|
|
|
|
2015 yılı sonuçları :
|
| |
|
|
|
|
| Apple, Google, Microsoft, Facebook, Amazon gibi firmalar işe alım yaparken adayın düşünme yöntemlerini, problemlere ve olaylara yaklaşımını ve metodolojisini görmek için çok garip gözüken sorular sorarlar.
1.Pozisyon: Google İdari Asistan;
Elinizde bir kutu kalem var. Bu kalemlerle yazı yazmak, resim yapmak vb şeyler dışında yapabileceğiniz 10 şeyi listeleyin.
2.Pozisyon: Amazon kıdemli insan kaynakları uzmanı;
Eğer Marslı olsaydın, problemleri nasıl çözerdin?
3.Pozisyon:... [Devamı] |
| Bu yazı 03.01.2015 tarihinde, saat 19:57:48'de yazılmıştır. |
|
| |
|
|
|
|
| Bu yazıda geçen fikirler birer kanaattirler. - Hasan Fatih ŞİMŞEK
Duymuşsunuzdur ya da izlemişsinizdir insan icadı robotların dünyayı ele geçirişini. Sözgelimi geçmişlerden hatırladığımız Terminatör ya da I,Robot gibi filmler… Bu ve buna benzer filmlerde işlenen temel nokta yapay zekanın insanı kontrol(cebir) altına alabilmesidir. Bu sonuca ise öğrenebilme becerisinin robota öğretilmesi baz alınarak ulaşılmaktadır. Bir robot eğer öğrenebilme becerisine bir insan gibi sahip olursa insa... [Devamı] |
| Bu yazı 02.02.2015 tarihinde, saat 05:04:26'de yazılmıştır. |
|
| |
|
|
|
|
| Webgoat, web siteleri için siber güvenliği konu alan bir web uygulamasıdır. J2EE(Java 2 Enterprise Edition) temelli geliştirilmiş sürümü bulunduğu gibi ASP.NET temelli geliştirilmiş sürümü de bulunmaktadır. Kodlamalarla içli dışlı çok nadir olunduğundan dolayı dil o kadar da önemli değil denebilir. Fakat derinlemesine öğrenmek istiyorsanız aşina olduğunuz ya da öğrenmekte olduğunuz dille yazılmış sürümü kullanmanızı öneririm. Java dili ile hazırlanmış Webgoat sürümü platform bağımsızlığına sahip... [Devamı] |
| Bu yazı 15.02.2015 tarihinde, saat 00:16:04'de yazılmıştır. |
|
| |
|
|
|
|
| Bu yazı Webgoat web uygulamasının bir linux işletim sistemi olan Ubuntu 14.04 LTS üzerinden kurulumunu konu edinmektedir. Windows işletim sistemi için kurulum yapmak isteyenler bu adresten gerekli talimatları alarak kurulumlarını gerçekleştirebilirler. Bu yazıda geçen kurulum aşamaları muhtemelen tüm linux sürümleri için işlevseldir. Çünkü yüklemeler ve yapılandırmalar linux'un shell kodlamaları ile yapılmaktadır.
Linux için kurulum aşamaları şunlardan ibarettir:
JDK 1.6... [Devamı] |
| Bu yazı 15.02.2015 tarihinde, saat 00:16:52'de yazılmıştır. |
|
| |
|
|
|
|
| Microsoft firmasının işletim sistemi olan Windows'a Webgoat kurulumu şunlardan ibarettir:
JRE 1.8 Kurulumu
Webscarab'ı Kurma ve Yapılandırma
Webgoat'u Başlatma
1. JRE 1.8 Kurulumu
Webscarab'ı başlatabilmek için JRE'ye ihtiyacımız olacaktır. Bu adresten sisteminiz 32 bitse jre-8u31-windows-i586.exe dosyasını, sisteminiz 64 bitse jre-8u31-windows-x64.exe dosyasını indirin. İlgili dosyayı indirebilmeniz için açılan sayfadaki lisans anlaşmasına Accept demen... [Devamı] |
| Bu yazı 28.02.2015 tarihinde, saat 05:37:03'de yazılmıştır. |
|
| |
|
Kapak.png)
|
|
|
| Webgoat siber güvenlik uygulamamız bu ilk bölümde - Introduction bölümünde - bizlere WebGoat web uygulamasını daha verimli nasıl kullanabileceğimizden, nasıl WebGoat uygulamasına eğer dilersek ders ekleyebileceğimizden ve bu web uygulamasının bir laboratuvar v.b. ortamda çoklu bilgisayarlara nasıl sunulabileceğinden bahsetmektedir. Bizi ilgilendiren burada bu web uygulamasını nasıl daha verimli kullanabileceğimiz kısmı olduğundan bu yazı bunu konu edinecektir.
