Web Güvenlik Topluluğu

Web uygulama güvenliğinde en sık karşılaşılan on güvenlik açığı vektörünü inceleyen, bizim de OWASP Projelerini Tanıyalım isimli bir hevesle başladığımız ama Fenerbahçe’nin üç kulvarda sonuna kadar gitmeye niyetlendiği bir futbol sezonu nedeniyle yarıda bıraktığımız yazı dizisinde incelediğimiz ve OWASP’ın en çok bilinen projesi olan Top Ten‘in 2013 sürümü geçtiğimiz gün yayınlandı.

Daha önceleri 2004, 2007 ve 2010 sürümlerinin OWASP tarafından yayınlandığı Top Ten projesinin 2013 sürümünde bazı vektörler hala popülerliğini koruyor olsa da bazı atak vektörlerinin de finans sıkıntısı çeken Beşiktaş gibi sıralamada yer değiştirdiğini veya ligden düşen Anadolu takımları gibi listeden çıktığını görüyoruz.

Aşağıdaki tabloda OWASP Top Ten 2013′ün ana başlıklarını listeledik.

OWASP Top Ten 2013 ile ilgili daha detaylı bilgiye proje sayfasından ulaşabilir, değerli yorumlarınızı OWASP Türkiye mail listesine iletebilirsiniz.

HTTPFlooder v0.1, yük testleri, stres testleri, DoS/DDoS testleri ve botnet simülasyonları vb. çalışmalarda kullanılabilecek Perl ile geliştirilmiş bir araçtır. Araç ilk sürümünde aşağıdaki saldırı tiplerine destek vermektedir;

• GET Flood
• POST Flood
• Slow Headers (Slowlories)
• Slow POST
• Hash DoS
• Mix Flood (mixing GET/POST Flood)
• Range Bytes
• HTTP Header Fuzzing
• Slow Header Fuzzing
• MX Flooder over Balancer

Aynı zamanda bu tür çalışmalarda kullanılan araçlarda (açık kaynak kodlu) eksik olarak gözlemlenen SSL desteği, özelleştirilmiş Cookie desteği, Basic Authentication, Proxy desteği gibi kullanımı çeşitlendirecek veya doğruluğuna yardımcı olabilecek ek özellikler barındırmaktadır.

Proje sayfası: https://code.google.com/p/httpflooder/

14 Mayıs Salı günü Siber Güvenlik Derneği tarafından düzenlenen Siber Güvenlik Konferansı 2013 etkinliğinde OWASP-Türkiye grubu olarak biz de yerimizi alacağız.

Ekibimizden Bünyamin Demir, “Uygulama Katmanında Hizmet Kesintisi Problemleri” isimli bir sunumla katılacağı gibi ayrıca gün boyu da etkinlik alanında standımız açık olacaktır. Konferans programına buradan erişebilirsiniz.

Yer: Harbiye Askeri Müzesi ve Kültür Sitesi, Ahmet Fethi Paşa Salonu
Tarih: 14 Mayıs 2013 Salı

Sunum Dosyası: Uygulama Katmanında Hizmet Kesintisi Problemleri

7 Şubat Perşembe saat 19:00-20:30 arası bir chapter meeting/buluşma düzenliyoruz. Bu sefer Turkcell Maltepe Plaza da buluşuyoruz. Etkinliğe katılım ücretsiz olup, pizza ikramı yapılacaktır. Bundan dolayı kayıtların kesin gelecekler tarafından yapılmasını, geleceklerinde yemek yemeden gelmesini rica ediyoruz.

Buluşma konusunu “Mobil Uygulama Güvenliği” olarak belirledik. Dolayısıyla OWASP Mobile Security Project tabanlı bir sohbet yapıyor olacağız. Uzun uzadıya bir sunum hazırlığı olmayacak. Dolayısıyla fikir ve tecrübe alış verişi şeklinde geçmesini planlıyoruz.

OWASP-Türkiye ve Web Güvenliği Topluluğu olarak 2013 yılı masraflarımızı  (ağırlıklı olarak VPS kaynaklı) karşılamak adına sponsor arayışına gittik. Bizim gibi tamamen gönüllülük esasına dayanan toplulukların hayatta kalabilmesi için sponsorların varlığı hayati önem taşımaktadır. Bu tür ihtiyaçlarımız olduğumuzda her zaman yanımızda olan firmalara çok teşekkür ederiz.

