<< We do not use cross-site scripting | Home | Vatani Görev >>

About

Kuruluş amacı ülkemizde yatırımı düşük olan bilgisayar sektöründe en küçük paya sahip olan Bilgisayar ve Bilgisayar Ağları Güvenliği konusunda biraz daha bilinçli olmamızı sağlamak olan H-Labs Güvenlik Laboratuvarları kurucu.. (Devamı..)

SQL Injection Dersleri

Makaleler

Tool(s)

Magic Quotes Bypassing TooL [Beta]

Archives

2008
Temmuz (1)
Haziran (4)
Mayıs (4)
Nisan (5)
Mart (7)
Şubat (10)
Ocak (10)

2007
Aralık (17)
Kasım (14)
Ekim (11)
Eylül (0)
Ağustos (0)
Temmuz (0)
Haziran (0)
Mayıs (0)
Nisan (1)

Recent Blog Entries

Recent Responses

Re: PHP 6 ve Hızlı Bir Güvenlik İncelemesi
Aslinda cok dogru yakalamissiniz, bu bir makale degil, bir makale icin oldukca eksik ve yetersiz. Zaten onun icin yazinin tag'leri arasinda "makale",&...
Re: PHP 6 ve Hızlı Bir Güvenlik İncelemesi
Bana kalırsa biraz yetersiz/fazla hızlı bir makale olmuş; PHP 6'da güvenlik konusunu ele alırken Hardened PHP patch'i haricindekiler zaten php 5'de tavsiye edilen başlıklar (register globals'i kapalı tutmak, safe mode açmamak) 'da ...
Re: PHP 6 ve Hızlı Bir Güvenlik İncelemesi
Güzel bir Mesut Timur çalışması olmuş =) Safe Mode olayının kaldırılması biraz sakat olmuş, ne olursa olsun bir grup kötü niyetli insalara karşı az da olsa bir güvenlik vaad ediyordu. register_globals ve magic_quotes ...
Re: Web Uygulamalarının En Temel ve Büyük Güvenlik Sorunu
@bedirhan Evet sanirim ben de biraz gaza gelmisim:)
Re: Web Uygulamalarının En Temel ve Büyük Güvenlik Sorunu
"String concatenation" derken (I/O sorununu bi kenara birakirsak) mesela StringBuffer gibi API'lari da isin icine katiyor suphesiz. Sql enjeksiyonu (veyaher turlu enjeksiyon) anlatan makalede cokanlamli duruyor ama yazdigim web ...
Güvenlik programları hakkında
Selamlar ; Güvenlık progranmlarına deginmisken sunuda ben belırteyım ozaman , genel mantıgına baktıgımızda son cıkan piyasada , sizinde telafuz ettiginiz "kasperskay" veyahut "zonealarm" Makınada calısma mantıgını ınceledıgınızde biraz sasırıoruz ...
Re: PHP 6 ve Hızlı Bir Güvenlik İncelemesi
Birkaç yerde yarım yamalak İngilizce metinlere rastlamıştım. Zamanında ve güzel açıklama olmuş teşekkürler.
Re: Shmoocon 2008 Videolar Online
Selamlar ; Eger soyle bildiginiz sinema indircemiz saglam down adresleri varsa onları da paylasın bari :P
Re: USB Diskler ve Güvenlik Problemleri
Merhabalar, Autorun'in tum suruculer icin nasil kapatilacagi icin ingilizce bir kaynak; http://what-is-why.b...
Re: SQLi 101 Lab : Login Panellerini Bypass Etmek
makaleniz guzel.. simdi boyle bi sorgu var $msquery="SELEC...
Re: USB Diskler ve Güvenlik Problemleri
Güsel , Eline Saglık.
Re: Robert Moore Röportajı ve Sistem Yöneticilerinin Sorumsuzluğu
bu kadar tedariksizlik de olmaz ama :P Elinde müthis derece de rainbow table vardır.
DDOS saldırıları
DDOS saldırılarından Nasıl Korunabiliriz . benim öğrenmek istediğim ateş duvarı olmayan host,ng firmaları yada kendi kişisel sitemde ek bir önlem açıklarsanız sevinirim
Re: SQLi 103 Lab : UNION ile Veritabanı Yapısını Öğrenelim
bir ornekte ben vermek isterim U238 rumuzlu arkadasin yazdigina hitaben; -99+union+select+nul...
Re: Ubuntu Linux ve Stabilite Problemleri
Slackware onerebilirim slack hastasi oldugum icin sanirim, gentooda olablir tabii :P
Re: Ubuntu Linux ve Stabilite Problemleri
Eger stabilite ve pratiklik sorunlarindan yakiniyorsan Debian dan iyisi oldugunu sanmiyorum. Dedigin gibi Ubuntu Debian tabanli ama unstable repository kullaniyor dolayisiyla Debian kurarsan ve stable repository de kalirsa daha stable ama bir sisteme ...
Re: Ubuntu Linux ve Stabilite Problemleri
@Uğur Ubuntu' da aslında debian tabanlı bir işletim sistemi.
Re: Ubuntu Linux ve Stabilite Problemleri
Pardus için, şu an itibariyle karşılaşacağım problemler ile ilgili ne kadar destek bulabileceğimi bilemiyorum, biraz da hassas ve şansızım Linux distrolar konusunda, ondan şimdilik pek bulaşmayı düşünm&uum...
Re: İstemci , Sunucu ve Güvenlik
bu konuya dikkat ceken bir yazi yazmistim, o donem gundeme gelen iki zayifligi ornek gostererek. http://blogs.securit...
Re: Ubuntu Linux ve Stabilite Problemleri
Pardus için, şu an itibariyle karşılaşacağım problemler ile ilgili ne kadar destek bulabileceğimi bilemiyorum, biraz da hassas ve şansızım Linux distrolar konusunda, ondan şimdilik pek bulaşmayı düşünm&uum...