Yukarı... [Devamı] |
| Bu yazı 07.03.2015 tarihinde, saat 05:05:26'de yazılmıştır. |
|
| |
|
|
|
|
| Webgoat uygulamasının General ünitesinde yer alan ilk dersimiz Http Basics, yani Http Temelleri üzerinedir. Bu ders ile Webscarab'ın kullanılışını ve http iletişimini bir nebze öğrenmiş olacaksınız. Bu derste bunların yanısıra önceki derste tanıtılan butonlara da tekrar değinilecektir.
Her derste Dersin Hedefi başlıklı yazı bölümü yer alacaktır. Dersin Hedefi bölümü WebGoat uygulama arayüzünde yapacağınız görevlerden - mesela yapılması gereken siber saldırıdan - bahsedecektir. Bu ... [Devamı] |
| Bu yazı 18.04.2015 tarihinde, saat 18:29:20'de yazılmıştır. |
|
| |
|
|
|
|
| Webgoat uygulamasının General ünitesinde yer alan ikinci dersimiz Http Split'tir. Bu ders ile enjeksiyon kavramı kafanızda şekillenecek, aynı zamanda HTTP header'a aşinalık kazanmış olacaksınız.
Dersin Hedefi
Bu ders Http Split(Http Bölme) ve Cache Poisoning(Önbellek Zehirleme) olmak üzere iki kısımdan oluşur. İlk kısımda CR(%0D) ve LF(%0A) karakterlerini kullanarak sunucudan faydalanmaya çalışın. Yani yaptığınız saldırı sonucu sunucunun 200 OK yanıtını vermesini sağlayın. İkinci... [Devamı] |
| Bu yazı 26.04.2015 tarihinde, saat 13:31:42'de yazılmıştır. |
|
| |
|
|
|
|
| Webgoat'ın Access Control Flaws, yani Erişim Kontrolü Kusurları ünitesinin ilk kısmı olan Using an Access Control Matrix(Erişim Kontrolü Matrisini Kullanma) dersinde, simule edilen sistemin kullanıcıları ve o kullanıcıların izinleri ele alınmıştır.
Dersin Hedefi
Her kullanıcıya yalnızca belirli kaynaklara erişim izni tanınmıştır. Yani her kullanıcıya bazı roller biçilmiştir. Hedefiniz Webgoat'ta simule edilen sitenin erişim izinlerini keşfetmektir. (NOT: Yalnızca [admin] grubundak... [Devamı] |
| Bu yazı 27.04.2015 tarihinde, saat 08:48:05'de yazılmıştır. |
|
| |
|
|
|
|
| Webgoat'ın Access Control Flaws, yani Erişim Kontrolü Kusurları ünitesinin ikinci kısmı olan Bypass a Path Based Access Control Scheme(Erişim Kontrolü Şeması Temelli Dizin Yolu Atlatma) dersinde site arayüzünde görünmeyen linke ulaşılabilirlik konu edinilmiştir.
Dersin Hedefi
Ekranda listelenen dosyalardan aralarında görünmeyen bir dosyaya erişilmelidir.
