Web Güvenlik Topluluğu 9 Mart Kadıköy Buluşması
Günlük Okunma : 8 | 09.03.2008
Web Güvenlik Topluluğu 9 Mart' ta Kadiköy' de buluşuyor. Ben malum nedenlerden dolayı orada olamayacağım, gidecek arkadaşlara iyi eğlenceler. Eğer web uygulaması güvenliği ile ilgileniyor ve OWASP Turkiye e-mail listesine üye değilseniz hemen suradan olabilirsiniz....
Web Güvenlik Topluluğu 9 Mart' ta Kadiköy' de buluşuyor. Ben malum nedenlerden dolayı orada olamayacağım, gidecek arkadaşlara iyi eğlenceler. Eğer web uygulaması güvenliği ile ilgileniyor ve OWASP Turkiye e-mail listesine üye değilseniz hemen suradan olabilirsiniz....
Hala SSL' i Anlayamadılar
Günlük Okunma : 7 | 01.02.2008
Çok ilginç bir şekilde eşşek kadar firmaların ve kurumların hatta bazen güvenlik uzmanlarının hala SSL i anlayamamış olduğunu görüyorum. Bugün ZDNet blog' unda SSL üzerinden girilen gmail' in XHR isteklerini HTTP üzerinden yaptığını öğrendim. Gmail' ın varsayılan olarak SSL olmaması zaten saçma bir durum ama SSL üzerinden kendini korumaya çalışan insanların bile koruyamıyor olması içler acısı! Benzer bir olayı godaddy' ye bizzat bildirdim ve kendileri hala HTTP üzerinden login formunun güvenli olduğunu iddia ettiler b......
Çok ilginç bir şekilde eşşek kadar firmaların ve kurumların hatta bazen güvenlik uzmanlarının hala SSL i anlayamamış olduğunu görüyorum. Bugün ZDNet blog' unda SSL üzerinden girilen gmail' in XHR isteklerini HTTP üzerinden yaptığını öğrendim. Gmail' ın varsayılan olarak SSL olmaması zaten saçma bir durum ama SSL üzerinden kendini korumaya çalışan insanların bile koruyamıyor olması içler acısı! Benzer bir olayı godaddy' ye bizzat bildirdim ve kendileri hala HTTP üzerinden login formunun güvenli olduğunu iddia ettiler b......
Güvenli SSL kullanımı, Soru ve Cevapları
Günlük Okunma : 14 | 22.11.2007
Basitçe bu yazıda genel olarak geliştiricilerin ve bireylerin SSL hakkında yanlış bildikleri veya bilmedikleri, sık sordukları soru - cevapları paylaşmaya çalıştım. Özellikle web yazılımlarında yanlış implemantasyonlar görüyorum. Herşeyden Önce, SSL nedir? Özetle ve hepimizin anlayacağı şekilde SSL gidip - gelen datanın şifrelenmesini sağlar. Neden ki? Sertifika ne?, Asimetrik şifreleme ne? gibi sorular soruyorsanız PGP' ye Giriş makalesini okumanızı tavsiye ederim. O makalede bu konulara değinmeye çalışmıştım. Şimdi SSL ile ilgili Sık Sorulan Sorula......
Basitçe bu yazıda genel olarak geliştiricilerin ve bireylerin SSL hakkında yanlış bildikleri veya bilmedikleri, sık sordukları soru - cevapları paylaşmaya çalıştım. Özellikle web yazılımlarında yanlış implemantasyonlar görüyorum. Herşeyden Önce, SSL nedir? Özetle ve hepimizin anlayacağı şekilde SSL gidip - gelen datanın şifrelenmesini sağlar. Neden ki? Sertifika ne?, Asimetrik şifreleme ne? gibi sorular soruyorsanız PGP' ye Giriş makalesini okumanızı tavsiye ederim. O makalede bu konulara değinmeye çalışmıştım. Şimdi SSL ile ilgili Sık Sorulan Sorula......
Web Güvenliği Günleri - İzmir
Günlük Okunma : 3 | 07.11.2007
WGT bu sefer 26 Kasım 2007 tarihinde İzmir' de. Maalesef ben orada olamayacağım ama sizin imkanınız varsa kesinlikle katılın. Hemen kaydınızı yaptırın....
