Netsparker Web Güvenliği Blog'u

Modern Browserlarda SOP Davranışı, WP Setup Attack ve JSONP Güvenliği

Modern Browserlarda SOP Davranışı, WP Setup Attack ve JSONP Güvenliği

Kategori: Web Güvenliği - Güncelleme: 28 Temmuz 2017 - Netsparker Security Team

Modern Browserlarda Same-Origin-Policy Macerası yazımızda SOP kurallarının tarayıcı tasarımlarındaki farklılıklarına ait analizler, Wordpress Fresh Setup Attack yazımızda wordfence ait wordpress güvenlik analizleri, Kocayan Kurt JSONP ve Güvenlik Maskaralıkları yazımızda ise CORS kullanmaktan kaçanların JSONP ile imtihanı anlatılmaktadır. Devamı

Meraklısı İçin Apache Struts RCE Zafiyeti

Meraklısı İçin Apache Struts RCE Zafiyeti

Kategori: Web Güvenliği - Güncelleme: 24 Temmuz 2017 - Nur Yesilyurt

CVE-2017-9197 kodlu uzaktan kod çalıştırma zafiyetinin Showcase uygulamasında bulunan bir programlama hatasından kaynaklandığını, sadece Showcase uygulamasını deploy edenlerin etkileneceğini, zafiyetin teknik detaylarını ve daha fazlasını bu yazımızda bulabilirsiniz. Devamı

Netsparker'da İspata Dayalı Tarama Teknolojisi

Netsparker'da İspata Dayalı Tarama Teknolojisi

Kategori: Web Güvenliği - Güncelleme: 21 Temmuz 2017 - Robert Abela

Netsparker web uygulama güvenliği tarayıcıları, tanımladığı güvenlik zafiyetlerini tarama esnasında otomatik olarak exploit eden ilk ve tek tarayıcıdır. Netsparker’ı rakiplerinden ayıran ve doğru sonuçlar üretmesini sağlayan özelliklerden birisi de ispata dayalı tarama teknolojisidir. Devamı

SSL Revocation Mekanizmasına Endişeli Bir Bakış

SSL Revocation Mekanizmasına Endişeli Bir Bakış

Kategori: Web Güvenliği - Güncelleme: 19 Temmuz 2017 - Netsparker Security Team

Haftanın Hackleri'nde bu hafta, çalınan SSL sertifkalarına karşı bir imdat çekici olan Revocation mekanizması nasıl çalışıyor ve Güvenlik Uzmanı Ivan Novikov'un tecrübe imbiğinden damıtılmış web uygulamalarında rastlanan 5 konfigürasyon hatası konularına değindik. Devamı

Harf ve Sayıları Engelleyen WAF'ları Bypass, Alex Top 1M Site Analizi ve daha fazlası

Harf ve Sayıları Engelleyen WAF'ları Bypass, Alex Top 1M Site Analizi ve daha fazlası

Kategori: Web Güvenliği - Güncelleme: 30 Haziran 2017 - Netsparker Security Team

Haftanın Hackleri'nde bu hafta harf ve sayı kullanımını engelleyen WAF'ları nasıl atlatabileceğimizden, Alexa Top 1 milyonda yer alan sitelerin güvenlik teknolojilerini ne ölçüde uyguladığından, yeni bir phishing tekniği olarak kullanılan URL Padding'den bahsettik. Bunlara ek olarak hoşumuza giden araçları sizlerle paylaşmaktan da geri kalmadık. Devamı

Web Güvenliğinde Otomasyonun Önemi

Web Güvenliğinde Otomasyonun Önemi

Kategori: Web Güvenliği - Güncelleme: 29 Haziran 2017 - Onur Yilmaz

Bu yazımızda, web uygulama güvenliğinin neden önemli olduğuna dair kısa ve net bilgiler vererek, güvenliği sağlama amacıyla gerçekleştirilecek olan testlerin neden otomatize edilmesi gerektiği konusunu somut örneklerle göstermeye çalışacağız. Devamı

Netsparker'ı WMI ile Uzak Makineden Çalıştırmak

Netsparker'ı WMI ile Uzak Makineden Çalıştırmak

Kategori: Web Güvenliği - Güncelleme: 23 Haziran 2017 - Nur Yesilyurt

İç ağ üzerinde bulunan bir Netsparker'ın WMI ile komut satırı kullanılarak uzaktan tetiklenebilir. Bu sayede iç ağ üzerinde yapılacak taramalar otomatize edilip aynı zamanda kullanıcının hazırladığı konfigürasyonları kullanılarak yapılıp aynı zamanda raporlanabilir. Devamı

Referrer-Policy Security Header

Referrer-Policy Security Header

Kategori: Web Güvenliği - Güncelleme: 20 Haziran 2017 - Ziyahan Albeniz

Referer, maalesef hem yanlış yazılan (bir hata sonucu Referrer kelimesi Referer olarak implemente edilmiştir.), hem de yeterince anlaşılmayan bir istek (request) headerı. Bu yazıda Referer headerı, cross-domain referrer leakage gibi konular kapsamında yeni güvenlik headerı Referrer-Policy'i tanıyacağız. Devamı

Jenkins ile Netsparker Cloud Entegrasyonu

Jenkins ile Netsparker Cloud Entegrasyonu

Kategori: Web Güvenliği - Güncelleme: 22 Mayıs 2017 - Omer Citak

Bu yazımızda popüler Continuous Integration araçlarından biri olan Jenkins ile Netsparker Cloud tarafından yapılacak testlerin nasıl otomatize edilip Continuous Integration sürecine dahil edilebileceğini anlattık. Devamı

Hacktrick 2017 İzlenimleri

Hacktrick 2017 İzlenimleri

Kategori: Web Güvenliği - Güncelleme: 03 Mayıs 2017 - Ziyahan Albeniz

Ne zaman sanatsal imgelemin izlerini siber güvenlik çalışmalarının birinde görsem, o alana duyduğum kalbi yakınlık daha da artıyor. Hacktrick organizasyonu da bunlardan biri. Hacktrick Konferansı, bu yıl 4.sü BTK ev sahipliğinde gerçekleşen Devamı

Remote Code Evaluation Zafiyeti

Remote Code Evaluation Zafiyeti

Kategori: Web Güvenliği - Güncelleme: 24 Nisan 2017 - Sven Morgenroth

Bu yazıda, Remote Code Evaluation zafiyetinin ne olduğu, saldırganların bu zafiyeti nasıl suistimal ettiği ve saldırılara karşı hangi tedbirlerin alınması gerektiği anlatılmaktadır. Devamı

OWASP AppSec Europe 2017 Konferansına Bilet Kazabilirsiniz

OWASP AppSec Europe 2017 Konferansına Bilet Kazabilirsiniz

Kategori: Web Güvenliği - Güncelleme: 17 Nisan 2017 - Ufuk Isman

Netsparker olarak, hem konferansına hem sergi alanına sponsor olduğumuz OWASP AppSec Europe Konferansı için iki şanslı kişiye bilet vereceğiz. Konferans 8-12 Mayıs 2017 tarihleri arasında Belfast’da gerçekleşecek. Orada Netsparker Standını ziyaret ederek, web uygulamalarındaki açıkların programımız tarafından nasıl kolayca listelenebildiğini görebileceksiniz. Devamı