XSS diğer kullanıcılara yönelik saldırılar arasında en önde gelen saldırı yöntemidir. XSS’in veya genel olarak kullanıcılara yönelik saldırıların sunucuya yönelik saldırılara karşı önemi konusunda çeşitli tartışmalar vardır. Ancak açık olan kullanıcıya yönelik açıklıkların önemi bulundukları uygulama ve aşamaya göre değişiyor olması, ve usta ellerde çok tehlikeli olabilmeleridir. Bir diğer gerçek de bu açıklıkların sıklıkla web uygulamalarında karşımıza çıkıyor olması ve dikkat çekmek isteyen kişilerin açıklık listelerini adı duyulmamış uygulamalarda keşfettikleri XSS açıklık duyurularıyla doldurmasıdır.
26 Nisan 2015
19 Nisan 2015
Web Uygulama Denetimi - Bölüm-18: Uygulama Mantık Hatalarının Belirlenmesi
Uygulama mantığı başlı başına bir açıklık alanı olmakla birlikte SQL enjeksiyon, XSS saldırıları gibi karakteristik özellikleri bulunmamaktadır. Bu nedenle bu açıklıkların tespitinin de otomatik araçlarla teşhis edilmesi mümkün değildir.
12 Nisan 2015
Web Uygulama Denetimi - Bölüm-17: Dizin Aşım (Directory Traversal) Saldırıları
Dizin aşım açıklıkları kullanıcı girdisinin web sunucusu veya başka bir sistem üzerindeki dosyalara okuma veya yazma amacıyla güvensiz biçimde kullanılması sonucu ortaya çıkar. Ancak bu açıklıklar uzun zamandır bilindiği için uygulama geliştiriciler saldırı amacıyla kullanılabilecek girdileri büyük ihtimalle filtrelerler. Yine de yetersiz biçimde tasarlanan filtreleri aşmak mümkün olabilmektedir.
06 Nisan 2015
CISA Hazırlık ve Bilgi Teknolojileri Denetim Eğitimi
Eğitim içeriği ve detayları için tıklayınız.
Bilgi almak için tıklayınız.
05 Nisan 2015
Web Uygulama Denetimi - Bölüm-16: LDAP Enjeksiyonu
LDAP protokolü ile dizin servislerine ulaşılır. Tipik bir LDAP sorgusu aşağıdaki yapıda olup ldap sunucu adresinden sonra gelen bir arama filtresi (search filter) ve döndürülmesi beklenen özellikler (attributes)’den oluşur:
<LDAP://ldapsunucusu>;(givenName=Ali);cn,telephoneNumber,department
<LDAP://ldapsunucusu>;(givenName=Ali);cn,telephoneNumber,department