Açıklamalar
Web programlamada geliştiricilerin genellikle kullandığı bir link sembolü vardır. O sembolse şu... [Devamı] |
| Bu yazı 02.05.2015 tarihinde, saat 22:51:45'de yazılmıştır. |
|
| |
|
|
|
|
| Access Control Flaws ünitesinin LAB: Role Based Access Control(Role Dayalı Erişim Kontrolü) dersinin bir alt başlığı olan Stage 1: Bypass Business Layer Access Control dersinde bir işçinin login olunabilen bir sistem üzerinde normalde yetkisi olmadığı halde yönetici işini gerçekleştirebilmesinden bahsedilecektir.
Dersin Hedefi
Hedefiniz ders ekranındaki sistemin erişim kontrolü zayıflığından faydalanarak Delete işlevini kullanmaktır. Sistem kullanıcılarının oturum açma şifreleri il... [Devamı] |
| Bu yazı 04.05.2015 tarihinde, saat 09:07:44'de yazılmıştır. |
|
| |
|
|
|
|
| Access Control Flaws ünitesinin LAB: Role Based Access Control(Role Dayalı Erişim Kontrolü) dersinin ikinci alt başlığı olan Stage 2: Add Business Layer Access Control dersinde Stage 1'deki güvenlik açığının kapatılmasından ve bunun üzerine yetki ihlali yapma denemelerinin boşa çıkışından bahsedilecektir.
Dersin Hedefi
Delete işlevine olan yetkisiz erişimi engellemek için bir düzeltme uygulayın. Düzeltme uygulayabilmek için WebGoat kaynak kodunu değiştirmek zorunda kalacaksınız... [Devamı] |
| Bu yazı 09.05.2015 tarihinde, saat 16:46:02'de yazılmıştır. |
|
| |
|
|
|
|
| Access Control Flaws ünitesinin LAB: Role Based Access Control(Role Dayalı Erişim Kontrolü) dersinin üçüncü alt başlığı olan Stage 3: Breaking Data Layer Access Control dersinde bir personelin sadece kendi profilini görüntüleyebilme yetkisi varken başka personelin profilini de yetkisiz bir şekilde görüntüleyebiliyor olması ele alınacaktır.
Dersin Hedefi
Hedefiniz personel Tom olarak kendi profiliniz dışında başka personelin profilini de görüntüleyebilmektir, yani erişim kontrolü za... [Devamı] |
| Bu yazı 10.05.2015 tarihinde, saat 13:29:24'de yazılmıştır. |
|
| |
|
|
|
|
| Access Control Flaws ünitesinin LAB: Role Based Access Control(Role Dayalı Erişim Kontrolü) dersinin dördüncü alt başlığı olan Stage 4: Add Data Layer Access Control dersinde Stage 3'deki güvenlik açığının kapatılmasından ve bunun üzerine yetki ihlali yapma denemelerinin boşa çıkışından bahsedilecektir.
Dersin Hedefi
ViewProfile işlevi için yetkisiz erişimi engellemek adına bir düzeltme uygulayın. Düzeltme uygulayabilmek için WebGoat kaynak kodunu değiştirmek zorunda kalacaksınız. ... [Devamı] |
| Bu yazı 10.05.2015 tarihinde, saat 15:17:50'de yazılmıştır. |
|
| |
|
|
|
|
| Access Control Flaws ünitesinin dördüncü dersi olan
Remote Admin Access(Uzaktan Admin Erişimi) dersinde admin için hazırlanmış sayfaların admin olmayan bir kişi tarafından nasıl görüntülenebileceğine dair bir örnekten bahsedilecektir ve ayrıca bu açığın nasıl kapatılabileceğinden, bu tip durumlarla karşılaşılmaması için yapılması gerekenlerden bahsedilecektir.
