Bu versiyondaki en önemli değişiklik; modern, kanıta dayalı ve gelişmiş kimlik doğrulama kontrollerini getiren NIST 800-63-3 Dijital Kimlik Kılavuzlarının benimsenmesidir. Gelişmiş bir kimlik doğrulama standardı ile uyum konusunda bir miktar olumsuz geri dönüş beklememize rağmen, standartların saygın bir başka uygulama güvenlik standardı ile uyumlu hale getirilmesinin gerekli olduğunu düşünüyoruz.

Bilgi güvenliği standartları konusunda gerekliliklerin sayısı en aza indirmeye çalışmalıdır, böylece kuruluşlar tutarsız olabilen veya kendi yapılarına uygun olmayan kontrollere karar vermek zorunda kalmazlar. OWASP Top 10 2017 ve şimdi OWASP Uygulama Güvenliği Doğrulama Standardı (ASVS) kimlik doğrulama ve oturum yönetimi için NIST 800-63 ile uyumlu hale geldi. Güvenliği en üst düzeye çıkarmak ve uyumluluk maliyetlerini en aza indirmek için diğer standart belirleyen kurumların bizimle, NIST ve diğerleriyle birlikte çalışmasını teşvik ediyoruz.

ASVS v4.0 Türkçe – PDF

OWASP Uygulama Güvenliği Doğrulama Standardı(ASVS)’nin asıl amacı, web uygulama güvenliği doğrulama prosedürlerinin uygulanması/gerçekleştirilmesi esnasında ortaya çıkan zorlukların/eksiklerin giderilmesi ve doğrulama kapsamının en iyi seviyede standart hale getirilmesidir.

ASVS standartları, uygulamaların temel teknik güvenlik kontrollerinin yerine getirilmesine yardımcı olmayı amaçlarken aynı zamanda Siteler Arası Betik Çalıştırma(XSS) ve SQL Enjeksiyonu gibi kritik zafiyetlere karşı da bir koruma sağlamayı amaçlamaktadır.  Bu standartlar, web uygulamaları güvenliğinde kabul edilebilir bir güven seviyesi oluşturmak için kullanılabilir.

ASVS v3.0.1 Türkçe – PDF

OWASP Türkiye topluluğu tarafından, 31 Mayıs 2017 tarihinde İstanbul Şehir Üniversitesi‘nde beşincisi düzenlenecek “Uygulama Güvenliği Günü” ülkemizde uygulama güvenliği ile ilgili popüler ve anahtar konuların aktarılacağı bir ortam sunmayı amaçlamaktadır. Bu etkinliğe yazılım geliştiricilerinin, bilgi güvenliği profesyonellerinin ve akademisyenlerin katılması hedeflenmektedir. “Uygulama Güvenliği Günü” kapsamında bilgi güvenliği araştırmacıları çalışmalarını ve tecrübelerini paylaşma imkanına sahip olacaklardır.

Etkinlikte sunum yapmak isteyenlerin çalışmalarını anlatan dokümanı kısa öz geçmişleri ile birlikte 12 Mayıs 2017 tarihine kadar appsectr[at]webguvenligi.org adresine e-posta ile ulaştırmaları gerekmektedir. Gönderilecek dokümanlar PDF formatında olmalı ve sunum içeriğini detaylı şekilde anlatmalıdır.

Konferansta yer alacak sunumlar program komitesinin değerlendirmesi sonucunda belirlenecektir. Etkinlik ile alakalı tüm sorularınız için twitter üzerinden veya appsectr[at]webguvenligi.org adresine e-posta göndererek bizimle iletişime geçebilirsiniz.

Sunum Çağırısı Dokümanı’na bu adresten erişebilirsiniz.

Reflected File Download zafiyeti 2014 yılında Oren Hafif tarafından keşfedilen ve isimlendirilen web tabanlı bir zafiyet türüdür. Bu zafiyet 2014 yılında düzenlenen BlackHat Europe etkinliğinde “Reflected File Download a New Web Attack Vector” sunumu ile tanıtılmıştır. Bu yazıda

  • Zafiyetin etkisi
  • Zafiyetin oluşması için gereksinimler
  • Manuel analiz teknikleri ile zafiyetin keşfi
  • Zafiyetin giderilmesi
  • Enforsec sızma testi ekibi olarak geliştirdiğimiz Burp Plugin aracılığı ile keşfi

konu alınacaktır.

İlgili yazıya buradan erişebilirsiniz. Ayrıca plugin kodlarını github üzerinden edinebilirsiniz.

