29 Mart 2015

CISSP Domain Güncelleme

CISSP sınavı, (ISC)² tarafından düzenlenen, bilgi güvenliği sektörünün en geçerli sertifikasyonlarından bir tanesidir. Sertifikayı almaya hak kazanmak için ilgili sınavda başarılı olmanın yanında, gerekli iş tecrübesine sahip olunması ve etik kurallara riayet edilmesi gerekmektedir. 15 Nisan 2015 tarihinden itibaren geçerli olmak üzere, sınav konularında güncellemeye gidilmiştir. Bu makalemizde güncellenen başlıklardan söz edilecektir.

21 Mart 2015

Reverse Tünel ile Kurum Ağına Dışarıdan Sızmak

Reverse SSH

Kurum ağında bulunan bir bilgisayara uzaktan bağlantı kurmak istediğimizde, normalde kurum firewall’undan ilgili port yönlendirme ayarı yapılmadan ve gerekli izinler verilmeden, dışarıdan bu türlü bir bağlantı kurmak mümkün değildir.

16 Mart 2015

BTRisk Mobil Uygulama Denetimi Eğitimi

android, ios, mobil uygulama pentest,btrisk,btriskokulu,mobil uygulama güvenlik eğitimi


Mobil Uygulama Denetimi Eğitimi, katılımcıların mobil uygulamalarla ilgili statik ve dinamik analiz yapabilmelerini ve istemci tarafında oluşabilecek açıklıkları tespit edebilmelerini hedeflemektedir. Eğitim kapsamı iOS ve Android cihaz uygulamalarına odaklıdır.

Eğitim içeriği ve detayları için tıklayınız.

Bilgi almak için tıklayınız.
















CSRF Token Kullanan Uygulamalara Fuzzing Testi Nasıl Yapılır?

Sızma testleri sırasında uyguladığımız adımlardan bir tanesi olan Fuzzing testleri sırasında karşılaştığımız engellemelerden bir tanesi, CSRF açıklıklarına karşı bir önlem olarak uygulamalara eklenen CSRF Token’larıdır. Bu tokenlar, girdi noktalarına gönderdiğimiz XSS payload’u, SQL Injection payload’u gibi özel olarak hazırlanmış girdilerin, otomatize bir şekilde sunucuya gönderilmesi konusunda sizi zorlayabilir; tabi eğer bu makaleyi okumadıysanız.

08 Mart 2015

Web Uygulama Denetimi - Bölüm-15: SMTP Enjeksiyonu

Çoğu uygulama veya web sitesi kullanıcılarına sistem yöneticilerine, destek personeline mesaj atma imkanı sunar. Bu imkan genellikle bir eposta sunucusu vasıtasıyla sağlanır. Kullanıcı bilgileri ve mesajı SMTP mesajı haline çevrilir. Aşağıda bu fonksiyonaliteye yönelik 2 saldırı yöntemi açıklanmaktadır.

01 Mart 2015

Web Uygulama Denetimi - Bölüm-14: XPATH Sorgularına Enjeksiyon

XML Path Language (XPATH) XML dokümanları içinde sorgu yapmak için kullanılan yorumlanan bir dildir. Web uygulamaları genellikle veri saklamak için XML dosyalarını kullanmasa da konfigürasyon verisi saklama amacıyla kullanılabilir.