WGT bu sefer 26 Kasım 2007 tarihinde İzmir' de. Maalesef ben orada olamayacağım ama sizin imkanınız varsa kesinlikle katılın. Hemen kaydınızı yaptırın....
OWASP 6. AppSec Konferansı - İtalya 2007' deyim
Günlük Okunma : 5 | 20.04.2007
OWASP' ın 6. konferansı bu sene İtalya' da. Konferansın ilk günü "XSS Tunnelling" üzerine konuşacağım. Web uygulamaları konusunda son araştırma-geliştirme konularından haberdar olmak isteyenler için harika bir konferans. Konferans 16-17 Mayıs tarihlerinde, İtalya - Milan' da. Konferans Programı :OWASP AppSec Conference - Italy 2007/Agenda - OWASP Konferans Katılım ve Genel Bilgiler :6th OWASP AppSec Conference - Italy 2007 no, io non parlo l'italiano... ...
OWASP' ın 6. konferansı bu sene İtalya' da. Konferansın ilk günü "XSS Tunnelling" üzerine konuşacağım. Web uygulamaları konusunda son araştırma-geliştirme konularından haberdar olmak isteyenler için harika bir konferans. Konferans 16-17 Mayıs tarihlerinde, İtalya - Milan' da. Konferans Programı :OWASP AppSec Conference - Italy 2007/Agenda - OWASP Konferans Katılım ve Genel Bilgiler :6th OWASP AppSec Conference - Italy 2007 no, io non parlo l'italiano... ...
SQL Injection Cheat Sheet Yenilendi
Günlük Okunma : 5 | 13.04.2007
SQL Injection Cheat Sheet' in 1.4 versiyonunu yayınladım. Changelog aşağıdaki gibi : 21/03/2007 - v1.2 BENCHMARK() sample changed to avoid people DoS their MySQL Servers More Formatting and Typo Descriptions for some MySQL Function 30/03/2007 v1.3 Niko pointed out PotsgreSQL and PHP supports stacked queries Bypassing second MD5 check login screens description and attack added Mark came with extracting NTLM session idea, added Detailed Blind SQL Exploitation added 13/04/2007 v1.4 - Release SQL Server 2005 enabling xp_cmdshell added (trick learned from mark) Japanese version......
SQL Injection Cheat Sheet' in 1.4 versiyonunu yayınladım. Changelog aşağıdaki gibi : 21/03/2007 - v1.2 BENCHMARK() sample changed to avoid people DoS their MySQL Servers More Formatting and Typo Descriptions for some MySQL Function 30/03/2007 v1.3 Niko pointed out PotsgreSQL and PHP supports stacked queries Bypassing second MD5 check login screens description and attack added Mark came with extracting NTLM session idea, added Detailed Blind SQL Exploitation added 13/04/2007 v1.4 - Release SQL Server 2005 enabling xp_cmdshell added (trick learned from mark) Japanese version......
Sonunda Inter-Protocol Exploitation
Günlük Okunma : 3 | 12.04.2007
Bir süredir piyasadaydı ancak kimse gerçek bir exploit implemantasyonu görememişti. Inter-Protocol Exploitation makalesinde bir Asterisk server' daki Buffer Overflow' un XSS üzerinden exploit edilmesi gösteriliyor. Aslında XSS olması gerekmiyor saldırganın kontrol ettiği herhangi bir sayfa üzerinden diyebiliriz. Bunun anlamı girdiğiniz bir sitenin network' ünüzün içerisinde bir cihazdaki buffer overflow' u exploit edebilmesi demek! Etkiliyici. Zaten network' ünüzde port scan yapabileceğini biliyorsunuz değil mi?...
Bir süredir piyasadaydı ancak kimse gerçek bir exploit implemantasyonu görememişti. Inter-Protocol Exploitation makalesinde bir Asterisk server' daki Buffer Overflow' un XSS üzerinden exploit edilmesi gösteriliyor. Aslında XSS olması gerekmiyor saldırganın kontrol ettiği herhangi bir sayfa üzerinden diyebiliriz. Bunun anlamı girdiğiniz bir sitenin network' ünüzün içerisinde bir cihazdaki buffer overflow' u exploit edebilmesi demek! Etkiliyici. Zaten network' ünüzde port scan yapabileceğini biliyorsunuz değil mi?...
