Android SSL pinning makalemizin üçüncü ve son bölümünde daha önceki iki bölümde uyguladığımız SSL pinning kontrolünü aşmanın yollarını araştıracağız, ve tabi ki aşacağız.
29 Kasım 2015
22 Kasım 2015
Android SSL Pinning (Certificate Pinning) Hakkında Herşey - Bölüm 2
Android SSL pinning makalemizin birinci bölümünde SSL altyapımızı oluşturmuştuk. Bu bölümde Android uygulamamızda SSL pinning işlemini uygulayacağız.
15 Kasım 2015
Android SSL Pinning (Certificate Pinning) Hakkında Herşey - Bölüm 1
Güvenlikçiler olarak SSL pinning bizi iki açıdan ilgilendiriyor; birincisi sızma testlerini yaparken işimizi güçleştiriyor, ikincisi ise araya girme (MITM) saldırılarına karşı uygulanması gerektiğine dair raporlarımızda yer alıyor. Makalemizin adı, Android SSL Pinning, çalışmamızın sınırlarını da çiziyor. Bu yazıda sadece Android ortamına değiniyoruz. iOS ortamına farklı bir makalede değineceğiz.
12 Kasım 2015
SNORT IDS (Saldırı Tespit Sistemi) Nedir?
Snort bir saldırı tespit sistemi olarak bilinir. Ancak yetenekli ellerde Snort bir ağ forensic aracı veya şüpheli durumların takip ve tespiti amacıyla çok etkili bir araç olarak kullanılabilir. Personel yetersizliği nedeniyle kurumların büyük çoğunluğu satın aldıkları ticari IDS veya IPS sistemlerini kullanırlar ve bu sistemlerin saldırı imzalarını güncellemekle yetinirler. Elbette bu güvenlik seviyesini artırır ama saldırı tespit süreci pek çok false positive üretmeye meyillidir. Ayrıca kurumlar kendi ihtiyaçlarına göre kuralları düzenleme ihtiyacındadırlar. Ancak yetkinlik ve/veya kullanılan aracın buna izin vermemesi IDS kaabiliyetini sınırlar.
08 Kasım 2015
BTRisk Android Mobil Uygulama Güvenlik Denetimi Eğitim Sunumu
BTRisk ve ISACA İstanbul işbirliği ile Vakıfbank ev sahipliğinde gerçekleştrilen "Android Mobil Uygulama Güvenlik Denetimi Eğitimi" sunumumuz aşağıdaki konu başlıklarından oluşmaktadır:
05 Kasım 2015
Burp Extension Geliştirme - 2
Burp Extension Geliştirme makalemize birinci bölümde kaldığımız yerden devam ediyoruz.
Makalenin can alıcı bölümü aslında aşağıda bulunan bölüm. Bu kod parçası anlamamız gereken temel nokta. Burada kullanılan interface’ler sadece bizim yukarıda belirttiğim ihtiyacımıza özel olarak kullandığımız interface’ler. Farklı ihtiyaçlar için diğer interface’lere de ihtiyaç olacağı açık. Hatta cookie’yi alıp bir HTTP başlığı olarak gönderilecek istek mesajının içine gömmenin dahi farklı yolları olmalı. Bu yüzden bu makaleyi sadece bir ısınma çalışması olarak okuyun, daha sonra interface’lerin sağladığı fonksiyonalitenin anlatıldığı Burp kaynaklarına (https://portswigger.net/burp/extender/api/index.html veya Burp Suite’in içindeki Extender modülü içinde yer alan API bilgileri) danışmanız lazım.
Makalenin can alıcı bölümü aslında aşağıda bulunan bölüm. Bu kod parçası anlamamız gereken temel nokta. Burada kullanılan interface’ler sadece bizim yukarıda belirttiğim ihtiyacımıza özel olarak kullandığımız interface’ler. Farklı ihtiyaçlar için diğer interface’lere de ihtiyaç olacağı açık. Hatta cookie’yi alıp bir HTTP başlığı olarak gönderilecek istek mesajının içine gömmenin dahi farklı yolları olmalı. Bu yüzden bu makaleyi sadece bir ısınma çalışması olarak okuyun, daha sonra interface’lerin sağladığı fonksiyonalitenin anlatıldığı Burp kaynaklarına (https://portswigger.net/burp/extender/api/index.html veya Burp Suite’in içindeki Extender modülü içinde yer alan API bilgileri) danışmanız lazım.
02 Kasım 2015
DVWA Security Lab ile Web Uygulama Güvenlik Testleri -2
DVWA Lab içerisinde çeşitli açıklıklar barındıran bir web uygulamasıdır. Owasp kuruluşu tarafından Php dilinde geliştirilen DVWA web uygulamalarındaki açıklıkların tespit edilmesinde eğitici nitelikte olmakla birlikte , yazılım geliştiriciler içinde güvenlik kod yazma alışkanlıkları kazandıracaktır.