Netsparker Web Güvenliği Blog'u

Same Origin Policy

Same Origin Policy

Kategori: Web Güvenliği - Güncelleme: 12 Ağustos 2016 - Ziyahan Albeniz

SOP, browser güvenliğinin merkezinde bir konsept olmasına rağmen, yine de az tanınan ve hakkında pek çok şehir efsanesi bulunan bir konsepttir. İlk görünüşte, basit bir kaynak karşılaştırmasından ibaret görünen SOP, ayrıntılara girildikçe kavranması zor ve yer yer güvenlik açısından yönetimi dikkat isteyen bir konsepttir.(..) SOP'u karanlık bir odada tarif edilen fil imajından kurtarmak için SOP'un çizdiği ve aslında çok net olan kuralları hatırlayalım. Devamı

DOM Tabanlı Cross Site Scripting (XSS) Zafiyeti

DOM Tabanlı Cross Site Scripting (XSS) Zafiyeti

Kategori: Web Güvenliği - Güncelleme: 09 Ağustos 2016 - Emre Iyidogan

Bu yazımızda, Reflected ve Stored XSS kadar yoğun işlenmeyen ama zafiyetin doğuracağı tehlikeler açısından pek bir farkı bulunmayan, Google ve Yahoo gibi popüler ve bilinen firmaların web sitelerinde de tespit edilen DOM XSS zafiyetini inceleyeceğiz. Basit bir örnek üzerinden açıklamaya çalıştığımız DOM XSS zafiyeti için çözüm önerlerini de konuşacağız. Devamı

Haftanın Hackleri: Tarayıcı Bazlı Zamanlama Saldırıları, Pil Durumundan Kaynaklanan Gizlilik Riski

Haftanın Hackleri: Tarayıcı Bazlı Zamanlama Saldırıları, Pil Durumundan Kaynaklanan Gizlilik Riski

Kategori: Web Güvenliği - Güncelleme: 08 Ağustos 2016 - Alperen Yilmaz

Geçtiğimiz hafta HTTPOXY, ReDos, CSP Bypass, Dangling Markup ile Token Çalma konularına değinmiştik. “Haftanın Hackleri” başlığı ile yayınladığımız yazılarda bu hafta tarayıcı bazlı zamanlama saldırılarına ve pil durumundan kaynaklanan gizlilik riski isimli ilginç bir konuya değindik. Yazımızı sosyal medyada #haftaninhackleri etiketi ile paylaşarak bizlere destek olabilirsiniz. Bu hafta web güvenliğinde dikkatimizi çeken konular: Devamı

Haftanın Hackleri : HTTPOXY, ReDos, CSP Bypass, Dangling Markup ile Token Çalma

Haftanın Hackleri : HTTPOXY, ReDos, CSP Bypass, Dangling Markup ile Token Çalma

Kategori: Web Güvenliği - Güncelleme: 01 Ağustos 2016 - Alperen Yilmaz

Bildiğiniz gibi geçen hafta Netsparker Türkiye Blog sayfasını açarak yeni bir serüvene başladık. Türkiye’deki topluluğa katkı sağlamak amacıyla açtığımız blog sayfamızda sadece teknik anlatımlara değil, o hafta web güvenliğinde ilgimizi çeken konularıda paylaşmayı planlıyoruz. “Haftanın Hackleri” başlığı ile yayınlayacağımız bu yazıları sosyal medyada #haftaninhackleri etiketi ile paylaşarak bizlere destek olabilirsiniz. Ve karşınızda web güvenliğinde bu hafta dikkatimizi çeken konular : Devamı

HTTP İşleyişi ve Güvenliği Açısından Cookie ve Session Yönetimi

HTTP İşleyişi ve Güvenliği Açısından Cookie ve Session Yönetimi

Kategori: Web Güvenliği - Güncelleme: 20 Temmuz 2016 - Ziyahan Albeniz

İlk başlarda sadece statik sayfaları sunmak için kullanılan HTTP protokolü (yapısının basitliği buradan gelmekte.), çok geçmeden üzerindeki durağanlığı attı ve ziyaretçilerle etkileşime geçecek yollar tasarlandı. İnteraktif bir iletişim için en önemli gereksinim olan, bir ziyaretçi isteğini, diğer tüm ziyaretçi isteklerinden ayrı kılacak tekil bir değer idi. İşte web'in ilk günlerinde, 1994, bir eticaret uygulaması tasarlarken bu ihtiyacı hisseden Lou Montulli adındaki Netscape çalışanı, web'in ilk alışveriş sepeti uygulaması için, Unix sistemlerde "magic cookie" olarak kullanılan bu konsepti, webe uyarlamaya karar verdi. Netscape Navigator tarafından ilk sürümünden itibaren desteklenen Cookie'ler, zamanla tüm browserlar tarafından desteklenmeye başlandı. Devamı

LFI, RFI Güvenlik Zafiyetleri Bağlamında PHP Stream Wrapper'ları

LFI, RFI Güvenlik Zafiyetleri Bağlamında PHP Stream Wrapper'ları

Kategori: Web Güvenliği - Güncelleme: 20 Temmuz 2016 - Ziyahan Albeniz

LFI, RFI bağlamında filtrelerin nasıl by pass edilebileceğine ve özellikle de bu amaçla PHP Wrapper’ların kullanılmasına yazı boyunca değindik. Özet olarak, stream işlemleri için farklı fonksiyonlar kullanmak yerine, farklı türdeki stream operasyonları için ortak fonksiyonların kullanılmasını sağlayan wrapper’lar, bazı güvenlik filtrelerini by-pass etmek için kullanılabilir Devamı

SRI - Subresource Integrity

SRI - Subresource Integrity

Kategori: Web Güvenliği - Güncelleme: 20 Temmuz 2016 - Ziyahan Albeniz

"HTTPS ile bir nebze olsun kendimizi güvende hissedebiliriz. Ama HTTPS teknolojisi yalnızca aktarımdaki güvenliği temin ediyor. Yani X bir hosttan aldığımız dosyalar eğer güvenli protokol ile aktarılıyorsa, bize ulaşana kadar bütünlüğü ve gizliliği korunmuş oluyor. Peki ya bu kaynakları aldığımız sunucular bir saldırıya uğramış ve yığınla web sitesine servis edilen script ve style dosyaları değiştirilmiş ise?" Devamı