Dersin Hedefi
Admin'lerin erişebildiği ve normal kullanıcıların erişemediği idari sayfalardan birine normal kullanıcı ola... [Devamı] |
| Bu yazı 11.05.2015 tarihinde, saat 08:19:55'de yazılmıştır. |
|
| |
|
|
|
|
| AJAX Security ünitesinin ilk dersi olan
Same Origin Policy Protection(Aynı Köken Koruma Politikası) dersinde ajax'ın ne olduğuna dair bazı bilgiler paylaşılacak ve güvenliğe bakan yönüne değinilecektir.
Dersin Hedefi
Bu ders Same Origin Policy'i(Aynı Köken Politikasını) konu edinmektedir. XHR(XMLHttpRequest) yalnızca geldiği sunucuyla iletişime geçebilir. Geldiği sunucuya değil de başka sunucuya XHR ile veri iletme teşebbüsünde bulunun.
Açıklamalar
Web sayfalarının ... [Devamı] |
| Bu yazı 11.05.2015 tarihinde, saat 09:41:22'de yazılmıştır. |
|
| |
|
|
|
|
| AJAX Security ünitesinin ikinci dersi olan
DOM-Based cross-site scripting(DOM Temelli Siteler Arası Kodlama) dersinde çoğunlukla XSS şeklinde kısaltılan cross-site scripting'i öğreneceksiniz.
Dersin Hedefi
Bu egzersiz 5 aşamadan oluşmaktadır. Aşamalar için genel manada şunu yapacağınızı söyleyebiliriz: "DOM'a zararlı kod enjekte etmek ve web içeriğini değiştirmek". Dersin son aşamasına geldiğinizde bu güvenlik açığını kapatmaya yönelik bir düzeltme uygulayacaksınız.
Stag... [Devamı] |
| Bu yazı 03.06.2015 tarihinde, saat 19:11:36'de yazılmıştır. |
|
| |
|
|
|
|
| AJAX Security ünitesinin üçüncü dersi olan
Client Side Filtering(İstemci Taraflı Filtreleme) dersinde filtreleme işleminin sunucu tarafında yapılmayıp istemci tarafında yapılmasının doğurduğu sıkıntıdan bahsedilecektir.
Dersin Hedefi
Bu ders 2 aşamadan oluşmaktadır. İlk aşamada hassas bilgilere ulaşmanız gerekmektedir. İkinci aşamada ise erişilememesi gereken hassas bilgilere erişilebilmesi problemini gidermelisiniz.
Stage 1
Siz bu derste Moe Stooge personelini temsil etm... [Devamı] |
| Bu yazı 07.06.2015 tarihinde, saat 18:00:25'de yazılmıştır. |
|
| |
|
|
|
|
| Bu yazıda en yaygın iki HTTP talep methodu olan GET ve POST'un arasındaki farklardan bahsedilecektir. Bu farklara geçmeden önce GET ve POST'un nerelerde kullanıldığına değinelim. GET ve POST birer HTML Talep methodlarıdır. Yani GET ve POST ile sunucudan sayfa talebinde bulunabildiğimiz gibi aynı zamanda sunucuya veri de gönderebiliriz. Bu iki HTTP Talep methodu dışında başka HTTP talep methodları da vardır(Örn; HEAD, PUT, DELETE, OPTIONS ve CONNECT gibi...). Bu yazıda GET ve POST dışındaki HTTP... [Devamı] |
| Bu yazı 18.06.2015 tarihinde, saat 18:40:37'de yazılmıştır. |
|
| |
|
|
|
|
| AJAX Security ünitesinin dördüncü dersi olan
DOM Injection(Document Object Model Enjeksiyonu) dersinde AJAX teknolojisi ile gerçekleştirilen sunucu bağlantısında sunucudan gelecek veriye kod enjekte edeceğiz. Böylece dersin sunduğu (sözde) uygulamaya girebilmek için lisans anahtarını bilmeden girişi gerçekleştirmiş olacağız.
Dersin Hedefi
*Bu derste kurban olan taraf aktivasyon anahtarını kullanmamıza izin veren ve bu aktivasyon kodunu alan sistemdir.
