29 Kasım 2015

22 Kasım 2015

15 Kasım 2015

Android SSL Pinning (Certificate Pinning) Hakkında Herşey - Bölüm 1

Güvenlikçiler olarak SSL pinning bizi iki açıdan ilgilendiriyor; birincisi sızma testlerini yaparken işimizi güçleştiriyor, ikincisi ise araya girme (MITM) saldırılarına karşı uygulanması gerektiğine dair raporlarımızda yer alıyor. Makalemizin adı, Android SSL Pinning, çalışmamızın sınırlarını da çiziyor. Bu yazıda sadece Android ortamına değiniyoruz. iOS ortamına farklı bir makalede değineceğiz.

12 Kasım 2015

SNORT IDS (Saldırı Tespit Sistemi) Nedir?

Snort bir saldırı tespit sistemi olarak bilinir. Ancak yetenekli ellerde Snort bir ağ forensic aracı veya şüpheli durumların takip ve tespiti amacıyla çok etkili bir araç olarak kullanılabilir. Personel yetersizliği nedeniyle kurumların büyük çoğunluğu satın aldıkları ticari IDS veya IPS sistemlerini kullanırlar ve bu sistemlerin saldırı imzalarını güncellemekle yetinirler. Elbette bu güvenlik seviyesini artırır ama saldırı tespit süreci pek çok false positive üretmeye meyillidir. Ayrıca kurumlar kendi ihtiyaçlarına göre kuralları düzenleme ihtiyacındadırlar. Ancak yetkinlik ve/veya kullanılan aracın buna izin vermemesi IDS kaabiliyetini sınırlar.

08 Kasım 2015

BTRisk Android Mobil Uygulama Güvenlik Denetimi Eğitim Sunumu

BTRisk ve ISACA İstanbul işbirliği ile Vakıfbank ev sahipliğinde gerçekleştrilen "Android Mobil Uygulama Güvenlik Denetimi Eğitimi" sunumumuz aşağıdaki konu başlıklarından oluşmaktadır:

05 Kasım 2015

Burp Extension Geliştirme - 2

Burp Extension Geliştirme makalemize birinci bölümde kaldığımız yerden devam ediyoruz.

Makalenin can alıcı bölümü aslında aşağıda bulunan bölüm. Bu kod parçası anlamamız gereken temel nokta. Burada kullanılan interface’ler sadece bizim yukarıda belirttiğim ihtiyacımıza özel olarak kullandığımız interface’ler. Farklı ihtiyaçlar için diğer interface’lere de ihtiyaç olacağı açık. Hatta cookie’yi alıp bir HTTP başlığı olarak gönderilecek istek mesajının içine gömmenin dahi farklı yolları olmalı. Bu yüzden bu makaleyi sadece bir ısınma çalışması olarak okuyun, daha sonra interface’lerin sağladığı fonksiyonalitenin anlatıldığı Burp kaynaklarına (https://portswigger.net/burp/extender/api/index.html veya Burp Suite’in içindeki Extender modülü içinde yer alan API bilgileri) danışmanız lazım.

02 Kasım 2015

DVWA Security Lab ile Web Uygulama Güvenlik Testleri -2

DVWA Lab içerisinde çeşitli açıklıklar barındıran bir web uygulamasıdır. Owasp kuruluşu tarafından Php dilinde geliştirilen DVWA web uygulamalarındaki açıklıkların tespit edilmesinde eğitici nitelikte olmakla birlikte , yazılım geliştiriciler içinde güvenlik kod yazma alışkanlıkları kazandıracaktır.