WordPress’a guvenlik dopingi
Thursday, May 8th, 2008WordPress, benim guvenlik cekincelerim yuzunden uzun zaman kullanmamakta israr ettigim fakat aradigim ozellikleri bulabildigim tek blog yazilimi olmasi sonucu bazi riskleri kabul ederek kullanmaya basladigim bir yazilim.
Kabul ettigim riskleri en aza indirme amacli olarak WP’nin cogu bilesenini aktif olarak kullanmiyorum, bunun yaninda olabildigince guncellemeleri takip etmeye calisiyordum. Ama WP’nin sıklıkla cıkan guvenlik acikliklari bir zaman [...]
Son gunlerin seri SQL Injection saldirilarina dair
Wednesday, April 30th, 2008Son iki uc haftadir aralarinda hem yurt ici hem de yurtdisi oldukca ciddi sitelerin maruz kaldigi bir SQL Injection saldirisi var(google’dan aratildiginda hala cogu sayfada bu acigin devam ettigi goruluyor). Fakat bu seferki biraz farkli ve hatirladigim kadari ile ilk defa bu kadar yaygın otomatize(Worm) bir sql injection vakasi ile karsi karsiyayiz.
Worm kisaca [...]
Youtube yasagi ve DNS yonlendirme saldirilari
Thursday, January 24th, 2008Dun arkadaslarla Youtube yasagini konusurken aklima bu yasagin kotu niyetli insanlar tarafindan nasil degerlendirilebilecegi konusunda cesitli ilhamlar geldi. Malumunuz Youtube yasagi ile birlikte millet DNS server adresini degistirerek yasagi delmeye calisiyordu(du diyorum zira son yasakta bu numara da yemiyor, youtube adreslerine giden paketler yonlendirici seviyesinde yasaklandi). Benim gozlemim ve arastirmalarim tavsiyelerin hep bu minvalde oldugu [...]
Firefox icin iki yeni eklenti:SQL Inject-Me, XSS-Me
Sunday, December 23rd, 2007Hazir tarama araclarini kullanmaya usenen ve test etmek istedigi sistemleri “beyin gucu” ile yormak isteyenler icin kolaylik saglayan iki Firefox eklentisi ile karsilastim. Beyin gucunden kastim her acikligi test etmek icin farkli farkli araclar kullanmama, ilgili acikligi test etmek icin bir merkezi ve tumlesik arac ile yetinme.
Web Güvenliği Günleri - I
Wednesday, June 20th, 2007OWASP-TR’nin duyurusu..
OWASP-Türkiye ve Web Güvenliği Topluluğu olarak devamını getirmeyi düşündüğümüz etkinliklerimizin birincisinin detaylarını sizinle paylaşmaktan mutluluk duyarız.
Web Güvenliği Günleri‘nde yoğun ve teknik şekilde web uygulaması atakları, savunma, güvenli kodlama ve benzer bir çok konulara değinilecektir. Bu birinci bir günlük etkinliğimizde daha çok orta ve ileri seviye web saldırına değineceğiz.
Web Saldırı Olayları Veritabanı - TR
Monday, June 4th, 2007Komsu e-posta listesine(owasp Turkiye) gelen bir duyuru..
WSOV-TR, WASC topluluğunun WHID projesinden esinlenerek oluşturduğumuz sadece ülkemizdeki web güvenlik olayları ile ilgili elektronik basında çıkan haberleri ve gerçekleştirilen saldırı türlerini bulabileceğiniz bir liste projesi.
Olaylarda kullanılan saldırılar sınıflandırılırken Tehdit Sınıflandırması kullanılmıştır. Paylaşmak istediğiniz haberleri veya varolan haberlerde yapılabilecek düzeltmeleri urgunb~hotmail.com (Bedirhan Urgun) ile iletişime geçerek bu sayfada yayınlatabilirsiniz.
Uyarı: [...]
WordPress Kritik Guvenlik Acigi
Thursday, May 24th, 2007WordPress 2.1.3 kullanicilarinin dikkatine…
Bir iki gundur bloguma gelen web isteklerindeki anormallikleri incelerken iki gun oncesine ait bir WP aciginin kullanildigini kesfettim.
wp-admin/admin-ajax.php ve buna bagli olan scriptlerdeki eksik kontroller yuzunden blogunuzun /wp-admin kismina erisebilen kotu niyetli birisi sistemdeki wp kullanicilarina ait plain md5 ciktilarini alabilir(kendi sistemimde test ettim) ve otesinde bunu kullanarak sisteme admin [...]
Web Application Security Statistics Project
Wednesday, April 11th, 2007Web Application Security Consortium (WASC)’ci arkadaslar guzel bir calisma yapmis . Sonuclari burada.
Web Sunucularda Asayis Berkemal-Webekci
Tuesday, April 10th, 2007OWASP-WeBekci Projesi ModSecurity 2.x için hazırlamış olduğum web tabanlı tool OWASP adı altında yayına girmiştir. 1.0 ile birlikte konfigurasyonun büyük bir kısmına destek sağlanmaktadır. Aynı zamanda tek değişken kullanan kuralları yazabilirsiniz.
Log analizini ilk sürümde çok basit tuttum(ben degil yazari:)). Sadece system, apache ve guardian log basit bir şekilde ekrana veriliyor. Ama bir dahaki sürümlerde bu [...]