CSRF, XSS, SQL Injection den Korunma ve Diger Korunma Geyikleri
Günlük Okunma : 5 | 10.04.2007
Son zamanlarda web güvenliği konusunda herkes yeni bir "otomatik" korunma mekanizması çıkartıyor. - CSRF dan korunma- XSS' den korunma- SQL Injection' dan korunma Kriptolojide ilk kurallardan biri tabiri caizse "kıçınızdan bir algoritma çıkarmayın" dır (eğer adınız Bruce Schneier değilse). Yani kendi kendinize bir bir şifreleme algoritması üretip sonra onun güvenli olduğunu düşünmemeniz ya da mevcut bir algoritma üzerinde oynama yapıp onun güvenli olduğunu düşünmemenizdir. Bu güzel bir örnek ve nedenleri çok basit. Mevcut şifrelemelerin hepsi senelerdir test edilmiş ve açığı buluna......
Son zamanlarda web güvenliği konusunda herkes yeni bir "otomatik" korunma mekanizması çıkartıyor. - CSRF dan korunma- XSS' den korunma- SQL Injection' dan korunma Kriptolojide ilk kurallardan biri tabiri caizse "kıçınızdan bir algoritma çıkarmayın" dır (eğer adınız Bruce Schneier değilse). Yani kendi kendinize bir bir şifreleme algoritması üretip sonra onun güvenli olduğunu düşünmemeniz ya da mevcut bir algoritma üzerinde oynama yapıp onun güvenli olduğunu düşünmemenizdir. Bu güzel bir örnek ve nedenleri çok basit. Mevcut şifrelemelerin hepsi senelerdir test edilmiş ve açığı buluna......
Microsoft ve Guvenlik
Günlük Okunma : 5 | 10.04.2007
ASP.NET' in varsayılan XSS korumasını sadece IE de geçme açığını duymuşsunuzdur. Microsoft ASP.NET request filtering can be bypassed allowing XSS and HTML injection attacks adı ile yayınlandı. Ben bu açığı üç ay kadar önce bulmuştum ve Microsoft' a göndermiştik. İlginçtir ki MSRC (Microsoft Security Response Center) bu açığın zaten daha önceden rapor edildiğini söylemedi ve üzerinde çalışıp yama çıkınca geri döneceklerini belirtti. Yaklaşık üç gün önce kadarsa yukarıdaki açık yayınlandı. Burada görüldüğü gibi güvenlik bir oyun ve ikinci gelirseniz o eli kaybediyorsunuz. As......
ASP.NET' in varsayılan XSS korumasını sadece IE de geçme açığını duymuşsunuzdur. Microsoft ASP.NET request filtering can be bypassed allowing XSS and HTML injection attacks adı ile yayınlandı. Ben bu açığı üç ay kadar önce bulmuştum ve Microsoft' a göndermiştik. İlginçtir ki MSRC (Microsoft Security Response Center) bu açığın zaten daha önceden rapor edildiğini söylemedi ve üzerinde çalışıp yama çıkınca geri döneceklerini belirtti. Yaklaşık üç gün önce kadarsa yukarıdaki açık yayınlandı. Burada görüldüğü gibi güvenlik bir oyun ve ikinci gelirseniz o eli kaybediyorsunuz. As......
Black Hat Avrupa 2007 Sunumlari Online
Günlük Okunma : 3 | 08.04.2007
Black Hat 2007 sunumları online olmuş. Make My Day – Just Run a Web Scanner sunumu her ne kadar süper ticari olsa da ana konsept güzel. Kicking Down the Cross Domain Door (One XSS at a Time) ise beklediğimin askine vasat bir içeriğe sahipmiş....
Black Hat 2007 sunumları online olmuş. Make My Day – Just Run a Web Scanner sunumu her ne kadar süper ticari olsa da ana konsept güzel. Kicking Down the Cross Domain Door (One XSS at a Time) ise beklediğimin askine vasat bir içeriğe sahipmiş....
