Category Archives: Web Security
WebGüvenliğiTopluluğu E-Dergi Aralık Sayısı
OWASP-TR tarafından iki ayda bir çıkarılan E-dergi’nin üçüncü sayısı yine dopdulu bir içerkle karşımızda… http://dergi.webguvenligi.org/ adresinden okuyabilirsiniz. Dergiden konu başlıkları; Web Güvenlik Tarayıcılarının Evrimi WGT Capture the Flag Güven Veren Kod Yazmak Damn Vulnerable Web App Web Sunuculara Yönelik DOS … Continue reading
Sisteminizde güvenlik açığı buldum, bu da kanıtım!
Soru şu: Sisteminizde güvenlik açığı bulan ve bunu size iletenlere cevabınız ne/nasıl olurdu? Daha önce bu konuyu hararetli bir şekilde NetSec’de tartışmıştık ve genel itibariyle bulanın niyetine bakılmaksızın yaptığı işin kötü olduğunu bildirir gerekirse adli mercilere başvururum gibi bir sonuç … Continue reading
Web sunuculara latency olcumu
Zaman zaman web sunucularımıza performans testleri yaparak kapasitlerini ölçüyoruz. Performans testleri esnasında web sunucuların yük durumu, hizmet kalitesi ve dışardan bağlanan kullanıcılara yaşattığı latency değerlerini ölçmek gerekiyor. Latency harici diğer değerler sistem üzerinden snmp vs ile alinabiliyor, latency ölçümü için … Continue reading
Microsoft IIS6 WebDav Remote Auth Bypass Zaafiyeti
Hafta sonu IIS’daki authentication kullanımını bypass edebilecek bir açıklık yayınlandı. Detaylarını merak etmediğim için araştırmadım fakat maillerden okuduğum kadarıyla Webdav özelliği aktif edilmiş IIS 5 ve üzerini etkiliyor. IIS çalıştıranlar için incelenmesi gereken bir açıklık olabilir. Kimler etkileniyor: Webdav aktif … Continue reading
Web Uygulaması Güvenliği Eğitimleri by Ferruh
İşin mutfağından birilerinin eğitim vermesi çok önemlidir. Ferruh da bu konuda herhalde mutfağın baş aktörlerinden biridir. Teorik kurgularin, eğitim notlarinin otesine geçip gerçek dünya örnekleri ile çalışmak için bu eğitim kaçırılmayacak bir fırsat. Konuya ilgi duyan arkadaşların şimdiden yerlerini ayırtmalarını … Continue reading
Yasam belirtileri…
Blogum uzun zaman once gunluk kivamindan cikip haftaliga gecis yapmisti, simdilerde haftaligi da asti artik aylik yayina gecmis gorunuyor… Ama bu seferki gecis tembellik degil tam bir kamikazenin sonucu. Insanin onemli kararlar verirken soyle deniz kenari ya da Bolu’ya felan … Continue reading
Web app tarayicilarinin kisitlamalarini asma
Piyasada bulunan ticari web guvenlik tarayicilarinda hosuma gitmeyen bir kisitlama vardir. Demo olarak aldiginiz(sonrasi icin de bazilari benzer lisanslama modeli kullaniyor)programi sadece belli ip adreslerine/domainlere karsi kullanabiliyorsunuz. Gercek ortamlarda deneme imkaniniz olmuyor. Bunu atlatmak icin daha onceleri Apache reverse proxy … Continue reading
HP security labs’dan SQLinjection crawler araci -Scrawlr
Daha once burada bahsettigim mass sql injection saldirilarini kendi sisteminizde test edebilmeniz icin HP Web Security Research Group ve MSRC(Microsoft’s Security Vulnerability Research & Defense) ucretsiz bir arac cikarmislar. Araci https://download.spidynamics.com/products/scrawlr/ adresinden indirebilirsiniz. Detayli bilgi icin: http://www.communities.hp.com/securitysoftware/blogs/spilabs/archive/2008/06/23/finding-sql-injection-with-scrawlr.aspx
WordPress’a guvenlik dopingi
WordPress, benim guvenlik cekincelerim yuzunden uzun zaman kullanmamakta israr ettigim fakat aradigim ozellikleri bulabildigim tek blog yazilimi olmasi sonucu bazi riskleri kabul ederek kullanmaya basladigim bir yazilim. Kabul ettigim riskleri en aza indirme amacli olarak WP’nin cogu bilesenini aktif olarak … Continue reading
