Netsparker Web Güvenliği Blog'u

CVSS: Güvenlik Zafiyetlerini Karakterize Etmek ve Derecelendirmek

CVSS: Güvenlik Zafiyetlerini Karakterize Etmek ve Derecelendirmek

Kategori: Web Güvenliği - Güncelleme: 27 Aralık 2016 - Ziyahan Albeniz

"Pek çok farklı ürün ve standartın bu alanda boy göstermesi, sadece zafiyetler ile ilgili standart bir kimlik belirlemeyi değil, aynı zamanda zafiyetin içerdiği ciddiyeti ve bunun gerektirdiği önlemlerin alınmasını da olumsuz yönde etkiliyor. 2005 yılında geliştirilmeye başlayan CVSS (Common Vulnerable Scoring System), zafiyetleri derecelendirirken, bağımsız, açık ve kapsamlı bir standart sunuyor. CVSS ile zafiyetleri derecelendirmek ve puanlamak; zafiyetin bu kimliğini metinsel bir ifade ile zafiyet yönetim sistemleri ve raporlarda kullanabilmek mümkün. Devamı

Haftanın Hackleri: Komut Enjeksiyonu, Same Origin Policy ve Angular 1.5.8

Haftanın Hackleri: Komut Enjeksiyonu, Same Origin Policy ve Angular 1.5.8

Kategori: Web Güvenliği - Güncelleme: 07 Aralık 2016 - Emre Iyidogan

“Haftanın Hackleri” başlığı ile yayınladığımız yazılarda bu hafta Boşluk Karakteri Kullanmadan Komut Enjeksiyonu, Same Origin Policy’de Açılan Gedik ve Angular 1.5.8 Engeli başlıklı konulara değindik. Sosyal medyada bu yazıyı #haftaninhackleri etiketi ile tartışabilir, sorularınızı bize sorabilirsiniz. Devamı

GoCD ile Netsparker Entegrasyonu

GoCD ile Netsparker Entegrasyonu

Kategori: Web Güvenliği - Güncelleme: 06 Aralık 2016 - Omer Citak

Continuous Integration mimarisi günümüzdeki yazılım projelerinde olmazsa olmaz haline geldi. Deployment sürecinin otomatize olarak yapılmasının artılarından dolayı güvenlik testlerinin de bu mimari dahilinde otomatize edilmesi gereksinimi ortaya çıktı. GoCD popüler Continuous Integration araçlarından biridir. Bu yazımızda GoCD ile Netsparker tarafından yapılacak testlerin nasıl otomatize edilip Continuous Integration sürecine dahil edilebileceğini anlattık. Devamı

OWASP Proactive Controls

OWASP Proactive Controls

Kategori: Web Güvenliği - Güncelleme: 05 Aralık 2016 - Ziyahan Albeniz

Geliştriciler tarafından, yine geliştiricileri güvenli yazılım geliştirme sürecinde desteklemek için yazılan Proactive Controls yazılımların güvenlik açısından penaltıya düştüğü noktaları geliştiricilerin zihnine bir mıh gibi çakmak niyetinde. Bu yazıda özetle Proactive Controls maddelerini değerlendirecek ve maddelerin, OWASP Top 10 Kritik Zafiyetler Listesi'ndeki hangi derde deva olduğunu göreceğiz. Devamı

Türkiye'de HTTP Güvenlik Headerlarının Kullanımı

Türkiye'de HTTP Güvenlik Headerlarının Kullanımı

Kategori: Web Güvenliği - Güncelleme: 10 Kasım 2016 - Ziyahan Albeniz

Yazımızın konusu, Dr. Emin İslam Tatlı ve Koray Emre Kısa tarafından yapılan Türkiye Güvenlik Headarları Araştırması. Bu araştırmadan hareketle hem güvenlik header'larına değinecek, hem de araştırma ile birlikte gündeme gelen güvenlik headerlarının kullanım oranlarını inceleyeceğiz. Devamı

Haftanın Hackleri : NodeJS İstek Kaçakçılığı, Paypal 2FA Bypass Yöntemi ve Dahası

Haftanın Hackleri : NodeJS İstek Kaçakçılığı, Paypal 2FA Bypass Yöntemi ve Dahası

Kategori: Web Güvenliği - Güncelleme: 28 Ekim 2016 - Emre Iyidogan

“Haftanın Hackleri” başlığı ile yayınladığımız yazılarda bu hafta NodeJS İstek Kaçakçılığı, SOH Karakterleriyle Kaynak Kod Elde Etme, Sosyal Medyadaki Parmak İziniz ve Paypal 2FA Bypass Yöntemi başlıklı konulara değindik. Sosyal medyada bu yazıyı #haftaninhackleri etiketi ile tartışabilir, sorularınızı bize sorabilirsiniz. Devamı

