26 Nisan 2015

Web Uygulama Denetimi - Bölüm-19: XSS (Cross Site Scripting) Açıklıkları

XSS diğer kullanıcılara yönelik saldırılar arasında en önde gelen saldırı yöntemidir. XSS’in veya genel olarak kullanıcılara yönelik saldırıların sunucuya yönelik saldırılara karşı önemi konusunda çeşitli tartışmalar vardır. Ancak açık olan kullanıcıya yönelik açıklıkların önemi bulundukları uygulama ve aşamaya göre değişiyor olması, ve usta ellerde çok tehlikeli olabilmeleridir. Bir diğer gerçek de bu açıklıkların sıklıkla web uygulamalarında karşımıza çıkıyor olması ve dikkat çekmek isteyen kişilerin açıklık listelerini adı duyulmamış uygulamalarda keşfettikleri XSS açıklık duyurularıyla doldurmasıdır.

19 Nisan 2015

Web Uygulama Denetimi - Bölüm-18: Uygulama Mantık Hatalarının Belirlenmesi

Uygulama mantığı başlı başına bir açıklık alanı olmakla birlikte SQL enjeksiyon, XSS saldırıları gibi karakteristik özellikleri bulunmamaktadır. Bu nedenle bu açıklıkların tespitinin de otomatik araçlarla teşhis edilmesi mümkün değildir.

12 Nisan 2015

Web Uygulama Denetimi - Bölüm-17: Dizin Aşım (Directory Traversal) Saldırıları

Dizin aşım açıklıkları kullanıcı girdisinin web sunucusu veya başka bir sistem üzerindeki dosyalara okuma veya yazma amacıyla güvensiz biçimde kullanılması sonucu ortaya çıkar. Ancak bu açıklıklar uzun zamandır bilindiği için uygulama geliştiriciler saldırı amacıyla kullanılabilecek girdileri büyük ihtimalle filtrelerler. Yine de yetersiz biçimde tasarlanan filtreleri aşmak mümkün olabilmektedir.

06 Nisan 2015

CISA Hazırlık ve Bilgi Teknolojileri Denetim Eğitimi

CISA image
CISA sertifikasyon programı ISACA organizasyonu tarafından yürütülen bir program olup bilgi sistemleri denetimi alanında dünya genelinde ve ülkemizde kabul görmüştür. CISA sertifikasyon sınavı bilgi sistemleri denetçilerinin sahip olması gereken denetim nosyonu, temel bilgi teknolojileri altyapısı ve kontrolleri bilgisini sınamaya yönelik bir sınavdır. Sınavı geçmenin yanı sıra deneyim koşuluyla birlikte bu teorik bilginin pratik deneyimle desteklenmesi sertifikasyon için ön koşuldur. Eğitimin amacı katılımcıların CISA sınavına hazırlanmasının yanı sıra örnek senaryolar üzerinde yapılacak çalışmalarla bilgi teknolojileri organizasyonları, altyapıları ve kontrol ihtiyaçları hakkındaki değerlendirme yetkinliklerini artırmaktır. Eğitim çok sayıda örnek soru çözümüyle birlikte katılımcıları CISA sınav yaklaşımına hazırlamayı da hedeflemektedir.





Eğitim içeriği ve detayları için tıklayınız.

Bilgi almak için tıklayınız.


05 Nisan 2015

Web Uygulama Denetimi - Bölüm-16: LDAP Enjeksiyonu

LDAP protokolü ile dizin servislerine ulaşılır. Tipik bir LDAP sorgusu aşağıdaki yapıda olup ldap sunucu adresinden sonra gelen bir arama filtresi (search filter) ve döndürülmesi beklenen özellikler (attributes)’den oluşur:

<LDAP://ldapsunucusu>;(givenName=Ali);cn,telephoneNumber,department