Web spider’ları karşılaştırmaya yönelik hazırlanan WIVET projesinin ilk sonuçları aşağıdaki gibidir. WIVET projesinin biraz daha detaylı analiz wiki sayfalarına ve diğer kaynaklarına buradan ulaşabilirsiniz.
| Araç Adı | Versiyon | Kapsama Alanı |
|---|---|---|
| IBM AppScan | 7.7 | %82 |
| Wget | 1.10.2 | %7 |
| w3af | beta 7 | %0 |
| Paros | 3.2.13 | %0 |
| Burp | 1.1 | %0 |
| HP WebInspect | 7.7 | %86 |
| Cenzic HailStorm | 5.7 Core Trial | %25 |
Güvenlik denetimlerinde kimi zaman sadece bir IP adresi veya FQDN verilerek, sunucu üzerindeki uygulamaların güvenlik denetimlerinin gerçekleştirilmesi istenilebilir. Bu çalışma sonucunda genellikle sistem hakkında herhangi bir bilgisi olmayan sıradan kullanıcıların neler yapabileceğinin, ne gibi bilgilere ulaşabileceğinin önceden ortaya çıkarılması hedeflenir.
Uygulama açılış sayfası bulunmayan, sunucu üzerindeki değişik dizinlerde web uygulaması barındıran, uygulamaya erişilecek linkin açıkça ortaya konmadığı sistemlerde güvenlik denetimini tam anlamı ile gerçekleştirebilmek için muhtemel zafiyet içeren linklerin, dizinlerin ve uygulamaların keşfi önem taşımaktadır.
Belgenin devamına buradan ulaşabilirsiniz.
MSALParser, ModSecurity denetim kayıtlarını gerçek zamanlı parse eden ve MySQL veritabanına aktaran bir PHP projesidir. Bir RPC arka-uç veya servisi olarak düşünülebilecek MSALParser’ın grafiksel açıklamasına burdan ulaşabilirsiniz.
MSALParser, proje sayfasına buradan ulaşabilir ve projenin ilk versiyonunu buradan indirebilirsiniz
Bu doküman SSL’ in web ve masaüstü uygulamalarında kullanımının güvenliğine değinmektedir ve SSL/TLS ile ilgili kriptografik sorunlar bu dokümanın dışındadır. Doküman soru-cevap formatında yazıldı, özellikle yazılım geliştiren kişilerin ve güvenlik ile ilgili kişilerin ilgisini çekebilir.
Aşağıdaki listenin bir çoğu SSL kullanan yazılımlarda yapılan genel hatalardır. Burada yapılan önerilerin bir çoğu özellikle e-bankacılık, e-ticaret gibi kritik uygulamalar önemlidir.
Dokümanın geri kalanı için tıklayınız.
Çeviri Projesine dört yeni “OWASP Testing Guide 2″ belgeleri eklenmiştir.
Taygun Alban, Türker Gülüm ve Kadir Avcı’ya teşekkürler.
13 kişilik bir katılımla İstanbul/Taksim’de 18 Ekim buluşmamızı gerçekleştirdik. Katılan herkese teşekkürler. Buluşmada OWASP-TR ve WGT‘nin bugünü ve geleceği konuşuldu ve bir OWASP SoC 2008 projesi SqliBench anlatıldı, ayrıca temel bir ClickJacking demosunun yanında katılanlara 28 adet OWASP kitabı dağıtıldı.
Buluşmada çekilen fotoğraflara buradan ulaşabilirsiniz.
18 Ekim Cumartesi günü saat 14:00′de İstanbul’da buluşuyoruz. Web/yazılım güvenliği ile ilgilenen herkes davetlidir.
Güncel web ve yazılım güvenliği konularının konuşulacağı (ve tabi ki geyiklerin döneceği) bu buluşmayı İstiklal Caddesi Taksim’de yapacağız. Girişte bir problem çıkmaması adına isim listesini belirlemek için lütfen bana bir e-posta atın; urgunb at hotmail.com
| Adres: | İstiklal Cad.Emir Nevruz Sok. No: 1/11 Galatasaray Beyoğlu |
| Yer: | Turkcell Akademi Binası 1. Kat A Sınıfı |
| Tarih: | 18 Ekim 2008 Cumartesi, 14:00 |
| E-Posta: | urgunb at hotmail.com |
Buluşmada kounşulacak temel maddeleri bulabileceğiniz ajandaya buradan ulaşabilirsiniz.
Ayrıca buluşmaya gelenlere, OWASP’ın 2008 bahar ayında en aktif chapter’lara gönderdiği kitaplar/kalemler dağıtılacaktır;
NSecureImage, SecureImage ve JSecureImage projelerinin temel bir dotNET portudur. Projenin örnek kullanımına kaynak kodundaki test sınıflarından ulaşabilirsiniz.
Artık PHP, dotNET ve Java portlarımız olduğuna göre (diğer portlar da kabulümüz; Ruby, Python, v.b.), şimdi projelerin sahipleri sorumluluğunda bunları ilgili OWASP ESAPI projelerine entegre etmeye çalışmanın vakti gelmiştir; ESAPI-Java, ESAPI-dotNET ve ESAPI-PHP.
NSecureImage projesi Kerem Küsmezer tarafından yazılmıştır.
JSecureImage, SecureImage projesinin temel bir Java portudur. (muhtemelen ClassLoader uygulamaları hariç) Java uygulamalarında LFI açıklığı olmadığından, bu versiyon Image I/O API’ını kullanarak sadece grafik doğruluğunu gerçekleştirmektedir.
IE’de bulunan otomatik MIME tipi algılaması nedeniyle oluşabilecek zayıflık bazı durumlarda Depolanmış XSS açıklık vektörüne yol açabilmektedir. Mesela bir CMS uygulamasında, saldırgan kullanıcının kendi profiline XSS payload’u içeren resmi eklemesi ve sonra, normal olması gereken resmin neden gözükmediğini anlamaya çalışan bir site yöneticisinin resim dosyasını yönetim arayüzündeki linki kullanarak IE tarayıcısında açması).
Bu nedenle grafiklerin doğruluğu konusu Java teknolojisinde de hafife alınmamalıdır. Kütüphanenin örnek bir kullanımı için tıklayın.
WIVET (Web Input Vector Extractor Teaser) genellikle Web uygulama açıklık tarayıcılarının bir parçası olan ve Web Spider/Crawler diye adlandırılan link çıkarıcılarını istatiksel ve teknik açıdan analiz eden bir uygulamadır.
Olabildiğince iyi sonuçlar çıkaran bir açıklık tarama için bu faz (spidering), tarayıcılar için çok önemlidir. WIVET, bu Web spider’ları karşılaştırmaya yönelik bir projedir. İçinde (uçuk da sayılabilecek şekillerde) get/post girdi vektörleri barındıran WIVET, tarayıcıların bu linkleri otomatik olarak bulmasını bekler. Bulma ve çıkarma işlemi sırasında ve sonucunda kapsama alanını (coverage) canlı bir şekilde gösterir.
Örnek bir WIVET kurulumuna buradan ulaşabilir ve favori açıklık tarayıcınızı üzerinde deneyebilirsiniz. Ama mümkünse sadece spider özelliğini açarak! :)