*Hedefiniz activate ... [Devamı] |
| Bu yazı 26.06.2015 tarihinde, saat 09:19:25'de yazılmıştır. |
|
| |
|
|
|
|
| AJAX Security ünitesinin dördüncü dersi olan
XML Injection(Extensible Markup Language Enjeksiyonu) dersinde Ajax'ın sunucu ile alışverişinde kullanılan XML içeriğine enjeksiyon yapılarak sistemin bize sunduğu ödülden daha fazlasını alma teşebbüsünde bulunmuş olacağız.
Dersin Hedefi
WebGoat-Miles firması ders ekranında size mevcut tüm ödül mil'lerini göstermektedir. Account(Hesap) ID'nizi girdiniz mi ders ekranı aşağı tarafta size bakiyenizi ve alabileceğiniz ürünleri gösterecekti... [Devamı] |
| Bu yazı 07.07.2015 tarihinde, saat 21:26:01'de yazılmıştır. |
|
| |
|
|
|
|
| AJAX Security ünitesinin beşinci dersi olan
JSON Injection(JavaScript Object Notation Enjeksiyonu) dersinde bir önceki derslerle aynı mantıkda kod enjeksiyonu yapılacaktır. Böylelikle ucuza uçak bileti almış olacağız.
Dersin Hedefi
Boston'dan Seattle'a seyahet edecek bir müşterisiniz. Bi' kez havalimanının 3 karakterli kodunu metin kutularına girdiniz mi AJAX talebi bilet ücretini sorgulamak için çalıştırılacaktır(Boston'ın kodu BOS, Seattle'ınki ise SEA'dır). Fark edeceksiniz ki ... [Devamı] |
| Bu yazı 14.07.2015 tarihinde, saat 20:13:31'de yazılmıştır. |
|
| |
|
|
|
|
| AJAX Security ünitesinin altıncı dersi olan
Silent Transactions Attacks(Sessiz Banka İşlemleri Saldırısı) dersinde tarihin tozlu raflarına kaldırılmış olan bir bankacılık işlemi güvenlik açığını deneyimlemiş olacağız.
Dersin Hedefi
Bu dersin size sunduğu ekran para transferi yapılabilen bir internet bankacılığı uygulaması örneğidir. Ekran size bakiyenizi göstermektedir. Ayrıca para transfer edeceğiniz hesap için ve transfer edeceğiniz paranın miktarı için birer metin kutusu göste... [Devamı] |
| Bu yazı 15.07.2015 tarihinde, saat 14:50:10'de yazılmıştır. |
|
| |
|
|
|
|
| Bu yazıda UML sınıf diyagramlarının temel notasyonlarından(gösterimlerinden) bahsedilecektir. Öncelikle UML nedir ondan başlayalım. UML nesne yönelimli tasarım metodolojisi geliştirme aşamasındaki ilk adım olarak gerçek dünya nesnelerinin modellenmesi için var olan standard bir notasyondur. Yani bizler bir yazılım geliştirmeden önce uml diyagramları ile işin temelini atarız. UML'in açılımı Unified Modelin Language'dir. Kodlamadaki class(sınıf) varlığı UML Class Diagram'larında aşağıdaki gibi ku... [Devamı] |
| Bu yazı 19.07.2015 tarihinde, saat 22:05:46'de yazılmıştır. |
|
| |
|
|
|
|
| Bu yazıda temel uml sınıf diyagramlarının ilişkileri konusunda bilgilendirileceksiniz.
Association
Dependency
Aggregation
Composition
Generalization(Inheritance)
Realization
Öncelikle aşağıdaki resmi inceleyelim:
Yukarıdaki resimde uml sınıf diyagramı ilişkilerini ve gösterimlerini görmektesiniz. Yukarıdaki ilişkilerin okunuşları aşağıdaki gibidir:
Association : class A ile class B ... [Devamı] |
| Bu yazı 19.07.2015 tarihinde, saat 22:56:45'de yazılmıştır. |
|
| |
|
|
|
|
| Merhaba, kafa kurcalayıcı bir yazıya ne dersiniz? Bu yazıda Association ile Aggregation arasındaki farklardan ve Aggregation ile Composition arasındaki farklardan bahsedilecektir.