2013 yılı topluluk giderlerini karşılamakta hiç bir tereddüt göstermeyen Netsparker (Mavituna Security LTD.), BTYÖN Danışmanlık LTD., Biznet Bilişim A.Ş., Symturk LTD., Lostar Bilgi Güvenliği A.Ş., Magis Teknoloji LTD., Secrove LTD. gibi özellikle ilgi alanlarımıza yoğunlaşmış lider firmaların aramızda olmasından ötürü son derece mutluyuz. 2013 yılı içerisinde bizlere sunacakları katkılardan dolayı şimdiden çok teşekkür ederiz.

Linux Kullanıcıları Derneği ve Yeditepe Bilgisayar Topluluğu tarafından üçüncü kez düzenlenen Özgür Web Teknolojileri Günleri‘nde OWASP Türkiye olarak biz de yerimizi alıyor olacağız.

19-20 Ekim 2012 tarihinde, İstanbul Yeditepe Üniversitesi 26 Ağustos Yerleşimi’nde düzenlenecek olan etkinliğin detaylarına ve etkinlik programına erişebilirsiniz.

Ekibimizden Bünyamin Demir’in yapacağı ‘Güvenli Yazılım Geliştirme Tecrübeleri’ sunumu; 19 Ekim Cuma günü 15:00-15:45 saatleri arasında 1. salonda olacaktır.

Ayrıca Cuma tüm gün boyunca OWASP Türkiye standımızı ziyaret edebilirsiniz.

OWASP/Türkiye Projeleri Web Güvenlik Topluluğu’nun ve katılımcılarının geliştirdiği aktif yazılım ve dokümantasyon projelerini listelemektedir.

Web Güvenlik Topluluğu, şimdiye kadar geliştirdiği projeleri kullanarak ileri taşıyabilecek hem kendi gelişimlerine hem de genel olarak web uygulama güvenliği gelişimine katkıda bulunmak isteyen katılımcılar arıyor!

OWASP/Türkiye Proje sayfasında detayları gösterilen projelere katıkıda bulunmak isteyenler, kendilerini anlatan bir paragraflık bir tanıtma yazısı ile beraber hangi projeye veya projelere katkıda bulunmak istediklerini info@webguvenligi.org adresine e-posta gönderebilirler.

9 Haziran 2012 Cumartesi günü Sultanahmet’te düzenlediğimiz Uygulama Güvenliği Günü etkinliği esnasında bize gelen eleştiriler ve sonrasında da yaptığımız mini-anket neticesinde elde ettiğimiz sonuca göre; bundan sonra periyodik olarak OWASP tarafından hazırlanan projelerin tanıtımını yapmaya çalışacağız.

Bu bağlamda yazı dizisinin hazırladığımız ilk bölümünde OWASP projelerinin kategorizasyon mantığını ve projelerin işleyiş sürecine değinmeye çalıştık.

OWASP Projelerini Tanıyalım: OWASP Projelerine Giriş makalesine ve bundan sonra yayınlanacak olan diğer makalelere Belgeler kısmından erişebilirsiniz.

9 Haziran 2012 Cumartesi günü Sultanahmet’te bulunan Marmara Üniversitesi Rektörlük Binası’nda Uygulama Güvenliği Günü etkinliğini gerçekleştirmiş bulunuyoruz.

Öncelikle etkinliğe sponsor olarak destek veren ve katılım gerçekleştiren;

- Avanteg
- Biznet
- Mavituna Security Ltd
- Symturk

firmalarına teşekkür ederiz. Ayrıca etkinlik alanının ayarlanmasında yardımcı olan Siber Güvenlik Derneği‘ne ve ev sahibi olarak bizleri misafir eden Marmara Üniversitesi‘ne, son olarakta etkinlik boyunca yaptığı çekimlerle etkinliğimizi şenlendiren Güvenlik TV ekibine teşekkür ederiz.

Etkinliğe ait sunum dosyaları, fotoğraflar ve Güvenlik TV tarafından yapılan çekimler (1,2) internete aktarılmıştır.

Siz değerli katılımcılarımıza da ayrıca teşekkür eder, başka etkinliklerde görüşmeyi dileriz.

Uygulama Güvenliği Günü, 2012 İstanbul konferansı, ülkemizde yazılım ve uygulama güvenliği ile ilgili popüler ve anahtar konuların aktarılacağı bir ortam sunmayı amaçlamaktadır. Yüzlerce yazılım geliştiricisi, iş sahibi ve bilgi güvenliği profesyonellerinin katılmasının hedeflendiği konferans 9 Haziran 2012, Cumartesi günü gerçekleştirilecektir.

Etkinlik ile ilgili detaylar için, Uygulama Güvenliği Günü web sitesini ziyaret edebilirsiniz.