WeBekci ModSecurity icin web tabanli yonetici
Günlük Okunma : 3 | 05.04.2007
WeBekçi - OWASP Proje Sayfası nda göreceğiniz üzere ModSecurity 2.x için yazılmış bir yönetim aracı. Eğer modesecurity kullanıyorsanız şiddetle denemenizi ve feedback vermenizi öneriyorum. Bu arada bu proje OWASP Türkiye altındaki ilk proje olma özelliği de taşıyor!...
WeBekçi - OWASP Proje Sayfası nda göreceğiniz üzere ModSecurity 2.x için yazılmış bir yönetim aracı. Eğer modesecurity kullanıyorsanız şiddetle denemenizi ve feedback vermenizi öneriyorum. Bu arada bu proje OWASP Türkiye altındaki ilk proje olma özelliği de taşıyor!...
Wordpress 2.1.2 XMLRPC SQL Injection Acigi
Günlük Okunma : 4 | 04.04.2007
Daha önceden Güvenlik Açıklarını Bildirme Problemi' nde bahsettiğim Wordpress açığı için dostumuz sid exploiti ve advisory' yi yayınladı. Exploitin çalışabilmesi için yetkisiz de olsa sistemde bir hesabınızın olması gerekiyor. Well done!...
Daha önceden Güvenlik Açıklarını Bildirme Problemi' nde bahsettiğim Wordpress açığı için dostumuz sid exploiti ve advisory' yi yayınladı. Exploitin çalışabilmesi için yetkisiz de olsa sistemde bir hesabınızın olması gerekiyor. Well done!...
Javascript Hijacking
Günlük Okunma : 3 | 03.04.2007
Javascript Hijacking makalesi biraz ilginç. Daha doğrusu güzel ama bu zaten biliniyordu, yeni bir isim verilmiş. Bir çok AJAX framework' ü üzerinde detaylı bilgi yazılmış olması çok güzel, tabii ki test etmek lazım. Hatırlatıcı ve araştırmacı bir makale olmuş diyelim....
Javascript Hijacking makalesi biraz ilginç. Daha doğrusu güzel ama bu zaten biliniyordu, yeni bir isim verilmiş. Bir çok AJAX framework' ü üzerinde detaylı bilgi yazılmış olması çok güzel, tabii ki test etmek lazım. Hatırlatıcı ve araştırmacı bir makale olmuş diyelim....
Apache-Tomcat Gariplikleri ve XSS
Günlük Okunma : 4 | 03.04.2007
Dün bir sistem ile uğraşırken Tomcat/Apache/Windows üçlüsünün bazı tuhaflıklarını farkettim. Bir JSP sayfasında XSS açığı vardı, Firefox ile beş dakika kadar uğraşıp açığı exploit edemedikten sonra kendimi IE7' a verdim. IE7 ile aynı isteği yapınca XSS çalıştı. Sayfanın XSS' e açık olduğunu zaten biliyordum çünkü başka bir açıktan kaynak koduna erişmiştim. Tabii ki IE7 ve Firefox' taki bu farklılığı bekliyordum, zaten o yüzden bunu IE ile de denemek istedim. Detaylara gelince;IE adres kutusunda yazdığınız her karakteri RFC' ye göre URL Encode edip göndermiyor. Firefo......
Dün bir sistem ile uğraşırken Tomcat/Apache/Windows üçlüsünün bazı tuhaflıklarını farkettim. Bir JSP sayfasında XSS açığı vardı, Firefox ile beş dakika kadar uğraşıp açığı exploit edemedikten sonra kendimi IE7' a verdim. IE7 ile aynı isteği yapınca XSS çalıştı. Sayfanın XSS' e açık olduğunu zaten biliyordum çünkü başka bir açıktan kaynak koduna erişmiştim. Tabii ki IE7 ve Firefox' taki bu farklılığı bekliyordum, zaten o yüzden bunu IE ile de denemek istedim. Detaylara gelince;IE adres kutusunda yazdığınız her karakteri RFC' ye göre URL Encode edip göndermiyor. Firefo......