Web Güvenliği Farkındalığı Anketi

OWASP-TR / Web Güvenliği Topluluğunun düzenlediği Ankara ve İzmir etkinliklerini sitemizden duyurmuştuk. O etkinliklerde yapılan "Web Güvenliği Farkındalığı" konulu anketin sonuçları açıklanmış. Ankette bir kaç soru sorulmuş; sorulara ve alınan cevaplara göre oluşan yüzdelik dağılımlara şuradan ulaşabilirsiniz.
Anketin bir sorusu insanların XSS, SQL Injection, Parameter Manipulation, CSRF, RFI konularından haberdar olup olmadıklarıydı. Tahmin edeceğiniz üzere haberdar olunma sıraları SQL Injection, RFI, XSS, Parameter Manipulation ve CSRF. "Parameter Manipulation"ının daha genel bir kavram olduğu üzere bir kenara bırakırsak, diğerleri arasındaki sıralama açığı keşfettikten sonra exploit etmek için uğraşı azlığı ya da pratik atak şansı büyüklüğü ile paralel olmuş diyebiliriz.. Zira SQL Injection'i keşfettikten sonrası, sisteme kullanıcı ekleyemiyorsak database'i extract etmeye; RFI'ı keşfettikten sonrası ise sisteme shell yüklememize bakmaktadır. Tabii ki XSS ve CSRF ile de yapılacak çokça şey mümkündür lakin bu kadar hızlı ve pratik şekilde gerçekleşmemektedir.
Aslında yine bu anket etkinlikte yapıldığı için verilerin toplandığı insanlar uzaktan ya da yakından bir şekilde bu işlerle ilgili insanlar. Yani bu sayılar ve yine bu açıkların pratik olarak exploit edilebilme olanakları göz önünde bulundurularak, web uygulamalarında görülen güvenlik açıkları oranı hakkında fikir sahibi olunabilir.

Hemen OWASP TOP 10'da da baz alınan MITRE Vulnerability Trends for 2006 verilerine bakarsak :

XSS :	18.5 %
SQL Injection :	13.6 %
RFI (php-include) :	13.1 %
CSRF :	00.0 %

Aslında daha güncel veriler kullanmak isterdim lakin şu an bulamadım; ayrıca CSRF'in oranının 0 çıkması, 2006 yılı itibariyle pek bilinmemesi sebebiyle olup muhtemelen bu ve önümüzdeki yıllarda çok daha popüler olacaktır.

Sayılar aşağı yukarı bizi destekliyor, ayrıca secunia verilerini de verip blog postumuza son noktayı koyalım :

SQL Injection "Manipulation of data" ve RFI 'da "System access" başlığı altında incelendiği için önermemizin doğruluğunu test etmede pek kullanamayacağız:)

Add a comment

Posted by Mesut TİMUR on 13 Ocak 2008 Pazar 13:41:42 EET#

Add a comment Send a TrackBack

Re: Web Güvenliği Farkındalığı Anketi Comment from Anonymous on 05 Temmuz 2008 Cumartesi 13:19:27 EEST#
Title
Body	HTML : b, strong, i, em, blockquote, br, p, pre, a href="", ul, ol, li, sub, sup
Name
E-mail address
Website
Remember me	Yes No
E-mail addresses are not publicly displayed, so please only leave your e-mail address if you would like to be notified when new comments are added to this blog entry (you can opt-out later).

Web Güvenliği Farkındalığı Anketi

Re: Web Güvenliği Farkındalığı Anketi