Web Güvenlik Topluluğu

Web Güvenliği E-Dergi 6. Sayı (Bir Yaşında)!

Bünyamin Demir — Sun, 29 Aug 2010 22:30:55 +0000

Web güvenliği bilincini arttırmak amacıyla, 2009 Ağustos ayında ilk sayısını yayınladığımız web güvenliği e-dergi`nin 6. sayısını yayınlamış bulunuyoruz. Bu sayede bir yılını dolduran dergimizin ilk yılı vesilesi ile “Web Uygulama Güvenliği Kontrol Listesi 2010” adlı web uygulama güvenliği konulu bir check list yayınlıyoruz.

E-dergi projesinin ilk yılı bir birinden değerli arkadaşlarımızın yazıları ile renk kazandı. Umarım siz değerli okurların da katkısıyla bu zenginlik artarak devam eder.

Tüm geri bildirim yapan okurlarımıza ve dergi hazırlanışında emeği geçen herkese ve yardımcılara teşekkür ederiz.

İlgili Yazılar:

No Related Post

Web Uygulama Güvenliği Kontrol Listesi 2010

Bünyamin Demir — Sun, 29 Aug 2010 22:20:46 +0000

OWASP-Türkiye olarak uzun süredir aramızda tartıştığımız ve çevremizden gelen talepler sonucu, günümüzde yaygın olarak kullanılan güvenlik kontrol listeleri bakış açısıyla aynı paralellikte bir kontrol listesi de web uygulama güvenliği alanında çıkarmaya karar verdik.

Web uygulama güvenliği kontrol listesi 2010, OWASP-Türkiye ve Web Güvenliği Topluluğu tarafından güvenli web uygulamalarında aktif olması gereken denetim adımlarını içeren bir dokümantasyon projesidir. Bu proje her yıl yenilerek aktif yaşamına devam edecektir. Web uygulama güvenliği konusunda çalışan profesyonellerin tecrübeleriyle hazırlanmış olan bu döküman, uygulama geliştiricilerden, yöneticilere kadar web uygulama güvenliğinde nelere dikkat edilmesi ve nelerin kontrol edilmesi gerekliliği hakkında özet ama kapsamlı bilgi içerecektir.

Projedeki her kontrole dört nitelik atanmıştır; kategoriler, sorumlular, etkiler ve seviye.

Kategoriler yardımıyla ilgili söz konusu zafiyetler sınıflandırılmış olmaktadır.

Sorumlular yardımıyla ilgili zafiyetin hangi birim veya kişiler tarafından ele alınması gerektiği konusuna açıklık getirilmeye çalışılmıştır.

Etkiler yardımıyla, zafiyetin ilgili değerin (asset) güvenliğine ne tür bir etkisi olduğu belirtilmiştir.

Seviye yardımıyla zafiyetlere kritiklik değeri atanmış olup, kontroller listede bu kritiklik seviyesine göre sıralandırılmıştır.

Web uygulama güvenliği kontrol listesi 2010`un hazırlanış aşamasında katkıda bulunanlar;

Bedirhan Urgun [bedirhan.urgun~gmail.com]
Bünyamin Demir [bunyamindemir~gmail.com]
Onur Yılmaz [contact~onuryilmaz.info]
Kubilay Onur Güngör [ko.gungor~gmail.com]
A.Kadir Altan [kadiraltan~hotmail.com]
Volkan Altan [volkanaltan~gmail.com]
Muharrem Aydın [thsunamy~gmail.com]
Canberk Bolat [canberk.bolat~gmail.com]

Web uygulama güvenliği kontrol listesi 2011 için katıda bulunmak isteyenler, web güvenliği topluluğu ile iletişime geçebilir.

İlgili dökümana buradan ulaşabilirsiniz.

İlgili Yazılar:

No Related Post

JSecureImage v2 - Güvenli Resim Upload

Bedirhan Urgun — Thu, 01 Jul 2010 07:49:47 +0000

JSecureImage, java ortamında güvenli resim upload’ı için kullanılabilecek bir kütüphanedir. Upload edilen resimlerin bazi özelliklerini kontrol eden JSecureImage hatalı veya güvensiz resimleri reddeder. Standard Java ImageIO API’ini kullanan JSecureImage, küçük bozuklukları olan bazı resimlerde hatalı sonuç vermekteydi. Bu hatayı kütüphanenin kullanıldığı işletim sisteminde JDK üzerine JAI ImageIO kütüphanesini kurarak çözebilirsiniz.

https://jai-imageio.dev.java.net/binary-builds.html#Release_builds

Ayrica yeni JSecureImage kütüphanesini indirip resim dosya upload özelliği bulunan kendi J2EE web uygulamanızı da güvenli hale getirebilirsiniz.

İlgili Yazılar:

Yeni Bir Teknik - BSQLi Optimizasyonu

Bedirhan Urgun — Mon, 07 Jun 2010 05:38:45 +0000

Teknik, blind sql injection saldırılarında tek bir karakteri minimum istek ile elde etmek için yeni bir optimizasyondur. Zaman tabanlı kör sql enjeksiyonlarına getirdiği yeni soluk MOD fonksiyonu ile bekleme zamanını düşürmektir.

Canberk Bolat (canberk.bolat[-AT-]gmail[-DOT-]com)’ın geliştirdiği ve MySQL için tecrübe ettiği yol kullandığı fonksiyonlar itibarı ile diğer veritabanları için de gerçeklenebilir.

Doküman	Tipi
2 İstekte MySQL Blind SQL Injection	PDF
2 İstekte MySQL Blind SQL Injection	ODT
Proof of Concept	PNG

İlgili Yazılar:

OWASP-TR Sahaya İniyor

Bünyamin Demir — Tue, 25 May 2010 10:34:42 +0000

Web güvenliği topluluğunun II. halısaha organizasyonunu gelen yoğun talep üzerine bu hafta yapıyor olacağız. Web güvenliği ile alakalı tüm futbol tutkunlarını bekliyoruz.