Sosyal Zehirleme
Günlük Okunma : 3 | 01.04.2007
Sosyal aksiyonaların popülerlerinden Digg, del.ici.ous ve Technorati deki XSS ve CSRF açıklarını exploit ederek kendini giren kişinin arkadaşlarına ve favori hikayelerine ekleyen bir sayfa. Bu digg' in ve bir çoğunun başına daha önceden de geldi, ama sanırım bu olay bir kişinin bu sitelerde isteyince rahat şekilde açık bulabileceğine işaret ediyor. Bu arada MySpace teki XSS açıklarının sayısını tutan oldu mu?...
Sosyal aksiyonaların popülerlerinden Digg, del.ici.ous ve Technorati deki XSS ve CSRF açıklarını exploit ederek kendini giren kişinin arkadaşlarına ve favori hikayelerine ekleyen bir sayfa. Bu digg' in ve bir çoğunun başına daha önceden de geldi, ama sanırım bu olay bir kişinin bu sitelerde isteyince rahat şekilde açık bulabileceğine işaret ediyor. Bu arada MySpace teki XSS açıklarının sayısını tutan oldu mu?...
Nasil yanlis filtreleme yaparsiniz?
Günlük Okunma : 3 | 20.03.2007
Bu advisory' de de görülecegi üzere gözü kapalı seri replace size yardım etmeyecek zarar verecektir. İkincisi ise kullandığınız sub-sistemi (buradaki örnekte MySQL) tanımak ve bilmek, güvenli sub-sistem erişimi için kritik noktadır....
Bu advisory' de de görülecegi üzere gözü kapalı seri replace size yardım etmeyecek zarar verecektir. İkincisi ise kullandığınız sub-sistemi (buradaki örnekte MySQL) tanımak ve bilmek, güvenli sub-sistem erişimi için kritik noktadır....
WAF (Web Application Firewall) isi isiniyor
Günlük Okunma : 3 | 19.03.2007
Öncelikle konumuz WAF yani Web Application Firewall' ları. Bunlar genelde IPS / IDS / Firewall etrafında dolanan uygulamalar. Web server' a yada önündeki reverse proxy, load balancer vs. ye kurabiliyorsunuz çoğunu. Bu durum yazılımdan yazılıma farklılık gösteriyor. ModSecurity, Apache için bu tarz popüler yazılımlardan biri, bunun yanında şu an bir çok ticari ve open source benzerleri bulunmakta. ASP.NET in yapısı bu tip eklemelere çok açık olduğundan tabii ki onun için de yeni WAF' lar çok sık karşımıza gelmeye başladı. Bunlardan biri de Fortify Defender (bende henüz security ......
Öncelikle konumuz WAF yani Web Application Firewall' ları. Bunlar genelde IPS / IDS / Firewall etrafında dolanan uygulamalar. Web server' a yada önündeki reverse proxy, load balancer vs. ye kurabiliyorsunuz çoğunu. Bu durum yazılımdan yazılıma farklılık gösteriyor. ModSecurity, Apache için bu tarz popüler yazılımlardan biri, bunun yanında şu an bir çok ticari ve open source benzerleri bulunmakta. ASP.NET in yapısı bu tip eklemelere çok açık olduğundan tabii ki onun için de yeni WAF' lar çok sık karşımıza gelmeye başladı. Bunlardan biri de Fortify Defender (bende henüz security ......
SQL Injection Cheat Sheet
Günlük Okunma : 585 | 15.03.2007
SQL Injection Cheat Sheet SQL Injection Cheat Sheet, Document Version 1.4 About SQL Injection Cheat Sheet Currently only for MySQL and Microsoft SQL Server, some ORACLE and some PostgreSQL. Most of samples are not correct for every single situation. Most of the real world environments may change because of parenthesis, different code bases and unexpected, strange SQL sentences. Samples are provided to allow reader to get basic idea of a potential attack and almost every section includes a brief information about itself. M : MySQL S : SQL S......
SQL Injection Cheat Sheet SQL Injection Cheat Sheet, Document Version 1.4 About SQL Injection Cheat Sheet Currently only for MySQL and Microsoft SQL Server, some ORACLE and some PostgreSQL. Most of samples are not correct for every single situation. Most of the real world environments may change because of parenthesis, different code bases and unexpected, strange SQL sentences. Samples are provided to allow reader to get basic idea of a potential attack and almost every section includes a brief information about itself. M : MySQL S : SQL S......
