Web Application Pentest Eğitimi 28 Mayıs 2011(İstanbul)

Eğitim tanımı: Günümüz bilişim güvenliğinin en zayıf halkalarından biri web uygulamalarının güvenliğidir. Eğitim, güvenlik birim çalışanlarına sorumluluklarında olan web uygulamalarının güvenlik testlerinin hangi adımlardan oluştuğunu ve nasıl yapıldığını pratik bir şekilde göstermeyi amaçlamaktadır. Read more »

Web uygulama güvenlik testleri eğitimi 13 Mart 2010

Mart 2010′da açılacak Web uygulama güvenlik testleri eğitimi duyurusu ve eğitim içeriğine http://www.guvenlikegitimleri.com/new/web-uygulama-guvenlik-testleri-egitimi-13-mart-2010 adresinden erişebilirsiniz.  Eğitmenler, eğitimin içeriği ve ders notları konuyla ilgili olmayanların bile dikkatini çekecek kadar heyecan verici. Şimdiden yerinizi ayırtmanızda fayda var.

Eğitimlerde uygulamalar Netsparker kullanılarak gerçekleştirilecektir.

Erken kayıtlarda %20 indirim uygulanıyor

WordPress’a guvenlik dopingi

WordPress, benim guvenlik cekincelerim yuzunden uzun zaman kullanmamakta israr ettigim fakat aradigim ozellikleri bulabildigim tek blog yazilimi olmasi sonucu bazi riskleri kabul ederek kullanmaya basladigim bir yazilim.

Kabul ettigim riskleri en aza indirme amacli olarak WP’nin cogu bilesenini aktif olarak kullanmiyorum, bunun yaninda olabildigince guncellemeleri takip etmeye calisiyordum. Ama WP’nin sıklıkla cıkan guvenlik acikliklari bir zaman sonrazorlamaya baslayinca sunucu tarafinda cesitli onlemler alma yoluna gittim. Gecenlerde bir arastirmam sirasinda WP’nin guvenligi ile ilgili cikmis eklentilere rastladim. Aralarindan ikisi tam da istedigim isi yapiyordu.

1. WP guncellemelerini takip edip beni uyaracak ve tek tiklama ile tum sistemi guncelleyecek bir eklenti
2. WP uzerine kurdugum, ekledigim ek kodlari, bilesenleri guvenlik taramasindan gecirerek raporlama yapacak bir bilesen.

WordPress otomatik guncelleme eklentisi

Asagidaki 8 adimi uygulayarak otomatize guncelleme yapabilen bir WP’e sahip olabilirsiniz. Boylece guncelleme yaparken yedekleme vs gibi islemlerle ugrasmazsiniz.

1. Backs up the files and makes available a link to download it.
2. Backs up the database and makes available a link to download it.
3. Downloads the latest files from http://wordpress.org/latest.zip and unzips it.
4. Puts the site in maintenance mode.
5. De-activates all active plugins and remembers it.
6. Upgrades wordpress files.
7. Gives you a link that will open in a new window to upgrade installation.
8. Re-activates the plugins.

Ilgili eklentiyi indirmek icin: http://wordpress.org/extend/plugins/wordpress-automatic-upgrade/

WordPress Guvenlik Taramasi Eklentisi

• -passwords
• -file permissions
• -database security
• -version hiding
• -WordPress admin protection/security

-removes WP Generator META tag from core code

Ileriki surumlerde eklenmesi dusunulen maddeler:

*one-click change file/folder permissions
*test for XSS vulnerabilities
*intrusion detection/prevention
*lock out/log incorrect login attempts
*user enumeration protection
*.htaccess verification
*doc links

Ilgili eklentiyi indirmek icin: http://wordpress.org/extend/plugins/wp-security-scan/

Ek kaynaklar:

WordPress ile ilgili cikmis tum guvenlik acikliklari ve detaylari hakkinda bilgi almak icin:

http://blogsecurity.net/wordpress/blogwatch/blogwatch/

WordPress’i daha guvenilir hale getirmek icin yazilmis guncel bir dokuman

http://blogsecurity.net/projects/WordPress_Whitepaper_rev12.pdf