Linux Kullanıcıları Derneği (LKD), TOBB Ekonomi ve Teknoloji Üniversitesi tarafından düzenlenen 2. Özgür Yazılım Konferansı’nda Mesut Timur‘un verdiği sunuma ve gönderdiğimiz bildiriye aşağıdan ulaşabilirsiniz.
| Doküman | Sahibi |
|---|---|
| OWASP-TR ve WGT | Mesut Timur, Bünyamin Demir |
| Web Güvenliği ve Özgür Yazılım - Bildiri | Bedirhan Urgun |
Linux Kullanıcıları Derneği‘nin, TOBB Ekonomi ve Teknoloji Üniversitesi’nin katkıları ile düzenlediği 2. Özgür Yazılım Konferansı’na gönderdiğimiz “Web Güvenliği ve Özgür Yazılım” adlı bildiriyi Mesut Timur Ankara’da sunacak.
20-30 dakikalık sunumda OWASP-TR ve WGT’nin 2007 yılı ortasından bu yana yaptığı işler, projeler ve ileriye dönük planlar anlatılacak. Ücretsiz olan bu etkinliğe herkes davetlidir.
Her gün Modsecurity loglarını incelemeniz gerekiyorsa ve modconsole kullanmıyorsanız (kullanamıyorsanız) Jarvinen tam size göre bir uygulama.
Unix sistemlerinde Modsecurity web uygulama güvenlik duvarı kullananlar için web tabanlı log analiz uygulaması olan Jarvinen iki kısımdan oluşuyor. İlk kısmı “Serial” olarak üretilen logları MySQL veritabanına aktaran bir shell script. İkinci kısım bu veritabanından log bilgilerini okuyan bir PHP web uygulaması.
NOT: Şu an sadece ilk parçasını (audit log to db dumper) yayınladığımız Jarvinen’in ikinci parçasını (web uygulaması) çok yakın bir zamanda yayınlayacağız.
Eğer Modsecurity kurduğunuz sunucunuz PHP+MySQL ikilisini barındırıyorsa kurulum ve kullanım için extra yapmanız gereken çok az şey var. Detaylar için Jarvinen.
Projenin ilk kısım Gökhan Alkan tarafından yazılmıştır, ikinci kısım Yusuf Çeri tarafından hazırlanmaktadır.
YENİLEME (09.06.2008): Jarvinen’in birinci versiyonu (shell ve web parçaları) tamamlanmıştır. Projeye buradan erişebilirsiniz.
Web güvenligi topluluğu olarak OWASP`a kazandırdığımız WeBekci (tr|en) projesi SoC’2008 e katılmıştır. Bir önceki hızlı sürümüne nazaran daha ağır ve teferruatlı ilerlese bile çok daha esnek ve güzel bir ürün ortaya çıkmasını umuyoruz.
Kısaca yeni özelliklerinden bahsedecek olursak;
(H-Labs‘dan Mesut Timur ile yaptığımız) Otomatize SQL Enjektörleri Analizi başlıklı çalışmamız, bir OWASP Summer of Code projesi olarak kabul edildi.
Şu an yok ama OWASP sitesinde sunulucak bir proje sayfası oluşturacağız. Projenin, Otomatize SQL Enjektörleri Analizi‘nden biraz daha detaylı ve düzenli olmasını bekliyoruz.
Yıldız Teknik Üniversitesi Açık Kaynak Kodu Günü’nde WGT sunumlarına ve fotoğraflarına aşağıdan ulaşabilirsiniz. Bu arada günü düzenleyen ve bizi davet eden YTÜ Bilişim Kulübü bünyesinde çalışmakta olan YTÜLinux Grubu’ndan Hüseyin Oğuz Albayrak’a, Salih Yıldırım’a ve ismini hatırlamadığımız diğer yetkililere teşekkürler!
| Doküman | Sahibi |
|---|---|
| OWASP-TR ve WGT | Bünyamin Demir |
| SQLMap Demo | Yusuf Çeri |
| Fotoğraflar | Bedirhan Urgun |
19 Nisan saat 10:20′de başlayacak olan Yıldız Teknik Üniversitesi Açık Kaynak Kodu Günü çerçevesinde OWASP-TR, Web Güvenlik Topluluğu’nu anlatan bir sunum yapacağız.
Bunun yanında ufak bir video gösterimi ve bir web güvenliği demomuz olacak. İlgilenen herkes davetlidir.
Yenileme: Ulaşım
T.C Başbakanlık Devlet Planlama Teşkilatı (DPT) tarafından yayınlanan “Bilgi Toplumu Stratejisi” adlı çalışmanın 88inci maddesi kapsamında hazırlanan Ulusal Bilgi Güvenliği Kapısı açılmıştır.
10-14 Mart 2008 tarihleri arası planladığımız SQL Enjektörleri Analizi projesini, test yatağında kullandığımız veritabanları kullanıcı isim/sürüm bilgileri ve performans karşılaştırması tabloları ile bitiriyoruz.
Bu raporların yanısıra bu araçlarda kullanılan arama algoritması ve muhtemel bir iyileştirme hakkında yazdığımız raporu da yayınlıyoruz (şimdilik sadece İngilizce).
Raporlara aşağıdaki linklerden ulaiabilirsiniz;
1. Veritabanları kullanıcı isim/sürüm bilgileri
2. Performans karşılaştırması
3. Sql enjektörleri arama algoritması üzerine
Haftayı Sqlmap analizi ile kapatıyoruz. Bernardo Damele tarafından yazılan sqlmap gerçekten etkileyici. Veri dökme kapasitesi çok iyi ve kodu çok temiz. Union enjeksiyonları desteklemesinin yanında bir çok ilgi çekici özelliği var. Şu an 0.6’sı yazılan sqlmap’in klasik Binary Search Tree yerine B-Tree mantığını ortaya atan “mappable blind sql injection” gibi bir kaç yeni tekniği de gerçeklemesini bekliyoruz.
Analiz raporuna buradan ulaşabilirsiniz.