CSP - Content Security Policy

CSP - Content Security Policy

Kategori: Web Güvenliği - Güncelleme: 18 Ekim 2016 - Ziyahan Albeniz

CSP, web uygulamalarımızı başta XSS olmak üzere, bir dizi güvenlik zafiyetine karşı korumak için ek bir güvenlik katmanı sunmaktadır. Elbette cürmü, CSP'nin desteklendiği browser'lar kadardır. Dolayısı ile mevzu bahis zafiyetler için (örneğin, XSS) tek başına yeterli olmayacak; CSP'nin desteklenmediği bir browserda, sitenizdeki zafiyet yine istismar edilebilecektir. CSP bir Derinliğine Savunma (defense-in-depth) olarak değerlendirilip, zafiyetin giderilmesi konusunda gerekli işlemler mutlaka yapılmalıdır. Devamı

Perspektifimizden Kişisel Verilerin Korunması Kanunu’na Dair

Perspektifimizden Kişisel Verilerin Korunması Kanunu’na Dair

Kategori: Web Güvenliği - Güncelleme: 27 Eylül 2016 - Zeynep Ersinadim

Bu blog yazımızda; üzerinden beş ay geçmesine rağmen ve hazırlık sürecinin bitmesine sayılı günler kala belki de hala hakkında fazla bilgi sahibi olmadığımız 6698 Sayılı Kişisel Verilerin Korunması Kanunu hakkında konuşarak geç olmadan cezai yükümlülüklerimizi öğrenip, korunan haklarımızın farkına vararak; gerekli önlemleri alma yoluna gidebileceğiz. Devamı

CSV Injection Nedir?

CSV Injection Nedir?

Kategori: Web Güvenliği - Güncelleme: 06 Eylül 2016 - Emre Iyidogan

Formula Injection (Formül Enjeksiyonu) ya da Excel Macro Injection olarak da bilinen CSV Injection zafiyeti ilk defa 2014 yılında keşfedilmiştir. Microsoft Office Excel, Libre Office Calc ve Open Office Calc gibi elektronik çizelge programlarındaki formüller kullanılarak kullanıcıların bilgisayarlarında zararlı kod çalıştırılmasına neden olan bir açıktır. Devamı

Infografik: 396 Açık Kaynak Kodlu Web Uygulamasını Taradık

Infografik: 396 Açık Kaynak Kodlu Web Uygulamasını Taradık

Kategori: Web Güvenliği - Güncelleme: 02 Eylül 2016 - Deniz Parlak

2011 yılından bu yana 396 adet açık kaynak web uygulamasını taradık. Tarayıcılarımız bu uygulamalarda 269 güvenlik zafiyeti tespit etti ve bunlarla ilgili birisi 0-day olmak üzere 114 öneri yayınladık. Geçtiğimiz yıllardan bugüne kadar geçen süre içerisinde keşfedilen web güvenliği zafiyetlerini de araştırarak bazı istatistikler çıkardık. Popüler zafiyetlerle ilgili yaptığımız araştırmayı yazımızın devamında okuyabilirsiniz. Devamı

Object Injection

Object Injection

Kategori: Web Güvenliği - Güncelleme: 29 Ağustos 2016 - Omer Citak

Object Injection; PHP de kullanıcıdan alınan verinin “unserialize()” fonksiyonundan geçirilmesi sonucu oluşan bir zafiyettir. “unserialize()” fonksiyonu; “serialize()” fonksiyonundan geçirilmiş bir PHP variable’ını tekrardan kullanılması için oluşturur. Eğer serialized edilen değişken; bir class’tan türetilen bir object (nesne) ise; zaten var olup serialize edilip saklanmış bir veriyi tekrardan oluşturduğu için otomatik olarak nesnenin ait olduğu class’ın “__wakeup” metodu tetiklenecektir. Devamı

Haftanın Hackleri: Black Hat USA 2016 & DEF CON 24

Haftanın Hackleri: Black Hat USA 2016 & DEF CON 24

Kategori: Web Güvenliği - Güncelleme: 22 Ağustos 2016 - Mustafa Yalcin

“Haftanın Hackleri” başlığı ile yayınladığımız yazılarda bu hafta “Black Hat USA 2016” & “DEF CON 24” etkinliklerinden çıkardığımız notları sizlerle paylaştık. Sosyal medyada bu yazıyı #haftaninhackleri etiketi ile tartışabilirsiniz, bize sorularınızı sorabilirsiniz. Geçtiğimiz haftalarda Black Hat USA 2016 & DEF CON 24 etkinlikleri gerçekleştirildi. Bu yoğun gündem içerisinde ilgimizi çeken başlıkları: Devamı

