Sertifikalı/Lisanslı Pentest Uzmanı Eğitimi 13 Haziran 2011(Ankara)
Eğitim tanımı: Pentest (sızma testleri) günümüz kurumsal firmalarının güvenlik politikalarının en temel bileşeni haline gelmiştir. PCI, SOX, Iso 27001, HIPAA gibi standart ve yönetmelikler pentest çalışmalarını zorunlu tutmaktadır.
BGA Pentest eğitimi diğer pentest eğitimlerinden farklı olarak %100 uygulamalı gerçekleştirilmektedir. Eğitimdeki her bir konu gerçek hayat senaryosu haline getirilerek katılımcılara sunulmaktadır. Senaryolar internet üzerindeki gerçek sistemlerde işlenmektedir. Read more »
Bilgi Güvenliği AKADEMİSİ eğitimlerinde kullanılan Backtrack Linux dağıtımının Oracle Virtualbox sanallaştırma yazılımı üzerinde kurulumu ve temel ayarlarını anlatan belge çalışma deposuna eklenmiştir. İlgilenenler http://www.bga.com.tr/calismalar/BacktrackVirtualBoxKurulumu/ adresinden okuyabilir.
HTML Form tabanlı kimlik doğrulama (form authentication) günümüzde sık tercih edilen kimlik doğrulama yöntemlerinden biridir. Internet üzerinden elde edilecek araçlarla ağ tabanlı servislere yönelik parola tahmin saldırıları kolaylıkla gerçekleştirilebilir fakat form tabanlı kimlik denetiminde parametreler standart olmadığı için diğer kimlik denetimi çeşitlerine oranla saldırı gerçekleştirmek daha zahmetli ve zordur.
Read more »
Parola, günümüz güvenlik dünyasının en zayıf halkalarından biridir. Güvenliğine ciddi önem verilmiş sistemler birden fazla yetkilendirme sistemi kullanarak bu zaafiyeti bir oranda kapatmaya çalışırlar.
Fakat yeteri önem verilmemiş sistemlerde basit parolaların kullanımını günümüzde sıkça görüyoruz. Bu kısa yazı basic authentication kullanılarak meraklı gözlerden uzak tutulmaya çalışılan sayfalara yönelik bruteforce denemelerinin nasıl gerçekleştirileceğini göstermektedir.
Read more »
Parola, günümüz güvenlik dünyasının en zayıf halkalarından biridir. Güvenliğine ciddi önem verilmiş sistemler birden fazla yetkilendirme sistemi kullanarak bu zaafiyeti bir oranda kapatmaya çalışırlar.
Fakat yeteri önem verilmemiş sistemlerde basit parolaların kullanımını günümüzde sıkça görüyoruz. Bu kısa yazı basic authentication kullanılarak meraklı gözlerden uzak tutulmaya çalışılan sayfalara yönelik bruteforce denemelerinin nasıl gerçekleştirileceğini göstermektedir.
Read more »
Beyaz şapkalı hacker(Certified Ethical Hacker) yetiştirme amaçlı bir eğitim olup diğer CEH tarzı eğitimlerden en önemli farkı içeriğinin Türkçe ve uygulamalı bir eğitim olmasıdır. Eğitimde işlenilen konular Ec-Council CEH V6 ile uyumludur.
| Eğitim Tarihleri |
14-18 Mart 2011 tarihleri arası(09:00-17:00 saatleri arası) |
| Eğitim Adresi |
İller Sok. No:4 Mebusevleri / Tandoğan / ANKARA (Gençlik Cad. Anıtkabir yanı) |
| Kayıt Olun |
Lütfen bilgi@bga.com.tr adresine e-posta gönderiniz. |
| Eğitim Ücreti |
2250 TL+KDV // 30 Ocak 2011′e kadar yapılan kesin kayıtlarda %15 indirim imkanı bulunmaktadır |
| Eğitmen |
Huzeyfe ÖNAL |
| Eğitim Broşürü |
CEH |
| Capture The Flag |
Var Read more » |
Cisco ağ cihazlarında iki tip parola vardır. Bunlar Type 7 ve type 5 parola tipleridir.
enable secret 5 $1$0a4m$jsbSzU.vytsZFISdJtbQI4
enable password 7 062E0A1B76411F2D5C
Type 7 kolaca “çözülebilir” bir algoritma kullanmaktadır. Internet üzerinden edinilecek çeşitli araçlarla type7 parolaları rahatlıkla çözülebilir. (http://www.ibeast.com/content/tools/CiscoPassword/index.asp) Read more »
Güvenlik testlerinin önemli konularından biri de bruteforce parola saldırılardır. Özellikle hedef sistemlerde herhangi bir açık bulunamıyorsa ve dışarıya açık login servisi sunuluyorsa bruteforce saldırıları kaçınılmaz olur.
Network üzerinden yapılan bruteforce denemelerinde en önemli nokta yazılımın paralel denemeler yapabilmesi ve modüler yapıda(çokça sayıda network servisini destekleme) olmasıdır.
Network üzerinden yapılacak brute force denemeleri içi çeşitli yazılımlar var. Bunlardan en günceli ve özellik olarak en zengini Medusa’dır. Medusa ve diğer bruteforce yazılımlarının güncel karşılaştırma tablosu için http://foofus.net/jmk/medusa/medusa-compare.html adresi incelenmelidir. Read more »
Bugün ilginç bir görüşme yaptım. Bir uzantısı da Türkiye’de bulunan Avrupanın en büyük networküne sahip bir firmadan firmanın tüm ağ altyapısını test edecek anlaşma teklifi geldi. Önce klasik pentest talebi olarak algılayıp çok sıcak bakmasam da işin tamamen network üzerine olduğunu anlayınca heyecanla varım dedim!.
Mülakatta gelen ilk soru klasikti hangi araçları kullanacaksınız? Burada karşı tarafı etkileme amaçlı bir dünya araç ismi sayabilirdim fakat network testlerinde Hping, Nmap ve Netcat üçlüsü(+tcpdump) işimi fazlaca gördüğü için bunları saydım.
hping sihirli sözcük olmalı ki sorular onun üzerinden gelmeye devam etti. Neden hping, hping ile neler yapabilirsiniz vs…
Ben de her zamanki klasik cevabımı paylaştım: “Hping benim için aklımdakileri gerçekleştirmeme kolaylık sağlayan bir araç, iyi bir araç. Bunun ötesinde birşey değil…” Read more »