Fast way to extract data from Error Based SQL Injections
Günlük Okunma : 15 | 15.03.2007
Fast way to extract data from Error Based SQL Injections What is this? This attack described in Advanced SQL Injection in SQL Server Applications paper by Chris Anley. This page is just a step by step tutorial. Where can you use? If you have found an error based in SQL Injection in SQL Server What is the point? You don’t have to extract every single record one by one. You can get all of them with fewer requests Theory Loop all records and insert in a temporary table (generally all users have create table permission) Read temporary table Drop table and start aga......
Fast way to extract data from Error Based SQL Injections What is this? This attack described in Advanced SQL Injection in SQL Server Applications paper by Chris Anley. This page is just a step by step tutorial. Where can you use? If you have found an error based in SQL Injection in SQL Server What is the point? You don’t have to extract every single record one by one. You can get all of them with fewer requests Theory Loop all records and insert in a temporary table (generally all users have create table permission) Read temporary table Drop table and start aga......
SQL Injection Dersleri - Union ile Data Okuma
Günlük Okunma : 4 | 01.03.2007
SQL Injection Derslerimiz yavaş olsa da devam ediyor. Eski SQL Injection derslerinin devamı olarak az önce Union ile Data Okuma makalesini ekledim. ...
SQL Injection Derslerimiz yavaş olsa da devam ediyor. Eski SQL Injection derslerinin devamı olarak az önce Union ile Data Okuma makalesini ekledim. ...
CSS History Araklama Açığı
Günlük Okunma : 3 | 01.03.2007
Çok zekice, çok sinsice. Özetle "a:visited" background-url koyuyorsunuz ve eğer ziyaretçi o siteyi ziyaret ettiyse o url sizin serverınıza istek yapıyor. Sizde ziyaret edilen sayfaları basitçe, hızlıca ve temizce anlayabiliyorsunuz. Phishing for Clues (pdb ve RSnake te bundan bahsetmişler)...
Çok zekice, çok sinsice. Özetle "a:visited" background-url koyuyorsunuz ve eğer ziyaretçi o siteyi ziyaret ettiyse o url sizin serverınıza istek yapıyor. Sizde ziyaret edilen sayfaları basitçe, hızlıca ve temizce anlayabiliyorsunuz. Phishing for Clues (pdb ve RSnake te bundan bahsetmişler)...
PHP Güvenlik Açıkları Ayı Başladı
Günlük Okunma : 4 | 01.03.2007
Elinizde bir ürün üzerine küçüklü büyüklü 15 açığınız varsa hemen sizde "XXX ownage month" veya daha genel adı ile "the month xxx bugs" yapabilirsiniz. Geyiği kesersek bu ay PHP bugları ayı, bunun anlamı php-security' de hergün yeni bir PHP güvenlik açığı yayınlanacağı. Şimdilik süper bir şey yok, PHP için günde iki tane yayınlanan lokal limit bypass aksiyonları ve bir kaç crash. PHP güvenlik açısından o kadar kötü ki maalesef böyle davranmak zorundayız. Proje bence çok ilgi çekici, izlemedeyim. Bu arada PHP server' ınız varsa ne yapın edin Suhosin e sahip olduğunuza emin olun, özellikle de b......
Elinizde bir ürün üzerine küçüklü büyüklü 15 açığınız varsa hemen sizde "XXX ownage month" veya daha genel adı ile "the month xxx bugs" yapabilirsiniz. Geyiği kesersek bu ay PHP bugları ayı, bunun anlamı php-security' de hergün yeni bir PHP güvenlik açığı yayınlanacağı. Şimdilik süper bir şey yok, PHP için günde iki tane yayınlanan lokal limit bypass aksiyonları ve bir kaç crash. PHP güvenlik açısından o kadar kötü ki maalesef böyle davranmak zorundayız. Proje bence çok ilgi çekici, izlemedeyim. Bu arada PHP server' ınız varsa ne yapın edin Suhosin e sahip olduğunuza emin olun, özellikle de b......
