Web Güvenlik Topluluğu

Güvenlik TV‘nin bu haftaki konuğu topluluğumuz adına Bünyamin Demir’di. Güvenlik TV ekibi ile OWASP’tan, OWASP-TR/Web güvenliği Topluluğundan ve uygulama güvenliğinden konuştuk.

Davetlerinden dolayı Güvenlik TV ekibine teşekkürlerimizi sunarız.

Güvenlik TV üzerinden ilgili habere ve videoya ulaşabilirsiniz.

Web Güvenliği Topluluğu ve OWASP Türkiye grubu olarak 2007 yılından itibaren gönüllülük esasına dayalı olarak web güvenliği ve ilintili alanlarda çalışmalar yapmaktayız. Bu bağlamda 2011 yılı içerisinde yaptığımız çalışmaları ve 2012 planlarımızı sizlerle paylaşmak istedik. Zira belki katılmayı düşünürsünüz :).

2011 Yılı

2011 yılı içerisinde;

- 3 adet CTF yarışması düzenledik. İlgili CTF’lerin çözüm bilgilerine ‘Belgeler’ kısmından erişebilirsiniz.
- 4 adet yeni makale yayınladık. Yine ilgili makalelere ‘Belgeler’ kısmından erişebilirsiniz.
- 3 adet yeni çeviri belgesi yayınladık. İlgili çevirilere ‘Çeviriler’ kısmından erişebilirsiniz.
- “Özgür Web Günleri” ile “Bilgi ve Bilişim Günü” etkinliklerinde OWASP Türkiye olarak yerimizi aldık.
- Chiasma projesi ve Davshan projesi / uygulamasını yayınladık.
- Dergi projesini sonlandırarak, dergi sayılarına yazılan yazıları WGT web sitesinde topladık.
- OWASP Türkiye mail listesi olarak 503 kişiye ulaştık. Dolayısıyla Dominik Cumhuriyetinin nufus artış hızını geçmiş bulunuyoruz :).

Bu çalışmalarımız sırasında desteklerini esirgemeyen OWASP  Türkiye ekibine ve özverileri ile katkı sağlayan, bizler ile birlikte çalışma yapan üyelerimize/katılımcılarımıza çok teşekkür ederiz.

2012 Yılı

2012 yılına, 2010 yılında yayınladığımız ‘Web Uygulama Güvenliği Kontrol Listesi – 2010’un yeni  ve ikinci versiyonunu yayınlayarak başladık. Hala İngilizce sürüm üzerinde çalışmalarımız devam ediyor.

Ek olarak ise 2012 yılı içerisinde;

- Mevcut projelere aktif katılım çağrısı yaparak, projeleri bir adım öteye götürmeye çalışacağız. Bu konuda yakın zamanda siz değerli takipçilerimiz ve mail listesi üyelerimizin de yardımını rica ediyor olacağız.
- Yeni CTF’ler düzenlemeye devam edeceğiz. Bol bol hediye vermek istiyoruz. Sponsorlar bulursak:).
- Yeni etkinlikler düzenleyecek ve çağrıldığımız etkinliklere katılmaya çalışacağız.
- Ve yine şu an planladığımız yeni projeleri de yine 2012 yılında gerçekleştiriyoruz olacağız.

Bu kapsamda 2011 yılını değerlendirmeye, 2012 yılında ise ufak bir yol haritası çizmeye çalıştık. Görüş, öneri ve eleştirileriniz için her zaman bizimle iletişime geçebilirsiniz.

Ayrıca fitre, zekat, sadaka ve kurban derilerinizi bize ulaştırmak için tıklayın.

2011 Yılı içerisinde tarafımıza yapılan bağışlara ait videoyu izleyebilirsiniz.

Web Uygulama Güvenliği Kontrol Listesi 2010’u, OWASP-Türkiye ve Web Güvenliği Topluluğu tarafından güvenli web uygulamalarında aktif olması gereken denetim adımlarını içeren bir dokümantasyon projesi olarak 30 Ağustos 2010 tarihinde yayınlamıştık.

Web Uygulama Güvenliği Kontrol Listesi 2012’de ise, ilk dokümana göre bir çok iyileştirme yapılmıştır. Bu yeni ikinci sürümde yapılan başlıca değişiklikler aşağıda listelenmiştir;

• Kategorilerde OWASP Testing Guide’ın kategorileri temel alınmıştır.

• Her kontrol maddesi ayrıca ASVS (OWASP Application Security Verification Standard) kategorileri ile de eşlenmiştir.

• Risk seviyesi ve de sorumlular kısmı revize edilmiştir.

• Excel dokümanında kontrollerin aktif olup olmadığına verilecek “Evet” / “Hayır” / “—” cevabına göre farklı risk seviyesindeki ve de toplamdaki güvenlik durumu grafiksel olarak gösterilmektedir. “—” seçeneği ilgili güvenlik kontrolünün denetlenen sistemin kapsamının dışında olduğunu gösterir ve grafiksel gösterimlerde değerlendirmeye alınmaz.

• Kontrol listesi, PDF belgesine ek olarak Excel formatında da sunulmuştur. Bu sayede proje esnasında güvenlik aktivitelerinin durumlarının bir araç yardımı ile takip edilebilmesine olanak sağlanmıştır.