29 Mayıs Cumartesi, saat 19:00′da Anadolu yakasında Ünalan’daki Şampiyon Spor Kompleksi.

İlgili Yazılar:

No Related Post

Etik Saldır, Kitap Kazan - CTF v2

Onur Yılmaz — Wed, 19 May 2010 20:13:29 +0000

Etik Saldır, Kitap Kazan - CTF serisinin ikincisiyle karşınızdayız. http://ctf.webguvenligi.org adresindeki login ekranında bulunan ve bilinçli olarak hazırlanmış zafiyeti kullanarak, CTF uygulamasının kullandığı veritabanının ‘veritabanı ismini’ ele geçirerek ilgi alana yazmanız ve bir şifreye ulaşmanız gerekmektedir.

İlgili aşamayı geçtikten sonra ulaşacağınız şifreyi dergi{at}webguvenligi{dot}org adresine gönderen ilk iki kişiye hediye olarak iki bilgi güvenliği ile ilgili kitap gönderilecektir.

Ayrıca başarılı bir şekilde şifreyi gönderen ilk kişi dergi.webguvenligi.org‘un gelecek ayki sayısında isterse çözümünü anlatıp, yayınlayabileceği bir yazı yazabilecektir.

WGT ekibinden Onur Yılmaz’ın hazırladığı yarışma sayfasına aşağıdaki adresten ulaşabilirsiniz.

YENİLEME 23 Mayıs: Kodu ileten ilk iki arkadaşımız, Canberk Bolat ve Mehmet Emin Muratoğlu hediye kitapları kazandılar.

http://ctf.webguvenligi.org/

İlgili Yazılar:

No Related Post

Web Güvenliği E-Dergi 5. Sayı

Onur Yılmaz — Wed, 19 May 2010 20:07:38 +0000

Web güvenliği bilincini arttırmak amacıyla, 2009 Ağustos ayında ilk sayısını yayınladığımız web güvenliği e-dergi`nin 5. sayısına e-dergi üzerinden ulaşabilirsiniz.

Tüm geri bildirim yapan okurlarımıza ve dergi hazırlanışında emeği geçen herkese ve yardımcılara teşekkür ederiz.

İlgili Yazılar:

No Related Post

Piknik - Java Uygulama Geliştiriciniz Kızarsa

Bedirhan Urgun — Mon, 17 May 2010 11:38:01 +0000

Piknik, bir Java web uygulama geliştiricisinin yazdığı kod içerisinde analize dayanıklı kötü amaçlı dinamik arka kapılar bırakma yollarının örneklemelerine yönelik bir araştırmadır.

Encoder: java kod parçalarının \uxxxx unicode kodlama & kod çözme işlemleri
Dumper: Upload edilen bir java sınıfının Base64 kodlaması
Loader: Base64 kodlanmış bir java sınıfının dinamik olarak load edilmesi
Unicode: Unicode kodlanmış basit bir jsp arka kapısı
Compile: Java sınıf kaynak kodunun dinamik olarak derlenip yüklenmesi
Analyze: Upload edilen bir java sınıfının temel bir Byte Code Analizi

Çalışma Jeff Williams’ın araştırmasından esinlenmiştir. Ve geliştirilmeye açıktır. Piknik’i İzleyin!

İlgili Yazılar:

Cyber Security Concept, Cyber Wars and a New Milieu

Bünyamin Demir — Sun, 07 Mar 2010 22:25:26 +0000

Işık Üniversitesi Şile Kampüsü, Bilişim Günlerin de ve Bahçeşehir Üniversitesi Beşiktaş Kampüsü’nde Kubilay Onur Güngör tarafından verilecek Cyber Security Concept, Cyber Wars and a New Milieu başlıklı seminerin anahtar kelimeleri ise “OWASP ve OWASP-TR tanıtımı, dijital investigation demosu, yeni kültürel ve sosyal alan internet, siber yaşamda güvenlik ihtiyacı, ethical hacking, kriminal davranışları inceleyen teoriler, siber dünyada organize suçlar, siber tehditler, siber terör, siber savaşlar ve yeni dünya düzenine hazırlanmamız için yapılması gerekenler.” olacaktır. Detayları aşağıda bulabilirsiniz;

Yer: Işık Üniversitesi, Şile Kampüsü
Kayıt: http://bilisimgunleri.isikun.edu.tr
Tarih: 8 Mart 2010 Pazartesi
Zaman: 15.00 - 16.00

Yer: Bahçeşehir Üniversitesi, Beşiktaş Kampüsü, D-404 Salonu
Tarih: 10 Mart 2010 Çarşamba
Zaman: 18.30 – 19.30

İlgili Yazılar:

No Related Post

23 Şubat Etkinliği Ardından

Bünyamin Demir — Mon, 01 Mar 2010 20:40:28 +0000

OISF grubundan arkadaşlarımızın katılımıyla yaptığımız etkinliğe katkı sağlayan tüm değerli katılımcılara teşekkür ederiz. Bu hoş ve eğlenceli etkinlik sonrası pizza sponsorluğumuzu yapan www.guvenlikegitimleri.com da ayrıca teşekkür ederiz.

Konuşmacı	Sunum
Brian Rectanus	ModSecurity
Victor Julien / Will Metcalf	Suricata/OISF
	Fotoğraflar

Konuşmacı	Video
Brian Rectanus	ModSecurity
Victor Julien / Will Metcalf	Suricata/OISF
Bedirhan Urgun	Eğlence

İlgili Yazılar:

No Related Post