OWASP Test Rehberi 2 Yayında
Günlük Okunma : 2 | 26.02.2007
Web uygulaması güvenliği testlerini baştan sonra kapsamlı şekilde ele alan yegane rehberin ikinci versiyonu yayınlandı. Şiddetle tavsiye edilir....
Web uygulaması güvenliği testlerini baştan sonra kapsamlı şekilde ele alan yegane rehberin ikinci versiyonu yayınlandı. Şiddetle tavsiye edilir....
StringBorg - Injection Ataklarından Korunma
Günlük Okunma : 2 | 22.02.2007
Bu proje genel olarak tüm injection ataklarından korunma ve meta-karakter sorunu ile başetmek için bir çözüm. Preventing Injection Attacks with Syntax Embeddings -- A Host and Guest Language Independent Approach dokümanını okursanız zaten konuyu ve çözümü anlayacaksınız. Genel olarak ne kadar kabul görür bilinmez ama mantıklı bir çözüm....
Bu proje genel olarak tüm injection ataklarından korunma ve meta-karakter sorunu ile başetmek için bir çözüm. Preventing Injection Attacks with Syntax Embeddings -- A Host and Guest Language Independent Approach dokümanını okursanız zaten konuyu ve çözümü anlayacaksınız. Genel olarak ne kadar kabul görür bilinmez ama mantıklı bir çözüm....
SQL Injection' dan Korunma Videosu
Günlük Okunma : 10 | 20.02.2007
SQL Injection'dan Korunma Video Bu video bir önceki makalelerde örnek olarak gösterilen kodu düzeltmeyi gösteriyor. «SQL Injection neden dolayı oluşur ve Nasıl Korunulur? | SQL Injection'dan Korunma Videosu | Bir sonraki ders yakında, takipte kalın......
SQL Injection'dan Korunma Video Bu video bir önceki makalelerde örnek olarak gösterilen kodu düzeltmeyi gösteriyor. «SQL Injection neden dolayı oluşur ve Nasıl Korunulur? | SQL Injection'dan Korunma Videosu | Bir sonraki ders yakında, takipte kalın......
Top 10 2007 - OWASP
Günlük Okunma : 4 | 19.02.2007
OWASP TOP 10 2007' nin RC1' ı bir süre önce yayınlandı. Açıkçası bütün dokümandan beni çok etkileyen şey PDF' in harika görünümü oldu. Bunun harici bir önceki OWASP TOP 10' lar gibi bu da kötü. OWASP' ın genel olarak başarısı kaçınılmaz, ek olarak projeleri ve kesinlikler OWASP Guide süper, ama TOP 10 sadece medya, gereksiz ve kötü....
OWASP TOP 10 2007' nin RC1' ı bir süre önce yayınlandı. Açıkçası bütün dokümandan beni çok etkileyen şey PDF' in harika görünümü oldu. Bunun harici bir önceki OWASP TOP 10' lar gibi bu da kötü. OWASP' ın genel olarak başarısı kaçınılmaz, ek olarak projeleri ve kesinlikler OWASP Guide süper, ama TOP 10 sadece medya, gereksiz ve kötü....
SQL Injection neden dolayı oluşur ve Nasıl Korunulur?
Günlük Okunma : 15 | 28.01.2007
SQL Injection neden dolayı oluşur ve Nasıl Korunulur? Bu yazı dizisi temel olarak saldırıya dayalı olduğundan dolayı detaylı korunma ve defans yolları anlatılmamıştır ve bu yazı dizisi etrafında anlatılmayacaktır. Saldırıyı anlamak korunmayı anlamanın en önemli kısımlarından biridir. Yazıda sadece yöntemlere değinilmiş ve ilgili dil-platform implementasyon pratiği okuyucuya bırakılmıştır. SQL Injection açığı neden oluşur ? SQL Injection şüphe götürmez ki web uygulamalarında yaygınlık / hasar oranı en yüksek açıktır. Muhtemelen exploit etmesi de en eğlenceli ve bazen tahmin edilenden daha z......