Web Uygulama Güvenliği Kontrol Listesi 2012`nin hazırlanış aşamasında katkıda bulunanlara teşekkür ederiz.

İlgili dökümanın Excel versiyonu ve PDF versiyonu indirilebilir.

Linux Kullanıcıları Derneği ve Yeditepe Üniversitesi Bilgisayar Topluluğu tarafından ikinci kez düzenlenen ‘Özgür Web Günleri 2011′ etkinliği kapsamında OWASP Turkey olarak biz de varız !

Etkinliğe OWASP Turkey adına ekibimizden Bünyamin Demir arkadaşımız katılacak ve “Güvenli Kod Geliştirme ve Kaotik Yaşam Döngüsü” konulu bir sunum yapacaktır.

Etkinlik Programı;

Tarih: 14 Ekim 2011 - Cuma
Saat: 15:00-15:45 (Sunum)
Yer: Salon 2

Etkinlik ile ilgili detaylara Özgür Web Günleri internet sitesinden ulaşabilirsiniz.

Ek: Sunuma buradan ulaşabilirsiniz

2009 yılı yaz aylarında çalışmalarına başladığımız ve ilk sayısını Ağustos 2009 yılında çıkartmak suretiyle 2011 yılı başına kadar toplamda 7 sayıya ulaşan Web Güvenlik Topluluğu E-Dergi projesini sonlandırmış bulunmaktayız.

E-Dergi kısmından, tüm sayılara ve yazılara PDF formatında ulaşabilirsiniz.

E-Dergi projesi süresince desteklerini esirgemeyen tüm OWASP Turkey ekibine ve bizlere yazılarıyla destek veren konuk yazarlara teşekkür ederiz.

ODTÜ Öğrenci Kolu ve IEEE Computer Society tarafından düzenlenen Bilgi ve Bilişim Günü etkinliğinde biz de OWASP-Türkiye olarak yer alacağız.

Etkinliğe OWASP-Türkiye adına ekibimizden Onur Yılmaz arkadaşımız katılacak. “Web Güvenliğinde Otomasyon ve Netsparker” konulu sunumunun akabinde ise gün içerisinde etkinlik alanında düzenlenecek olan Capture the Flag yarışması düzenleme kurulunda bulunacaktır.

Tarih: 9 Mayıs Pazartesi
Saat: 10:00-10:45 (Sunum)
Yer: ODTÜ – KKM C Salonu

Biznet Bilişim Sistemleri sponsorluğunda gerçekleştirilen Etik Saldır, iPad Kazan CTF v6 yarışmasının çözümü, yarışmayı kazanan Emre Çakır tarafından kaleme alınmıştır. Döküman “Belgeler” bölümüne eklenmiştir.

Yarışma boyunca emeği geçen Biznet Bilişim Sistemleri çalışanları ve Emre Çakır’a teşekkür ederiz.

Geçtiğimiz haftalarda duyurduğumuz ve Biznet Bilişim Sistemleri sponsorluğunda gerçekleştirilen Etik Saldır, iPad Kazan CTF v6 yarışması sonuçlanmıştır.

Daha önce e-mail listemizden de duyurduğumuz üzere yarışmayı Emre Çakır isimli arkadaşımız kazanmış olup, Biznet Bilişim Sistemleri firması Ankara şubesi tarafından iPad ödülü kendilerine takdim edilmiştir.

Yarışma boyunca desteklerini esirgemeyen OWASP/TR ekibine,  ortak projelerdeki özverileri ile gönlümüzü kazanan ve  yarışmaya sponsor olan Biznet Bilişim Sistemleri firmasına ve  tüm katılan arkadaşlara teşekkür ederiz.

NOT: CTF v6 çözümü yakın zamanda gerçekleştirmeyi  düşündüğümüz bir etkinlik esnasında anlatılacak olup, etkinlik  sonrasında buradan da paylaşılacaktır.

Daha önceleri Etik Saldır, Kitap Kazan başlığı altında gerçekleştirdiğimizi CTF serisinin 6. sı ile karşınızdayız. 6. CTF yarışmasına sponsor olan Biznet Bilişim Sistemleri firmasına teşekkür ederiz.

Yarışma ile ilgili detayları verecek olursak;

• Yarışma 18 Mart 2011 Cuma akşamı 17:30 itibariyle ctf.webguvenligi.org adresinde başlayacaktır.
• Yarışmadaki aşamaları geçerek ulaşacağınız veritabanı bağlantı cümleciğini ctf-at-webguvenligi-org adresine mail atmanız gerekmektedir.
• Yarışması süresi 5 gündür.
• 72 saat içerisinde yarışmayı tamamlayan olmazsa, @owasptr hesabından ipucu yayınlanacaktır.
• Yarışmayı başarıyla tamamlayarak ilgili veritabanı bağlantı cümleciğini tarafımıza ulaştıran ilk katılımcıya, Biznet Bilişim Sistemleri tarafından, Apple iPad hediye edilecektir.

Yarışmayla ilgili sorularınız / sorunlarınız için ctf-at-webguvenligi-org adresi ile irtibata geçebilirsiniz.

Dr. Emin İslam Tatlı trafından kaleme alınan “Java da Güvenli Yazılım Geliştirme” konulu dökümana “Belgeler” bölümünden erişebilirsiniz.