Netsparker Web Güvenliği Blog'u

Jenkins ile Netsparker Cloud Entegrasyonu

Jenkins ile Netsparker Cloud Entegrasyonu

Kategori: Web Güvenliği - Güncelleme: 22 Mayıs 2017 - Omer Citak

Bu yazımızda popüler Continuous Integration araçlarından biri olan Jenkins ile Netsparker Cloud tarafından yapılacak testlerin nasıl otomatize edilip Continuous Integration sürecine dahil edilebileceğini anlattık. Devamı

Hacktrick 2017 İzlenimleri

Hacktrick 2017 İzlenimleri

Kategori: Web Güvenliği - Güncelleme: 03 Mayıs 2017 - Ziyahan Albeniz

Ne zaman sanatsal imgelemin izlerini siber güvenlik çalışmalarının birinde görsem, o alana duyduğum kalbi yakınlık daha da artıyor. Hacktrick organizasyonu da bunlardan biri. Hacktrick Konferansı, bu yıl 4.sü BTK ev sahipliğinde gerçekleşen Devamı

Remote Code Evaluation Zafiyeti

Remote Code Evaluation Zafiyeti

Kategori: Web Güvenliği - Güncelleme: 24 Nisan 2017 - Sven Morgenroth

Bu yazıda, Remote Code Evaluation zafiyetinin ne olduğu, saldırganların bu zafiyeti nasıl suistimal ettiği ve saldırılara karşı hangi tedbirlerin alınması gerektiği anlatılmaktadır. Devamı

OWASP AppSec Europe 2017 Konferansına Bilet Kazabilirsiniz

OWASP AppSec Europe 2017 Konferansına Bilet Kazabilirsiniz

Kategori: Web Güvenliği - Güncelleme: 17 Nisan 2017 - Ufuk Isman

Netsparker olarak, hem konferansına hem sergi alanına sponsor olduğumuz OWASP AppSec Europe Konferansı için iki şanslı kişiye bilet vereceğiz. Konferans 8-12 Mayıs 2017 tarihleri arasında Belfast’da gerçekleşecek. Orada Netsparker Standını ziyaret ederek, web uygulamalarındaki açıkların programımız tarafından nasıl kolayca listelenebildiğini görebileceksiniz. Devamı

Web Uygulama Güvenliğinde False Positive Sorunu

Web Uygulama Güvenliğinde False Positive Sorunu

Kategori: Web Güvenliği - Güncelleme: 29 Mart 2017 - Robert Abela

False positive'lerin web uygulama güvenliği sektöründe neden büyük bir problem teşkil ettiğini ve ücretsiz bir false positive web güvenik tarayıcısını nasıl temin edebileceğinizi bu yazımızı okuyarak öğrenebilirsiniz. Devamı

Apache Struts2 Zafiyeti

Apache Struts2 Zafiyeti

Kategori: Web Güvenliği - Güncelleme: 17 Mart 2017 - Omar Kurt

Struts 1.0, ilk olarak 2001’in ortasında yayınlandı, Java tabanlı bir web framework olan Struts, Apache Vakfı Jakarta Projesinin bir parçasıdır. OGNL (Object-Graph Navigation Language) ifade dili desteği bulunmaktadır. Zafiyet CVE-2017-5638 kodu ile yayınlanmıştır. Detaylar yazımızda. Devamı

Bir Web Uygulaması Güvenlik Tarayıcısı için Ücret Ödenmeli Mi?

Bir Web Uygulaması Güvenlik Tarayıcısı için Ücret Ödenmeli Mi?

Kategori: Web Güvenliği - Güncelleme: 14 Mart 2017 - Robert Abela

Ücretsiz ve ticari web güvenlik tarayıcıları arasındaki farklılıkları öğrenmek, doğru bilinen yanlışların farkına varmak için bu yazımızı okumalısınız. Bu yazıda, web güvenliği ve sızma testi konularında kullanıcılara belirgin bir zaman ve efor tasarrufu sağlayan ticari yazılımlar ile hususi amaçlar için üretilmiş ücretsiz yazılımlar arasında performans, fiyat ve zaman tasarrufu gibi belli kıstaslar açısından bir değerlendirme yapılmıştır. Devamı

DOM Clobbering

DOM Clobbering

Kategori: Web Güvenliği - Güncelleme: 08 Mart 2017 - Omer Citak

Clobbering’i bilgisayar terminolojisi çerçevesinde Türkçe’ye çevirdiğimizde “üzerine yazmak” gibi bir manaya geliyor. Bu yazıda kastettiğimiz olay tam da bu aslında. Bir DOM objesinin başka bir DOM objesi üzerine sorgusuz sualsiz yazması sonucu ortaya çıkan duruma verilen isimdir DOM Clobbering. Devamı

İleri Seviye Sqlmap Kullanımı

İleri Seviye Sqlmap Kullanımı

Kategori: Web Güvenliği - Güncelleme: 02 Mart 2017 - Emre Iyidogan

Sqlmap, web uygulamalarında SQL Injection tespitini ve bulunan açıkların exploit edilmesini otomatik hale getiren açık kaynak kodlu bir araçtır. Sqlmap'te kullanılan parametrelerin neredeyse tamamı önemli işlevlere sahip parametrelerdir. Bu yazıda söz konusu parametrelerden bazıları hakkında bilgiler verilmiş ve örnekler gösterilmiştir. Ayrıca Netsparker Desktop'ın sunduğu sqlmap komutlarını kopyalayabilme desteği hakkında da bilgilendirme yapılmıştır. Devamı

Server Side Template Injection Zafiyeti

Server Side Template Injection Zafiyeti

Kategori: Web Güvenliği - Güncelleme: 27 Şubat 2017 - Omer Citak

Web uygulamarı geliştirmek artık eskisi kadar kolay değil. Artık projelerimizi modern mimariler ile tasarlamamız gerekiyor. Bu modern mimarinin birçoğunda olan View katmanında bize yardımcı olması için template engineler kullanırız. Template engineler birçok kolaylığın yanında bir takım güvenlik zafiyetlerini de yanında getiriyor. Bu yazıda bu zafiyetlerden bahsettik. Devamı

Web Güvenlik Taramalarındaki Uyumsuzluğu Çözme

Web Güvenlik Taramalarındaki Uyumsuzluğu Çözme

Kategori: Web Güvenliği - Güncelleme: 23 Şubat 2017 - Robert Abela

Sunucu sorunları, bağlantı problemleri gibi sebeplerden dolayı yaptığınız iki farklı tarama, birbirinden farklı neticeler verebilir. Hatalı tarama sonuçlarının neden oluştuğunu ve bu sorunların nasıl tespit edilip çözüme kavuşturulacağını bu yazımızla öğrenebilirsiniz. Devamı