Seyfullah KILIÇ

Merhabalar arkadaşlar,
Günümüz web yazılımcılarının ortak derdi, güvenlik açıklarıdır. Sistemim güvenli midir?, scriptimde güvenlik açıkları mevcut mudur ? Acaba verilerim güvende midir?, güvenlik için neler yapmalıyım gibi sorular gelebiliyor.

Aşağıda listemiş olduğum web uygulumalarında, tipik güvenlik açıkları ve yaptığımız hatalar mevcuttur. (Ben PHP’den ele aldım. Ama diğer dillerde de aynı mantıkla güvenlik açıkları çalışıp, kapatılabilir.)

Devamı…

Merhabalar arkadaşlar,

Olympos.net yazarlarından Tacettin Karadeniz’in güzel bir makalesi.

Günümüz şartlarında E-Mail(Elektronik Posta) kullanımı, döküman gönderim işlemini de kolaylaştırmaktadır.

Hazırlanan bir belge, anında kullanıcıya E-Posta ile gönderilebilmektedir. Durum bu şekilde olunca zararlı uygulamaların /program(cık)ların/ yayılma olasılığı da artmaktadır. Özellikle son günlerde kullanıcıları tehlikeli duruma düşüren zararlı programlar PDF türü dosyalarla yayılmaktadır.
Bu yayılma işlemi nasıl gerçekleşmektedir?
Yayılma işlemi, .pdf belge içine gizlenen kod parçacıkları aracılığıyla, Adobe Acrobat Reader uygulamasında yer alan uygulama zafiyetinden faydalanmaktadır. PDF, Adobe firması tarafından geliştirilmiştir(Portable Document Format – Taşınabilir Dosya Formatı). Neticesinde bir çok kullanıcı tarafından kullanılan bir dosya formatı olup, kullanım oranı artmaktadır. Özellikle şirketler dökümantasyon işlerinde pdf formatını çok tercih etmektedirler.

Bu yazımda E-Posta iletimde karşılaştığım bir .pdf belgesi üzerinde gerçekleştirdiğim analizi anlatacağım.

E-Postalarımı kontrol ederken “Re:Doc” adı altında bir e-posta gördüm (Resim 1). Gelen postayı incelediğimde,ekindebir .pdf dosyası yeralmaktaydı (Resim 2). Bu pdf dosyasını incelemek için kayıt altına aldım.

Kaynak + Devamı

Merhaba arkadaşlar,
Farklı bir makale ile karşınızdayım. Son zamanlarda adını sıkça duyuran bir konu. Siber terör.
Nedir bu siber terör? Nasıl olur ? Siber teröristler neler yaparlar-yapabilirler ? gibi soruları cevaplamaya çalışacam.

Teknoloji ve internet o kadar gelişti ki, interneti günümüzün her alanında kullanıyoruz.
İş görüşmelerinde maillerimizi kullanıyoruz, alışveriş yapacağımız zaman e-ticareti kullanıyoruz, sosyal medya araçları ile, (twitter, facebook vs.) arkadaşlarımızla görüşüyor, kısa mesajlar yazıyoruz. İnternet bankacılığını kullanarak, borçlarımızı, faturalarımızı ödüyoruz, e-devlet kapısından yine aynı şekilde bilgilerimize bakabiliyor, güncelleyebiliyoruz, şehirdışı ve yurtdışı uçuşlarımız için online olarak bilet alabiliyoruz vs. vs…
Çok uzatabiliriz. İnternet o kadar hayatımızla bütünleşmiş ki, her yerde ona ihtiyaç duyuyoruz.
Devamı…

Dünyanın en önemli kurumlarında bile görülebilen (Hotmail, Gmail, Yahoo vs…) CSRF (Cross-Site Request Forgery) güvenlik açığı nedir?, nasıl korunulabilir, alınabilecek güvenlik önlemleri nelerdir ? CSRF’ye biraz göz atalım…

CSRF açıkları genellikle form doğrulamalarında, POST’larda ve GET’lerde görülebilir. Image yoluna aldatma olarak GET metoduyla istenilen query strinler de işletilebilir. Örneğin bir mesaj sistemi yaptık. İlgili kişilere göre yetki sistemini de ayarladık (moderatörler ve yöneticiler silme, değiştirme, onaylama vs.. işlemlerini yapabilme gibi) diyelim. Normal kullanıcıların işlem yapmaması için de güvenlikleri aldık diyelim. Gelelim burada CSRF açığından oluşabilecek güvenlik açıklarına…
Devamı…

Şu zamanlarda javascript-ajax ve DOM(Document Object Model)’u kullanan siteler çoğalıyor. Bu araçları-dilleri kullanmalarının sebebi UI (User Interface), yani kullanıcılara görselliği güzel olan, kullanımı rahat olan web siteleri, projeleri tasarlamalarıdır. Kullanılan bu dillerde bir çok güvenlik açıkları oluşur. Yazılımcı, Ajax ile POST edilen sayfa da gerekli güvenli kod uygulamaları yapılmazsa, önemli güvenlik açıkları oluşur ve server ve web sitesi tehlikeye girebilir. Biliyorsunuz ki javascript tarayıcı tabanlı çalışan, tarayıcıda derlenen bir script dilidir. Sayfa Kaynağında görünebilen bir dildir.

Firefox’un, Yazılımcılara ve Web’cilere güzel eklentilerinden biri olan Firebug’da javascript ve DOM’u tarayıcıda değiştirerek, bir web sitede oluşan güvenlik açıklarına bakacağız. Devamı…

Onur YILMAZ arkadaşımın anlatımıyla, bugün yaklaşık 4 saatliğine Web Güvenliği eğitimine girdim. Kursum nedeniyle 14:00 ‘a kadar durabildim. Çok güzel bir eğitimdi. Başlangıç seviyesinden, başlanılsa da zevkli ve önemli konulara değinildi. Burdan Onur YILMAZ’a, Onur GÖKÇE’e ve gelen tüm arkadaşlarıma teşekkür ederim. 2-3 gün içerisinde Eğitim arasında ki video ve röportajları yollayacağım :)