Association ile Aggregation Arasındaki Fark
Aggregation ile Composition Arasındaki Fark
Hayli uzun yazıyı özetleyen bir resim olarak aşağıdakine bakabilirsiniz:
Association vs. Aggregation
Association sınıflar arasındaki bağlantının zayıf biçi... [Devamı] |
| Bu yazı 19.07.2015 tarihinde, saat 22:56:59'de yazılmıştır. |
|
| |
|
|
|
|
| AJAX Security ünitesinin yedinci dersi olan
Dangerous Use of Eval(Eval'ın Tehlikeli Kullanımı) dersinde bir javascript fonksiyonu olan eval()'ın kötü yönde kullanımından bahsedilecektir.
Dersin Hedefi
Bu egzersizde göreviniz aklınıza bir input dizgisi gelmesi ve bunu eval'a aktarıp zararlı script çalıştırmaktır. Bu dersi geçebilmeniz için document.cookie'yi alert()'lamalısınız.
Açıklamalar
Bu derste kullanıcı tarafından gelen denetlenmemiş bir verinin Javascr... [Devamı] |
| Bu yazı 28.07.2015 tarihinde, saat 20:48:00'de yazılmıştır. |
|
| |
|
|
|
|
| AJAX Security ünitesinin son dersi olan
Insecure Client Storage(Emniyetsiz İstemci Depolaması) dersinde istemci taraflı yapılan input denetlemenin sakıncasından ve alışveriş sitelerinin sipariş edilen ürünlerin fiyatlarını istemci tarafından alarak hesaplamasının sakıncasından bahsedilecektir.
Dersin Hedefi
Bu ders iki aşamadan oluşmaktadır. İlk aşamada hedefiniz indirim sağlayan bir kupon kodunu ele geçirerek satın alma işlemi yapmaktır. İkinci aşamada ise hedefiniz istemci tarafl... [Devamı] |
| Bu yazı 14.08.2015 tarihinde, saat 19:13:03'de yazılmıştır. |
|
| |
|
|
|
|
| Authentication Flaws(Kimlik Doğrulama Kusurları) ünitesinin ilk dersi olan
Password Strength(Şifre Güçlülüğü) dersinde ders ekranında yer alan şifrelerin ne kadar güvenli şifreler olduğundan bahsedilecektir.
Dersin Hedefi
Bu egzersizde yapacağınız iş verilen şifrelerin güvenilirliğinin https://www.cnlab.ch/codecheck üzerinde test edilmesidir.
Açıklamalar
Şifreleri kırmanın birden fazla yolu vardır. Bunlardan birine Brute Force derler. Anlamı kaba kuvvet demektir. Bu... [Devamı] |
| Bu yazı 31.08.2015 tarihinde, saat 17:50:57'de yazılmıştır. |
|
| |
|
|
|
|
| Authentication Flaws(Kimlik Doğrulama Kusurları) ünitesinin ikinci dersi olan
Forgot Password(Unutulan Şifre) dersinde unutulan şifre sayfasının nasıl exploit edilebileceğinden, yani sömürülebilineceğinden bahsedilecektir.
Dersin Hedefi
Kullanıcılar eğer şifrelerini unuturlarsa tekrar elde edebilsinler diye gizli soru uygulaması mevcuttur. Gizli soruyu doğru cevaplayan kullanıcıya şifresi gösterilmektedir. Bu ders ekranında da böylesi bir senaryo vardır. Örnek verilmesi gerekirse... [Devamı] |
| Bu yazı 01.09.2015 tarihinde, saat 09:51:11'de yazılmıştır. |
|
| |
|
|
|
|
| Authentication Flaws(Kimlik Doğrulama Kusurları) ünitesinin üçüncü dersi olan
Basic Authentication(Temel Kimlik Onaylama) dersinde http header'ında yer alan authorization'den(yetkilendirmeden) ve jsessionid'dan(çerezlerden) bahsedilecektir(Http header'ın ne olduğuyla alakalı yazı için bkz. Ders 3 - General > Http Split).
