HTML5 ‘e Yönelik Saldırılar ve Tehditler

Modern web saldırı türleri denilince aklımıza ilk gelen HTML5 ‘e yönelik saldırılar geliyor.  Çoğu tarayıcılarda aktif olarak desteklenmesi, yeni ve gelişmekte olması, HTML5 ‘e yönelik saldırıları arttıyor.

HTML5 ile birlikte bir çok yeni teknoloji ve bileşenler geliyor. XMLHttpRequest (XHR), cross-origin resource sharing (CORS), webSQL, yerel depolama vs…

HTML5, web mesajlaşma, web socket, GEO location bileşeni, Canvas 2d gibi teknolojilere kapı aralıyor…

HTML5 ile web teknolojisi geliştikçe artan saldırılar da aynı oranda gelişiyor ve artıyor.

2012 Black-Hat konferansına konu olan ve konuşmacı olarak çıkan Shreeraj Shah DOM, XHR ve localstorage ile ilgili en çok görülen 10 tehditi sıralıyor;

1. CSRF with XHR and CORS bypass (XHR ve CORS ile CSRF bypass [token hijacking])

2. Jacking – click, CORS, tabs (Tablar arası cookie çalımı ve kaynak erişimi)

3. HTML5-driven cross-site scripting using tags, events and attributes (Yeni gelen etiketlere, özelliklere ve olaylara XSS uygulanması [pushState() vb.] )

4. Attacking storage and DOM variables (DOM elemanları ile yerel depolamaya sızma)

5. Exploiting Browser SQL points (Tarayıcı DB Hacking)

6. Injection with Web Messaging and Workers (Web mesaj ve websocket’e saldırılar)

7. DOM-based cross site scripting and issues (DOM tabanlı XSS)

8. Offline attacks and cross-widget vectors (Offline saldırılar )

9. Web socket issues (Web socket bugları, sorunlar)

10. API and protocol attacks (API ve protokol saldırıları)

Bunların yanı sıra, HTML5 Security ile ilgili dikkate alınacak, makaleleri ve blogları yazıyorum;

Bir sonra ki makalemde, HTML5 ‘e yönelik bir saldırı türünü canlı olarak ele alacağız inşAllah.

 

Sencha Touch 2

Sencha Touch, HTML5 & Javascript ile mobile Cross-Platform frameworklerinden biri. Mobile Tutsplus da güzel bir videolu anlatım mevcut. Başlangıç seviyesi, kullanım alanları ve bir çok componenti çok güzel anlatılmış. Aşağıdaki linkten videoları izleyebilirsiniz;

 

http://mobile.tutsplus.com/tutorials/mobile-web-apps/getting-started-with-sencha-touch-2/

Android Network Trafik Analizi

Merhabalar arkadaşlar,

Mobile Nettuts ‘da güzel bir makale buldum. Android’de debug ve testing için Network analizi ile bütün paketleri okuyabilir ve inceleyebilirsiniz. Hem Android Security ile ilgilenenler hemde kendi yazılımlarını kontrol etmek isteyenler için güzel bir makale.

http://mobile.tutsplus.com/tutorials/android/analyzing-android-network-traffic/

Twitter Reverse Engineering

Merhaba arkadaşlar,

Bugün biraz Twitter‘ı kurcalayım dedim. Bir kaç şey gözüme çarptı. Biliyoruz ki twitter tamamen Server-Side JS ile çalışıyor ve tamamiyle API hizmetleriyle iletişime geçiyor. Twitter, her birinizin bütün click eventlerini nasıl topladığını inceleyeceğiz. Yani twitterda hangi elemente tıkladığınızı, hangi sonuç döndüğünü, nereden gelip nereye tıkladığınızı saniye saniye logladığını göreceğiz.

İşin detay kısmına girelim;

Browser Network Sniffer ile Request ‘leri inceliyoruz.

Continue reading

iOS Application Security

 Gün geçtikçe Mobile yazılımlar çoğalıyor ve ihtiyaç haline geliyor. Devir mobil devri olduğu için de  uygulama güvenliği makaleleri çoğalıyor. Bunlardan biri, MDSec tarafından yazılmış detaylı bir iOS Application Security makalesi.

Kısaca göz gezdim, ciddi konular mevcut. Exploit etme, kod analiz, Encode-decode, Runtime anında manipule etme gibi konular var.

İndirmek için