OWASP Türkiye ekibi olarak 2016 yılının son buluşmasını (chapter meeting) 27 Aralık 2016 tarihinde gerçekleştiriyoruz.

Bu etkinlikle, uygulama güvenliğine ilgisi olan katılımcılar, güvenlik uzmanları ile bir araya gelme fırsatını yakalayacaklar. Ana konusu “Reflected File Download” zafiyeti olup, diğer uygulama güvenliği konularına da değinilecektir.

Buluşmamıza bilişim ve İnternet güvenliğine meraklı olan herkesi bekliyoruz.

Koşuyolu Parkı yanı Starbucks’ta, 27 Aralık 2016 – 19:30 tarihinde görüşmek üzere.

Linux Kullanıcıları Derneği’nin İstanbul Bilgi Üniversitesi’nin ev sahipliğinde düzenlediği Özgür Yazılım ve Linux Günleri 2016, 26-27 Mart’ta Santralİstanbul’da yapılacak.

Biz de bu sene Uygulama Güvenliği Günü etkinliğimizi Özgür Yazılım Günleri 2016 çerçevesinde 26 Mart 2016 Cumartesi günü gerçekleştiriyor olacağız.

Uygulama Güvenliği Günü 2016 ve Özgür Yazılım Günleri 2016 ile ilgili detaylara etkinlik sayfalarından ulaşabilirsiniz.

OWASP Uygulama Güvenliği Doğrulama Standardı(ASVS)’nin asıl amacı, web uygulama güvenliği doğrulama prosedürlerinin uygulanması/gerçekleştirilmesi esnasında ortaya çıkan zorlukların/eksiklerin giderilmesi ve doğrulama kapsamının en iyi seviyede standart hale getirilmesidir.

ASVS standartları, uygulamaların temel teknik güvenlik kontrollerinin yerine getirilmesine yardımcı olmayı amaçlarken aynı zamanda Siteler Arası Betik Çalıştırma(XSS) ve SQL Enjeksiyonu gibi kritik zafiyetlere karşı da bir koruma sağlamayı amaçlamaktadır.  Bu standartlar, web uygulamaları güvenliğinde kabul edilebilir bir güven seviyesi oluşturmak için kullanılabilir.

ASVS v2 Turkce – PDF

ASVS v2 Turkce – Excel

OWASP Türkiye Topluluğu tarafından düzenlenen Mobil Güvenlik Çalıştayı 2015, ülkemizde mobil cihaz ve uygulama güvenligi ile ilgili popüler ve anahtar konuların aktarılacağı bir ortam sunmayı amaçlamaktadır.

14 Ekim Çarşamba günü, AVEA Labs ve Türk Telekom sponsorluğunda gerçekleştirilecek olan etkinlik için sunum çağrısı yayınlanmıştır. Sunumların belli olmasıyla beraber 6 Ekim tarihinde etkinlik kayıtları açılacak olup, owasptr Twitter hesabından detaylar duyurulacaktır.

İletişim ve sorularınız için twitter üzerinden veya [email protected] adresine e-posta göndererek bizimle iletişime geçebilirsiniz.

OWASP Turkey Chapter is organizing a Mobile Security Workshop that will bring mobile software developers, mobile security professionals and academics together. The workshop will provide a common platform to share ideas and discuss latest developments in the security field of mobile devices and mobile applications.

The workshop sponsored by AVEA R&D Labs and Türk Telekom Group will take place on 14th October. You can find the Call for Presentation in this link. The attendance registration will be open from 6th October.

Further details can be followed via our webpage and Twitter account. For your questions, please contact with us via [email protected]

1.sini 2013 yılında KKTC Bayındırlık ve Ulaştırma Bakanı Sn. Hamza Ersan Saner ve BTHK başkanı Cüneyt Çerkez’in katılımıyla düzenlenen CypSec’13, 2014 yılında Ulaştırma Bakanlığı Müsteşarı ve BTHK Başkanı katılımı ile 2. defa düzenlenmiş olup, 2015 yılında da 3.sü yapılıyor.

15-17 Nisan tarihleri arasında Girne Amerikan Üniversitesinde gerçekleşecek olan CypSec ’15 konferansına OWASP Türkiye ekibinden Bünyamin Demir’de “10 Adımda Yazılım Güvenliği” sunumu ile katılacaktır.

Etkinlik ile ilgi detayları etkinlik web sitesinden görebilirsiniz.

Yavru vatanda görüşmek üzere !

Categories