SQL Injection neden dolayı oluşur ve Nasıl Korunulur? Bu yazı dizisi temel olarak saldırıya dayalı olduğundan dolayı detaylı korunma ve defans yolları anlatılmamıştır ve bu yazı dizisi etrafında anlatılmayacaktır. Saldırıyı anlamak korunmayı anlamanın en önemli kısımlarından biridir. Yazıda sadece yöntemlere değinilmiş ve ilgili dil-platform implementasyon pratiği okuyucuya bırakılmıştır. SQL Injection açığı neden oluşur ? SQL Injection şüphe götürmez ki web uygulamalarında yaygınlık / hasar oranı en yüksek açıktır. Muhtemelen exploit etmesi de en eğlenceli ve bazen tahmin edilenden daha z......
PHP Güvenliği
Günlük Okunma : 4 | 24.01.2007
Web uygulaması güvenliğine sitemde ağırlık verdiğim şu günlerde bir kaç haftadır takip ettiğim yeni bir siteyi de bildirmek istedim.Özellikle PHP güvenliği, güvenli kod yazma veya kırma konusuyla ilgileniyorsanız PHP Güvenliği sitesini hemen takibe alın. ...
Web uygulaması güvenliğine sitemde ağırlık verdiğim şu günlerde bir kaç haftadır takip ettiğim yeni bir siteyi de bildirmek istedim.Özellikle PHP güvenliği, güvenli kod yazma veya kırma konusuyla ilgileniyorsanız PHP Güvenliği sitesini hemen takibe alın. ...
SQL Injection Test Laboratuarı Kurma
Günlük Okunma : 17 | 22.01.2007
SQL Injection Test Laboratuarı KurmaEğer bir önceki derslerde öğrendiklerinizi ve izledikleriniz elinizi kirletmeden anladığınızı düşünüyorsanız, büyük bir yanılgı içerisindeniz. Şimdi hemen bir test sistemi kuracağız ve siz de buradaki tüm işlemleri bu test sisteminde test etme fırsatı bulacaksınız. Bu sistemi kurmanızı ve tüm buradaki işlemleri ve daha fazlasını kendi sisteminizde test etmeniz şiddetle tavsiye edilir. Bu sistem daha sonraki bölümlerde ve kendiniz ......
SQL Injection Test Laboratuarı KurmaEğer bir önceki derslerde öğrendiklerinizi ve izledikleriniz elinizi kirletmeden anladığınızı düşünüyorsanız, büyük bir yanılgı içerisindeniz. Şimdi hemen bir test sistemi kuracağız ve siz de buradaki tüm işlemleri bu test sisteminde test etme fırsatı bulacaksınız. Bu sistemi kurmanızı ve tüm buradaki işlemleri ve daha fazlasını kendi sisteminizde test etmeniz şiddetle tavsiye edilir. Bu sistem daha sonraki bölümlerde ve kendiniz ......
Başka bir kullanıcı olarak giriş yapma
Günlük Okunma : 27 | 22.01.2007
Üye girişi yapmaktan bahsetmiştik. Aslında genelde ilk üye yönetici olur bu yüzden şanslıyız ama tabii ki bize bu yetmez. Biraz daha yeni numaraya ve detaylara ihtiyacımız var. Bu yüzden şimdi nasıl başka bir kullanıcı olarak üye gişiri yapacağımızı göreceğiz. Başka bir kullanıcı olarak üye girişi yapmanın başka yöntemleri de var ancak bu bölümde en basitini inceleyeceğiz. Ek olarak bu yöntemi daha sonraki ileri seviye SQL Injection’ larda da sık sık......
Üye girişi yapmaktan bahsetmiştik. Aslında genelde ilk üye yönetici olur bu yüzden şanslıyız ama tabii ki bize bu yetmez. Biraz daha yeni numaraya ve detaylara ihtiyacımız var. Bu yüzden şimdi nasıl başka bir kullanıcı olarak üye gişiri yapacağımızı göreceğiz. Başka bir kullanıcı olarak üye girişi yapmanın başka yöntemleri de var ancak bu bölümde en basitini inceleyeceğiz. Ek olarak bu yöntemi daha sonraki ileri seviye SQL Injection’ larda da sık sık......
Arşiv
Yeni yazıları RSS ile takip edebilir ya da e-mail adresinize gelmesini sağlayabilirsiniz.
En Çok Okunan 10 Yazı | Toplam En Çok Okunan 10 Yazı | Tüm yazılar ve Makaleler