Dersin Hedefi
Bu derste hedefiniz temel kimlik doğrulamayı anlamak ve ders ekranında verilen soruları cevaplamaktır.
Açıklamalar
Basic Authenticati... [Devamı] |
| Bu yazı 01.09.2015 tarihinde, saat 18:37:14'de yazılmıştır. |
|
| |
|
|
|
|
| Authentication Flaws(Kimlik Doğrulama Kusurları) ünitesinin dördüncü dersi olan
Multi Level Login 1(Çok Seviyeli Oturum Girişi 1) dersinde günümüzdeki bankaların internet şubelerinde kullanılan TAN[1] numarasının bir defalık kullanım ömrü olmasına rağmen ikinci kez nasıl kullanılabileceğinden ve böylece kurbanın banka hesabının senaryo gereği nasıl ele geçirilebileceğinden bahsedilecektir.
Dersin Hedefi
Bu ders iki aşamadan oluşmaktadır.
STAGE 1(AŞAMA 1)
Bu aşama size... [Devamı] |
| Bu yazı 03.09.2015 tarihinde, saat 20:15:47'de yazılmıştır. |
|
| |
|
|
|
|
| Authentication Flaws(Kimlik Doğrulama Kusurları) ünitesinin beşinci dersi olan
Multi Level Login 2(Çok Seviyeli Oturum Girişi 2) dersinde günümüzdeki bankaların internet şubelerinde kullanılan oturum girişi sistemine benzer bir sistem için kullanıcı adını bildiğimiz bir şahsın hesabının senaryo gereği nasıl çalınabileceğinden bahsedeğiz.
Dersin Hedefi
Bu derste senaryoya göre WebGoat Financial firmasına ait bir hesabınız bulunmaktadır. Kullanıcı adınız Joe, şifreniz ise banana... [Devamı] |
| Bu yazı 03.09.2015 tarihinde, saat 21:41:13'de yazılmıştır. |
|
| |
|
|
|
|
| Buffer Overflows ünitesinin dersi olan
Off-by-One dersinde buffer overflow(tampon taşma) saldırısı gerçekleştirilecektir.
Dersin Hedefi
"OWASP Hotel'ine hoşgeldiniz. Odanızdan internete erişebilmek için ekranda sunulan metin kutularını doldurmanız gerekmektedir." Hedefiniz otelin dışındaki bir kişi olarak otelin internetine bağlanabilmektir.
Açıklamalar
Bu dersin mihenk noktası olan buffer overflow, yani tampon taşması bir değişkene kapasitesinden daha fazla değer a... [Devamı] |
| Bu yazı 07.09.2015 tarihinde, saat 06:03:53'de yazılmıştır. |
|
| |
|
|
|
|
| Code Quality(Kod Kalitesi) ünitesinin dersi olan
Discover Clues in the HTML(HTML'deki ipuçlarını keşfetme) dersinde kodlama esnasında not düşülen yorumlar ele alınacaktır.
Dersin Hedefi
Kullanıcı olarak yetkilendirme kontrolünü atlatabilmeniz gerekmektedir.
Açıklamalar
Geliştiriciler FIXME(Beni düzelt), TODO's(Yapılacaklar Listesi), Code Broken(Kırılmış kod), Hack gibi ifadeleri geliştirdikleri kodlara ekledikleri için adları çıkmıştır. Yani geliştiriciler bu anlamda kötü... [Devamı] |
| Bu yazı 07.09.2015 tarihinde, saat 10:52:09'de yazılmıştır. |
|
| |
|
|
|
|
| Concurrency(Eşzamanlılık) ünitesinin ilk dersi olan
Thread Safety Problems(İş Parçacığı Güvenlik Problemleri) dersinde thread safety kavramından bahsedilecektir.
