<< Güvenlik ve Paranoya | Home | Bruce Schneier vs Marcus Ranum >>

About

Kuruluş amacı ülkemizde yatırımı düşük olan bilgisayar sektöründe en küçük paya sahip olan Bilgisayar ve Bilgisayar Ağları Güvenliği konusunda biraz daha bilinçli olmamızı sağlamak olan H-Labs Güvenlik Laboratuvarları kurucu.. (Devamı..)

SQL Injection Dersleri

Makaleler

Tool(s)

Magic Quotes Bypassing TooL [Beta]

Archives

2009 January (1)	2008 December (7) November (8) October (5) September (0) August (16) July (3) June (4) May (4) April (5) March (7) February (10) January (10)
2007 December (16) November (14) October (11) September (0) August (0) July (0) June (0) May (0) April (1)

Recent Blog Entries

Hikayi Güvenlik - I : Doğunun Parisi
Aklımda hep güvenlik ile ilgili olarak doğrudan teknoloji içermeyen hikayeler yazmak vardı, lakin bir yakınımdan duyduğum olay sonrasında direk bunu yayınlayabileceğimi düşünd&uum...
Mutlu Yıllar
Geçtiğimiz yılın yine son gününde yine sol tarafta gördüğ...
Check Point, Nokia Security Appliance Ailesini Satın Aldı
Aslında uzun süredir böyle bir haber bekliyordum, daha doğrusu biraz daha farklı olacağını tahmin etmiştim. Yıllar boyunca Check Point' ten ekmek yiyen Nokia For Business grubu üyelerinden Nokia Security ...
DirBuster ile Klasör Keşfi
Yakin zamana kadar pen-testlerde wfuzz’u kullanıyordum ki, onu kullanmamın tek sebebi seksi bir konsol çıktısı sunmasıydı. DirBuster’i da biliyordum fakat hiç denememiştim. Genelde DirBuster’ın database’ini ...
Web Güvenliği Günleri - Kocaeli
23 Aralık’ta Kocaeli Üniversitesinde Web Güvenliği Günü düzenliyoruz. Ben de Grafik Manipülasyonu Atakları ile ilgili bir sunum yapacağım. Herkesi bekleriz. Kayıt WebGuvenligi.org Duyuru Etkinlik yeri – krokisi - ...
MD5 Cracking : BarsWF
Bazı yazılımlar, yayınlandıkları andan itibaren alanının vazgeçilmezi olur ve tüm dünyaca kullanılır, mesela nmap bunun en güzel örneği. BarsWF de MD5 Cracking konusunda alanının lideri. Diğer muadili yazılımlar ile ...
Web Application Hacker’s Handbook
Kitap 2007'nin sonlarına doğru çıktı ve ancak bir yıl sonra okuma fırsatı bulabildim. Kitap olabildiğince uzun, 800'e yakın sayfaya varıyor. Yazarları ise NGS ekibinden ve yazarlarından biri popüler web hacking araçlarından Burp Suite ...
Bir Varmış Bir Yokmuş
2000'li yılların başlarında başladığım güvenlik macerasında şu an itibariyle geldiğim yeri düşünü...
McAfee Acquires Secure Computing
Actually it's a late new that pressed on November 17.Computer Security leader McAfee pay $5,75 Secure Computing for each common share and in total $462 million. Secure Computing have quality products in enterprise security line like ...
Scanning Local Networks with Full Socket Connection XSS-Proxies
I see local IPs of some DNS servers when zone transfer is enabled or just querying a domain name that I have already seen at the web site. This means that this web sites can only be seen from the internal network. With the power of XSS, you can ...

