Netsparker Web Güvenliği Blog'u

Apache Struts2 Zafiyeti

Apache Struts2 Zafiyeti

Kategori: Web Güvenliği - Güncelleme: 17 Mart 2017 - Omar Kurt

Struts 1.0, ilk olarak 2001’in ortasında yayınlandı, Java tabanlı bir web framework olan Struts, Apache Vakfı Jakarta Projesinin bir parçasıdır. OGNL (Object-Graph Navigation Language) ifade dili desteği bulunmaktadır. Zafiyet CVE-2017-5638 kodu ile yayınlanmıştır. Detaylar yazımızda. Devamı

Bir Web Uygulaması Güvenlik Tarayıcısı için Ücret Ödenmeli Mi?

Bir Web Uygulaması Güvenlik Tarayıcısı için Ücret Ödenmeli Mi?

Kategori: Web Güvenliği - Güncelleme: 14 Mart 2017 - Robert Abela

Ücretsiz ve ticari web güvenlik tarayıcıları arasındaki farklılıkları öğrenmek, doğru bilinen yanlışların farkına varmak için bu yazımızı okumalısınız. Bu yazıda, web güvenliği ve sızma testi konularında kullanıcılara belirgin bir zaman ve efor tasarrufu sağlayan ticari yazılımlar ile hususi amaçlar için üretilmiş ücretsiz yazılımlar arasında performans, fiyat ve zaman tasarrufu gibi belli kıstaslar açısından bir değerlendirme yapılmıştır. Devamı

DOM Clobbering

DOM Clobbering

Kategori: Web Güvenliği - Güncelleme: 08 Mart 2017 - Omer Citak

Clobbering’i bilgisayar terminolojisi çerçevesinde Türkçe’ye çevirdiğimizde “üzerine yazmak” gibi bir manaya geliyor. Bu yazıda kastettiğimiz olay tam da bu aslında. Bir DOM objesinin başka bir DOM objesi üzerine sorgusuz sualsiz yazması sonucu ortaya çıkan duruma verilen isimdir DOM Clobbering. Devamı

İleri Seviye Sqlmap Kullanımı

İleri Seviye Sqlmap Kullanımı

Kategori: Web Güvenliği - Güncelleme: 02 Mart 2017 - Emre Iyidogan

Sqlmap, web uygulamalarında SQL Injection tespitini ve bulunan açıkların exploit edilmesini otomatik hale getiren açık kaynak kodlu bir araçtır. Sqlmap'te kullanılan parametrelerin neredeyse tamamı önemli işlevlere sahip parametrelerdir. Bu yazıda söz konusu parametrelerden bazıları hakkında bilgiler verilmiş ve örnekler gösterilmiştir. Ayrıca Netsparker Desktop'ın sunduğu sqlmap komutlarını kopyalayabilme desteği hakkında da bilgilendirme yapılmıştır. Devamı

Server Side Template Injection Zafiyeti

Server Side Template Injection Zafiyeti

Kategori: Web Güvenliği - Güncelleme: 27 Şubat 2017 - Omer Citak

Web uygulamarı geliştirmek artık eskisi kadar kolay değil. Artık projelerimizi modern mimariler ile tasarlamamız gerekiyor. Bu modern mimarinin birçoğunda olan View katmanında bize yardımcı olması için template engineler kullanırız. Template engineler birçok kolaylığın yanında bir takım güvenlik zafiyetlerini de yanında getiriyor. Bu yazıda bu zafiyetlerden bahsettik. Devamı

Web Güvenlik Taramalarındaki Uyumsuzluğu Çözme

Web Güvenlik Taramalarındaki Uyumsuzluğu Çözme

Kategori: Web Güvenliği - Güncelleme: 23 Şubat 2017 - Robert Abela

Sunucu sorunları, bağlantı problemleri gibi sebeplerden dolayı yaptığınız iki farklı tarama, birbirinden farklı neticeler verebilir. Hatalı tarama sonuçlarının neden oluştuğunu ve bu sorunların nasıl tespit edilip çözüme kavuşturulacağını bu yazımızla öğrenebilirsiniz. Devamı

BeEF Framework Nedir? Nasıl Kullanılır?

