TransOver DOM-XSS Vulnerability

Hello Everyone,

Recently, We've discovered Dom-Based XSS Vulnerability in TransOver Chrome Extension and we reported it. It’s a startling coincidence.

Read More

Mail.ru nasıl hacklendi?

Merhabalar,

Bu yazımızda Mail.ru sitesinde gerçekleştirilmiş olan bir saldırıyı simüle edeceğiz.

Mail.ru Rusça hizmet veren en büyük e-posta servisidir. 16 Ekim 2001 tarihinden bu yana web sitesi bu isimle anılmaktadır. Mail.ru hisselerinin % 30'u 2007 yılının Ocak ayında bir Güney Afrika şirketi olan Naspers' e satılmıştır. Mail.ru 2005 yılında açıkladığı verilerle 30 milyon abonesi bulunduğunu ve site üzerinden günde 25 milyon e-posta gönderimi yapıldığını deklare etmiştir. (Wikipedia )

Döküman önerisi:
Bu yazıyı okumadan önce Sql enjeksiyon test ortamı oluşturmak başlıklı yazımızı okumanız, bu konuyu anlamanız açısından önemlidir. 

Read More

XSS zafiyetini loglardan kaçırmak

Reflected XSS zafiyetlerini kullanırken ?param=<script>alert(1);</script> gibi basit bir saldırı vektörüyle JavaScript çalıştırabilmekteyiz. Fakat bu tarz bir XSS saldırı vektörü, Apache HTTP sunucusunun access.log kayıtlarına geçtiği için kısa bir zamanda fark edilecektir.

Konuyu detaylandırmak adına ufak bir uygulama yapalım.

Read More

Sql enjeksiyon test ortamı oluşturmak

Sqlmap, Acunetix, Netsparker vb gibi otomatize araçları kullanarak SQL enjeksiyon saldırıları gerçekleştirmek oldukça kolaydır. Fakat kullanılan saldırı vektörlerini davranışsal olarak incelemek veya False-Positive durumlarıyla karşı karşıya kaldığımızda kullanılan teknikleri anlamamız açısından test ortamı oluşturmak elzemdir.

Test ortamını oluştururken http://sqlfiddle.com/ uygulamasını kullanacağız. SQLFiddle; MSSQL, SQLite, PostgreSQL, MySQL ve Oracle 'in çeşitli sürümlerini destekleyen bir platformdur.

Şimdi sırasıyla Sql enjeksiyon tekniklerini inceleyelim.

Read More

Medya Kuruluşları için siber güvenlik 101

Medya kuruluslari-icin-siber-guvenlik-101 from Evren Yalçın

Read More

WEB SERVİS GÜVENLİĞİ EK DOSYA (ATTACHMENT) DENETİMİ

Merhaba, bu makalede ek (attachment) kabul eden web servislere uygulanabilecek atak vektörleri üzerine bir inceleme yapacağız. Burada tehlike web servislerinin ek dosyayı sunucu üzerinde işlerken ve bu dosyaların istemcilere dağıtılırken yaşanmaktadır.
İçerisinde zararlı yazılım barındırabilen döküman tipinde olan yada çalıştırılabilir dosyalar web servisler aracılığı ile çeşitli şekillerde gönderilebilirler. Bu dosyalar bir web servis metodunun parametresi olarak gönderilebilirler. (Bkz : Direct Internet Message Encapsulation, DIME  -  http://en.wikipedia.org/wiki/Direct_Internet_Message_Encapsulation)

Read More

Gelin Tanışalım : Cube Meetup

Neden Rubik Küp?

Birçok kişi ona sabır küpü diyor ama biz zeka küpü demeyi tercih ediyoruz. Erno Rubik adında bir mimarın tasarısı olan bu plastik yapı çalışmalarımız açısından ilham kaynağı olmuştur.

Read More