Recent Responses

Re: Hikayi Güvenlik - I : Doğunun Parisi
Selam; Hmm, dizi enteresanmis. Ben hic TV dizi vs. seyretmeyen bir insanim, ama konusu ilgimi cekti. Bir yerlerden bulup izlemeye calisayim, bahsettigin icin tesekkurler.
Re: Hikayi Güvenlik - I : Doğunun Parisi
Mesut selam, Anlattığın hikaye oldukça ilgi çekici. Ben de bir zamanlar hapishanedeki suçlulara bir miktar bilgisayar öğretilse, en azından temel kavramlar, çok değişik saldırı tekniklari çıkabileceğin...
Re: Web Güvenliği Günleri - Kocaeli
Web Güvenliği günleri başta olmak üzere birçok güvenlik seminerinde bulunmak istememe rağmen askerlik görevimden dolayı uzaktan takip etmekteyim, takım arkadaşım Mesut'un ancak slaytını indirip inceledim ve çok başarılı geçtiğini gördüm,umarım bir ...
Re: Web Güvenliği Günleri - Kocaeli
Genel olarak 1 adet web teknolojileri, 2 adet uygulama guvenligi ve 1 adet de yapilandirma ile ilgili sunum olacak. Yani agirlikli olarak uygulama guvenligi oldugu soylenebilir. Bir zincirin dayanikliliginin en zayif halkasinin dayanikliligi kadar oldugu ...
Re: Web Güvenliği Günleri - Kocaeli
Seminer ağırlıklı olarak uygulama güvenliği mi yoksa sunucu güvenliği yapılandırma ile mi ilgili olacak?
Re: MD5 Cracking : BarsWF
uzun text ve o textlerde kullanacagın karakterler de onemlı. bu arada "friendfeed&quo...
Re: MD5 Cracking : BarsWF
Selam Uğur; 8 karakterin üzerindeki textlerin saklanması hayvani veri kapliyor (2^64 farklı girdi, * 32 byte (hash) + *8 byte(girdi) ). Bunu da hesaplarsan bayagi bir gb yapiyor. O açıdan uzun textler hala güvende .. Surada Ferruh ile ...
Re: MD5 Cracking : BarsWF
" tabi hash'iniz rainbow-table'larda yer almıyorsa." Pek imkanı yok gibi.Rainbow Table hash alogaritmalarını kırabilen , hatta matematik kurallarını alt ust eden bir yontemdır. RBT ile md5 kırmak , sadece elindeki RBT mıktarı ile ...
Re: SQLi 102 : Union İle Temel Veri Okuma
Öncelikle cidden yararlı bir makalı olmuş artı kaynak çok anlaşılır. Eline koluna sağlık.
Re: Bir Varmış Bir Yokmuş
Böyle bir posttan sonra duygulanmamak elde değil gerçekten çocukluk yıllarımı desem lamerlık dönemlerimi desem bilmiyorum, ancak şu anda eli yüzü düzgün güvenlik dünyasının kişileri olarak hepimizin geçtiği yollar,her bir aşama kayıt edip üst seviyeye ...

Web Uygulamalarının En Temel ve Büyük Güvenlik Sorunu

SDL okumayı en çok sevdiğim bloglardan biridir. Orada okuduğum bir blogdan alıntı yapmak istedim.

"In my opinion, any use of string concatenation in a Web application is a high-priority bug".

Tags : web-uygulamasi-guvenligi

Responses[2]

Posted by Mesut TİMUR on May 17, 2008 9:54:41 AM EEST#

Re: Web Uygulamalarının En Temel ve Büyük Güvenlik Sorunu

Comment from bedirhan on June 18, 2008 11:29:34 AM EEST#

"String concatenation" derken (I/O sorununu bi kenara birakirsak) mesela StringBuffer gibi API'lari da isin icine katiyor suphesiz.

Sql enjeksiyonu (veya her turlu enjeksiyon) anlatan makalede cok anlamli duruyor ama yazdigim web uygulamalarinda, kayit tutma, hata yonetimi ve diger complex string olusturma islemlerinde concatenation kullanmam gerekiyor.

Mayıs 2008
Pzt	Sal	Çar	Per	Cum	Cmt	Paz
			1	2	3	4
5	6	7	8	9	10	11
12	13	14	15	16	17	18
19	20	21	22	23	24	25
26	27	28	29	30	31
Nis \| Today \| Haz

Re: Web Uygulamalarının En Temel ve Büyük Güvenlik Sorunu Comment from Anonymous on January 6, 2009 2:01:03 PM EET#
Title
Body	HTML : b, strong, i, em, blockquote, br, p, pre, a href="", ul, ol, li, sub, sup
Name
E-mail address
Website
Remember me	Yes No
E-mail addresses are not publicly displayed, so please only leave your e-mail address if you would like to be notified when new comments are added to this blog entry (you can opt-out later).