Netsparker Web Güvenliği Blog'u

HTTP İşleyişi ve Güvenliği Açısından Cookie ve Session Yönetimi

HTTP İşleyişi ve Güvenliği Açısından Cookie ve Session Yönetimi

Kategori: Web Güvenliği - Güncelleme: 20 Temmuz 2016 - Ziyahan Albeniz

İlk başlarda sadece statik sayfaları sunmak için kullanılan HTTP protokolü (yapısının basitliği buradan gelmekte.), çok geçmeden üzerindeki durağanlığı attı ve ziyaretçilerle etkileşime geçecek yollar tasarlandı. İnteraktif bir iletişim için en önemli gereksinim olan, bir ziyaretçi isteğini, diğer tüm ziyaretçi isteklerinden ayrı kılacak tekil bir değer idi. İşte web'in ilk günlerinde, 1994, bir eticaret uygulaması tasarlarken bu ihtiyacı hisseden Lou Montulli adındaki Netscape çalışanı, web'in ilk alışveriş sepeti uygulaması için, Unix sistemlerde "magic cookie" olarak kullanılan bu konsepti, webe uyarlamaya karar verdi. Netscape Navigator tarafından ilk sürümünden itibaren desteklenen Cookie'ler, zamanla tüm browserlar tarafından desteklenmeye başlandı. Devamı

LFI, RFI Güvenlik Zafiyetleri Bağlamında PHP Stream Wrapper'ları

LFI, RFI Güvenlik Zafiyetleri Bağlamında PHP Stream Wrapper'ları

Kategori: Web Güvenliği - Güncelleme: 20 Temmuz 2016 - Ziyahan Albeniz

LFI, RFI bağlamında filtrelerin nasıl by pass edilebileceğine ve özellikle de bu amaçla PHP Wrapper’ların kullanılmasına yazı boyunca değindik. Özet olarak, stream işlemleri için farklı fonksiyonlar kullanmak yerine, farklı türdeki stream operasyonları için ortak fonksiyonların kullanılmasını sağlayan wrapper’lar, bazı güvenlik filtrelerini by-pass etmek için kullanılabilir Devamı

SRI - Subresource Integrity

SRI - Subresource Integrity

Kategori: Web Güvenliği - Güncelleme: 20 Temmuz 2016 - Ziyahan Albeniz

"HTTPS ile bir nebze olsun kendimizi güvende hissedebiliriz. Ama HTTPS teknolojisi yalnızca aktarımdaki güvenliği temin ediyor. Yani X bir hosttan aldığımız dosyalar eğer güvenli protokol ile aktarılıyorsa, bize ulaşana kadar bütünlüğü ve gizliliği korunmuş oluyor. Peki ya bu kaynakları aldığımız sunucular bir saldırıya uğramış ve yığınla web sitesine servis edilen script ve style dosyaları değiştirilmiş ise?" Devamı