policy Macerası yazımızda SOP kurallarının tarayıcı tasarımlarındaki farklılıklarına ait analizler, Wordpress Fresh Setup Attack yazımızda wordfence ait wordpress güvenlik analizleri, Kocayan Kurt JSONP ve Güvenlik Maskaralıkları yazımızda ise CORS kullanmaktan kaçanların JSONP ile imtihanı anlatılmaktadır. Devamı

Meraklısı İçin Apache Struts RCE Zafiyeti

Meraklısı İçin Apache Struts RCE Zafiyeti

Kategori: Web Güvenliği - Güncelleme: 24 Temmuz 2017 - Nur Yesilyurt

CVE-2017-9197 kodlu uzaktan kod çalıştırma zafiyetinin Showcase uygulamasında bulunan bir programlama hatasından kaynaklandığını, sadece Showcase uygulamasını deploy edenlerin etkileneceğini, zafiyetin teknik detaylarını ve daha fazlasını bu yazımızda bulabilirsiniz. Devamı

Netsparker'da İspata Dayalı Tarama Teknolojisi

Netsparker'da İspata Dayalı Tarama Teknolojisi

Kategori: Web Güvenliği - Güncelleme: 21 Temmuz 2017 - Robert Abela

Netsparker web uygulama güvenliği tarayıcıları, tanımladığı güvenlik zafiyetlerini tarama esnasında otomatik olarak exploit eden ilk ve tek tarayıcıdır. Netsparker’ı rakiplerinden ayıran ve doğru sonuçlar üretmesini sağlayan özelliklerden birisi de ispata dayalı tarama teknolojisidir. Devamı