ImageTragick Zafiyeti

ImageTragick Zafiyeti

Kategori: Web Güvenliği - Güncelleme: 18 Ağustos 2016 - Ziyahan Albeniz

ImageMagick, açık kaynak kodlu bir resim işleme kütüphanesi. Bu kütüphane sayesinde resimleri resize etmek, watermark eklemek, kesmek gibi çeşitli işlemler yapabilmek mümkün. PHP'de kullanılan imagick, Ruby'de kullanılan paperclip, rmagick, nodejs'de kullanılan imagemagick kütüphaneleri, ImageMagick üzerine bina edilmiş kütüphaneler. Web'de bu kadar yaygın olarak kullanılan ImageMagick kütüphanesinde keşfedilen zafiyet 3 Mayıs 2016 tarihinde, www.imagetragick.com üzerinden yayınlandı. Gelin ayrıntılarını hep birlikte inceleyelim: Devamı

Haftanın Hackleri: HEIST Atağı ve CSS mix-blend-mode ile Tarayıcı Geçmişini Çalmak

Haftanın Hackleri: HEIST Atağı ve CSS mix-blend-mode ile Tarayıcı Geçmişini Çalmak

Kategori: Web Güvenliği - Güncelleme: 15 Ağustos 2016 - Alperen Yilmaz

“Haftanın Hackleri” başlığı ile yayınladığımız yazılarda bu hafta HEIST ile HTTPS içerisindeki bilgileri çalmak ve CSS mix-blend-mode ile tarayıcı geçmişini çalmak isimli ilginç konulara değindik. Sosyal medyada bu yazıyı #haftaninhackleri etiketi ile tartışabilirsiniz, bize sorularınızı sorabilirsiniz. Devamı

Same Origin Policy

Same Origin Policy

Kategori: Web Güvenliği - Güncelleme: 12 Ağustos 2016 - Ziyahan Albeniz

SOP, browser güvenliğinin merkezinde bir konsept olmasına rağmen, yine de az tanınan ve hakkında pek çok şehir efsanesi bulunan bir konsepttir. İlk görünüşte, basit bir kaynak karşılaştırmasından ibaret görünen SOP, ayrıntılara girildikçe kavranması zor ve yer yer güvenlik açısından yönetimi dikkat isteyen bir konsepttir.(..) SOP'u karanlık bir odada tarif edilen fil imajından kurtarmak için SOP'un çizdiği ve aslında çok net olan kuralları hatırlayalım. Devamı

DOM Tabanlı Cross Site Scripting (XSS) Zafiyeti

DOM Tabanlı Cross Site Scripting (XSS) Zafiyeti

Kategori: Web Güvenliği - Güncelleme: 09 Ağustos 2016 - Emre Iyidogan

Bu yazımızda, Reflected ve Stored XSS kadar yoğun işlenmeyen ama zafiyetin doğuracağı tehlikeler açısından pek bir farkı bulunmayan, Google ve Yahoo gibi popüler ve bilinen firmaların web sitelerinde de tespit edilen DOM XSS zafiyetini inceleyeceğiz. Basit bir örnek üzerinden açıklamaya çalıştığımız DOM XSS zafiyeti için çözüm önerlerini de konuşacağız. Devamı

Haftanın Hackleri: Tarayıcı Bazlı Zamanlama Saldırıları, Pil Durumundan Kaynaklanan Gizlilik Riski

Haftanın Hackleri: Tarayıcı Bazlı Zamanlama Saldırıları, Pil Durumundan Kaynaklanan Gizlilik Riski

Kategori: Web Güvenliği - Güncelleme: 08 Ağustos 2016 - Alperen Yilmaz

Geçtiğimiz hafta HTTPOXY, ReDos, CSP Bypass, Dangling Markup ile Token Çalma konularına değinmiştik. “Haftanın Hackleri” başlığı ile yayınladığımız yazılarda bu hafta tarayıcı bazlı zamanlama saldırılarına ve pil durumundan kaynaklanan gizlilik riski isimli ilginç bir konuya değindik. Yazımızı sosyal medyada #haftaninhackleri etiketi ile paylaşarak bizlere destek olabilirsiniz. Bu hafta web güvenliğinde dikkatimizi çeken konular: Devamı

Haftanın Hackleri : HTTPOXY, ReDos, CSP Bypass, Dangling Markup ile Token Çalma

Haftanın Hackleri : HTTPOXY, ReDos, CSP Bypass, Dangling Markup ile Token Çalma

Kategori: Web Güvenliği - Güncelleme: 01 Ağustos 2016 - Alperen Yilmaz

Bildiğiniz gibi geçen hafta Netsparker Türkiye Blog sayfasını açarak yeni bir serüvene başladık. Türkiye’deki topluluğa katkı sağlamak amacıyla açtığımız blog sayfamızda sadece teknik anlatımlara değil, o hafta web güvenliğinde ilgimizi çeken konularıda paylaşmayı planlıyoruz. “Haftanın Hackleri” başlığı ile yayınlayacağımız bu yazıları sosyal medyada #haftaninhackleri etiketi ile paylaşarak bizlere destek olabilirsiniz. Ve karşınızda web güvenliğinde bu hafta dikkatimizi çeken konular : Devamı