Dersin Hedefi
Kullanıcı web uygulmasındaki eşzamanlılık sorununu exploit edebilmeli, yani istismar edebilmeli ve kendi login bilgilerini görecekken aynı anda aynı fonksiyonu kullanan başka kullanıcının bilgilerini görebilmelidir.
Açıklamalar
Web uygulamaları birden fazla HTTP taleplerini eşzamanlı olarak... [Devamı] |
| Bu yazı 11.09.2015 tarihinde, saat 05:59:12'de yazılmıştır. |
|
| |
|
|
|
|
| Concurrency(Eşzamanlılık) ünitesinin ikinci dersi olan
Shopping Cart Concurrency Flaw(Alışveriş Sepeti Eşzamanlılık Açığı) dersinde alışveriş sepetindeki eşyanın eşzamanlılık bug'ı kullanılarak nasıl ucuza alınabileceğinden bahsedilecektir.
Dersin Hedefi
Bu egzersizde hedefiniz bir malı daha düşük fiyata eşzamanlılık durumunu exploit ederek - sömürerek - almaktır.
Dersin Çözümü
Dersin sunduğu alışveriş similasyonunda 4 tane ürün görüntülenmektedir. 4 üründen kaç tane... [Devamı] |
| Bu yazı 11.09.2015 tarihinde, saat 14:02:51'de yazılmıştır. |
|
| |
|
|
|
|
| Cross-Site Scripting (XSS) ünitesinin ilk dersi olan
Phishing with XSS(XSS ile Yemleme) dersinde Reflected XSS(Yansıtılmış XSS) saldırısının ne kadar tehlikeli olabileceğinden bahsedilecektir.
Dersin Hedefi
Kullanıcı olarak siz ders ekranına kullanıcı adı ve şifre soran bir form ekleyebilmelisiniz. Form submit'lendiğinde kullanıcı adı ve şifre bilgileri http://localhost/WebGoat/catcher?PROPERTY=yes&user=catchedUserName&password=catchedPasswordName adresine gitmelidir.
... [Devamı] |
| Bu yazı 13.09.2015 tarihinde, saat 10:28:13'de yazılmıştır. |
|
| |
|
|
|
|
| Cross-Site Scripting (XSS) ünitesinin ikinci dersi olan Stage 1: Stored XSS(Aşama 1: Depolanmış XSS) dersinde Stored XSS saldırısı gerçekleştirilecektir.
Dersin Hedefi
Tom kullanıcısı olarak Edit Profile sayfasındaki Street metin kutusuna karşı bir Stored XSS atağı düzenleyin. Jerry adlı kullanıcının saldırıdan etkilendiğini doğrulayın. Kullanıcı hesaplarının şifreleri verilen isimlerin küçük harfli halleridir. Mesela Tom Cat kullanıcısının şifresi tom 'dur.
Açıklamalar
... [Devamı] |
| Bu yazı 14.09.2015 tarihinde, saat 07:47:22'de yazılmıştır. |
|
| |
|
|
|
|
| Cross-Site Scripting (XSS) ünitesinin üçüncü dersi ve 2.aşaması olan Stage 2: Block Stored XSS using Input Validation(Aşama 2: Girdi Doğrulama Kullanarak Depolanmış XSS'i Engelleme) dersinde ilk aşamada yapılan Stored XSS saldırısının kullandığı açığı bu aşamada kapatmaya çalışacağız.
Dersin Hedefi
Firmanın insan kaynakları otomasyonuna önceki derskteki gibi stored XSS atağı yapıldığında bu xss kodunun veritabanına kaydolmasını engellemek için otomasyonu kontrol eden kodları düzelt... [Devamı] |
| Bu yazı 14.09.2015 tarihinde, saat 20:08:17'de yazılmıştır. |
|
| |
