Web Güvenlik Topluluğu

JSecureImage, java ortamında güvenli resim upload’ı için kullanılabilecek bir kütüphanedir. Upload edilen resimlerin bazi özelliklerini kontrol eden JSecureImage hatalı veya güvensiz resimleri reddeder. Standard Java ImageIO API’ini kullanan JSecureImage, küçük bozuklukları olan bazı resimlerde hatalı sonuç vermekteydi. Bu hatayı kütüphanenin kullanıldığı işletim sisteminde JDK üzerine JAI ImageIO kütüphanesini kurarak çözebilirsiniz.

https://jai-imageio.dev.java.net/binary-builds.html#Release_builds

Ayrica yeni JSecureImage kütüphanesini indirip resim dosya upload özelliği bulunan kendi J2EE web uygulamanızı da güvenli hale getirebilirsiniz.

Teknik, blind sql injection saldırılarında tek bir karakteri minimum istek ile elde etmek için yeni bir optimizasyondur. Zaman tabanlı kör sql enjeksiyonlarına getirdiği yeni soluk MOD fonksiyonu ile bekleme zamanını düşürmektir.


Canberk Bolat (canberk.bolat[-AT-]gmail[-DOT-]com)’ın geliştirdiği ve MySQL için tecrübe ettiği yol kullandığı fonksiyonlar itibarı ile diğer veritabanları için de gerçeklenebilir.

Web güvenliği topluluğunun II. halısaha organizasyonunu gelen yoğun talep üzerine bu hafta yapıyor olacağız. Web güvenliği ile alakalı tüm futbol tutkunlarını bekliyoruz.

29 Mayıs Cumartesi, saat 19:00′da Anadolu yakasında Ünalan’daki Şampiyon Spor Kompleksi.

Etik Saldır, Kitap Kazan - CTF serisinin ikincisiyle karşınızdayız. http://ctf.webguvenligi.org adresindeki login ekranında bulunan ve bilinçli olarak hazırlanmış zafiyeti kullanarak, CTF uygulamasının kullandığı veritabanının ‘veritabanı ismini’ ele geçirerek ilgi alana yazmanız ve bir şifreye ulaşmanız gerekmektedir.

İlgili aşamayı geçtikten sonra ulaşacağınız şifreyi dergi{at}webguvenligi{dot}org  adresine gönderen ilk iki kişiye hediye olarak iki bilgi güvenliği ile ilgili kitap gönderilecektir.

Ayrıca başarılı bir şekilde şifreyi gönderen ilk kişi dergi.webguvenligi.org‘un gelecek ayki sayısında isterse çözümünü anlatıp, yayınlayabileceği bir yazı yazabilecektir.

WGT ekibinden Onur Yılmaz’ın hazırladığı yarışma sayfasına aşağıdaki adresten ulaşabilirsiniz.

YENİLEME 23 Mayıs: Kodu ileten ilk iki arkadaşımız, Canberk Bolat ve Mehmet Emin Muratoğlu hediye kitapları kazandılar.

http://ctf.webguvenligi.org/

Web güvenliği bilincini arttırmak amacıyla, 2009 Ağustos ayında ilk sayısını yayınladığımız web güvenliği e-dergi`nin 5. sayısına e-dergi üzerinden ulaşabilirsiniz.

Tüm geri bildirim yapan okurlarımıza ve dergi hazırlanışında emeği geçen herkese ve yardımcılara teşekkür ederiz.

Piknik, bir Java web uygulama geliştiricisinin yazdığı kod içerisinde analize dayanıklı kötü amaçlı dinamik arka kapılar bırakma yollarının örneklemelerine yönelik bir araştırmadır.

Encoder: java kod parçalarının \uxxxx unicode kodlama & kod çözme işlemleri
Dumper: Upload edilen bir java sınıfının Base64 kodlaması
Loader: Base64 kodlanmış bir java sınıfının dinamik olarak load edilmesi
Unicode: Unicode kodlanmış basit bir jsp arka kapısı
Compile: Java sınıf kaynak kodunun dinamik olarak derlenip yüklenmesi
Analyze: Upload edilen bir java sınıfının temel bir Byte Code Analizi

Çalışma Jeff Williams’ın araştırmasından esinlenmiştir. Ve geliştirilmeye açıktır. Piknik’i İzleyin!

Işık Üniversitesi Şile Kampüsü, Bilişim Günlerin de ve Bahçeşehir Üniversitesi Beşiktaş Kampüsü’nde Kubilay Onur Güngör tarafından verilecek Cyber Security Concept, Cyber Wars and a New Milieu başlıklı seminerin anahtar kelimeleri ise “OWASP ve OWASP-TR tanıtımı, dijital investigation demosu, yeni kültürel ve sosyal alan internet, siber yaşamda güvenlik ihtiyacı, ethical hacking, kriminal davranışları inceleyen teoriler, siber dünyada organize suçlar, siber tehditler, siber terör, siber savaşlar ve yeni dünya düzenine hazırlanmamız için yapılması gerekenler.” olacaktır. Detayları aşağıda bulabilirsiniz;

Yer: Işık Üniversitesi, Şile Kampüsü
Kayıt: http://bilisimgunleri.isikun.edu.tr
Tarih: 8 Mart 2010 Pazartesi
Zaman: 15.00 - 16.00

Yer: Bahçeşehir Üniversitesi, Beşiktaş Kampüsü, D-404 Salonu
Tarih: 10 Mart 2010 Çarşamba
Zaman: 18.30 – 19.30

OISF grubundan arkadaşlarımızın katılımıyla yaptığımız etkinliğe katkı sağlayan tüm değerli katılımcılara teşekkür ederiz.  Bu hoş ve eğlenceli etkinlik sonrası pizza sponsorluğumuzu yapan www.guvenlikegitimleri.com da ayrıca teşekkür ederiz.

23 Şubat Salı saat 19:00-21:00 arası bir chapter meeting düzenliyoruz. Yine her zamanki yerimizdeyiz. Buluşmaya katılım ücretsizdir, herkes davetlidir. Lütfen kayıt için bilgi-at-webguvenligi.org adresine mail atınız.

Bu seferki buluşmamıza, OISF grubundan aynı zamanda içlerinde ModSecurity developeri olan arkadaşlarımız da katılıp, sunumlar yapacaklardır.