BeEF Framework Nedir? Nasıl Kullanılır?

Kategori: Web Güvenliği - Güncelleme: 17 Şubat 2017 - Omer Citak

Mobil istemciler de dahil olmak üzere müşterilere yönelik web tabanlı saldırılarla ilgili endişeler arttıkça, BeEF, profesyonel penetrasyon test cihazının istemci taraflı saldırı vektörlerini kullanarak gerçek bir hedef güvenlik ortamını değerlendirebilmesini sağlar. BeEF, bir veya daha fazla web tarayıcısını kendine bağlayarak ve bunları yönlendirilmiş komut modüllerini başlatmak ve ... Devamı

Jenkins ile Netsparker Entegrasyonu

Jenkins ile Netsparker Entegrasyonu

Kategori: Web Güvenliği - Güncelleme: 06 Şubat 2017 - Omer Citak

Continuous Integration mimarisi günümüzdeki yazılım projelerinde olmazsa olmaz haline geldi. Deployment sürecinin otomatize olarak yapılmasının artılarından dolayı güvenlik testlerinin de bu mimari dahilinde otomatize edilmesi gereksinimi ortaya çıktı. Jenkins popüler Continuous Integration araçlarından biridir. Bu yazımızda Jenkins ile Netsparker tarafından yapılacak testlerin nasıl otomatize edilip Continuous Integration sürecine dahil edilebileceğini anlattık. Devamı

Meraklısı için Wordpress Content Injection Zafiyeti (4.7.0 & 4.7.1)

Meraklısı için Wordpress Content Injection Zafiyeti (4.7.0 & 4.7.1)

Kategori: Web Güvenliği - Güncelleme: 03 Şubat 2017 - Ziyahan Albeniz

Wordpress 4.4 sürümü ile birlikte REST API desteğini eklemişti. 4.7.0 ve 4.7.1 sürümlerinde ise varsayılan olarak aktif hale getirdi. Getirilen bu imkan, söz konusu versiyonlarda bugünlerde herkesin konuştuğu Content Injection zafiyetini ortaya çıkardı. Zafiyetin ayrıntılarını ve etkilerini, hakkında yazılan ilk Türkçe kaynaktan öğrenmek için yazımızı okuyabilirsiniz. Devamı

Sunucu Üzerinde Dizin Listeleme Özelliği ve Getirdiği Riskler

Sunucu Üzerinde Dizin Listeleme Özelliği ve Getirdiği Riskler

Kategori: Web Güvenliği - Güncelleme: 02 Şubat 2017 - Onur Yilmaz

Web sunucusu üzerinde yanlış olarak yapılan ya da ön tanımlı olarak gelen konfigürasyonlar neticesinde dizin listeleme açık hale gelebilmekte ve çeşitli riskler doğurabilmektedir. Söz konusu riskler hakkında bilgi edinmek ve sunucu türüne göre dizin listelemenin nasıl kapatıldığını öğrenmek için detayları blog girdisinden okuyabilirsiniz. Devamı

Unexpected Redirect Response Body (Too Large)

Unexpected Redirect Response Body (Too Large)

Kategori: Web Güvenliği - Güncelleme: 27 Ocak 2017 - Emre Iyidogan

Netsparker, bir tarama esnasında veya sonrasında Information olarak geçen bazı uyarılar verebilir. Bu uyarıları hafife almak bazen kötü sonuçlar doğurabilmektedir. Bunlardan biri olan ve authentication bypass ya da çeşitli script hataları gibi olumsuzluklara neden olabilen Unexpected Redirect Response Body (Too Large) uyarısı hakkında bilgi edinmek için yazımızı okuyabilirsiniz. Devamı