Cüneyt BERGEL

Archive for the ‘Eğitim’ Category

Blackbox Penetrasyon Testi-2

November 18th, 2009 | Author: Cüneyt Bergel

Kara kutu güvenlik testlerinde kullanılan teknolojiler

Kara kutu güvenlik testlerinde kullanılan teknolojileri aşağıdaki gibi sınıflandırabiliriz:

Fuzzing: Bir uygulamada zafiyet tespit edebilmek için uygulamaya rastgele veya sistematik veriler göndererek, uygulamanın farklı isteklere verdiği cevapları analiz etmek için kullanılır. Fuzzing, test yapılacak uygulamanın arka planında ki işlevsel ve yazılımsal özellikler bilinmediğinden ve gönderilen verilerin uygulamada oluşturduğu etki ve sonuçların analizine dayandığından, uygulama test tekniklerinden black-box kategorisine girmektedir. Read the rest of this entry »

Posted in Eğitim, Güvenliği Algılamak, web uygulama güvenliği | Tags: beyaz kutu testi, blackbox, Data Analysis, Exploratory Testing, fuzzing, greybox, gri kutu testi, Güvenlik Stres Testi, Kara kutu güvenlik testlerinde kullanılan teknolojiler, kara kutu testi, Keşif Testi, Monitoring Program Behavior, penetrasyon testi, penetrasyon testing, Program Davranışlarını İzleme, Recursive Fuzzing, Replacive Fuzzing, Securtiy Stress Testing, Söz dizimi Testleri, Syntax Testing, Test Scaffolding, Veri Analizi, whitebox, yazilarim | No Comments »

Cross Site Scripting (XSS)

November 11th, 2009 | Author: Cüneyt Bergel

Cross Site Scripting adından belli ettiği üzere web yazılımlarında kullanılan scriptlerin kullanıcıya müsade edilen alanlara girişi ile meydana gelen bir açıktır. Saldırgan istediği kodu siteye ulaştırmak için başka siteler kullanabilir (örn : cookie çalma ) bu yüzden Cross Site olarak adlandırılır.

Çoğunluk la Saldırgan XSS i farklı sitelere yönlendirme yapmak ve kullanıcıların cookie lerini çalmak için kullanır. Çaldığı cookie yi kendi cookie’ si ile değiştirip kullanıcının yetkilerine ulaşmayı amaçlar. XSS açığını uzman programcılar yapmaz , genelde programcılığa yeni başlamış kişiler bu hatalara çok fazla düşer.

Read the rest of this entry »

Posted in Eğitim, Güvenliği Algılamak, web uygulama güvenliği | Tags: Cross Site Scripting, XSS, yazilarim | No Comments »

Blackbox Penetrasyon Testi-1

November 10th, 2009 | Author: Cüneyt Bergel

Kara kutu (blackbox) penetrasyon testi, test altındaki sistem hakkında genellikle hiç bilgi sahibi olunmadan veya sınırlı bir bilgiye sahip olunduğunda yada kaynak koda erişimin olmadığı durumlarda kullanılır.

Kara kutu güvenlik testleri web sayfalarının yayınlanmasından önce potansiyel güvenlik açıklarını gidermek ve teşhis etmek yada yayınlanmış sistemler içerisindeki güvenlik sorunlarını gidermek ve teşhis etmek için yürütülür.

Kara kutu test araçlarının önemli bir kısmı uygulama güvenliği ile ilgili sorunlara odaklanmıştır. Bunlardan bazıları:

•input checking and validation (giriş kontrol ve doğrulama)

•SQL insertion attacks (Sql ekleme atakları)

•injection flaws (enjeksiyon hataları)

•session management issues (Oturum yönetimi sorunları)

•cross-site scripting attacks (Siteler arası komut saldırıları)

•buffer overflow vulnerabilities (Hafıza Taşması güvenlik açıkları)

•directory traversal attacks

Read the rest of this entry »

Posted in Eğitim, Güvenliği Algılamak, web uygulama güvenliği | Tags: beyaz kutu testi, blackbox, greybox, gri kutu testi, kara kutu testi, penetrasyon testi, penetrasyon testing, whitebox, yazilarim | No Comments »

Penetrasyon Testi

November 4th, 2009 | Author: Cüneyt Bergel

Penetration Testi, Kötü amaçlı saldırganın sistemlerinize verebileceği zararı görebilmeniz ve gerekli tedbirleri alabilmeniz için yapılan saldırı simulasyonudur.

Güvenlik uzmanı ve sistemlerinin güvenliğini test etmek isteyen firma ile yapılan anlaşma doğrutusunda ,firma sistemleri test edilir.

3 Çeşit Pen Test Metodu vardır ;

1. White Box ( Beyaz Kutu Testi ) : Güvenlik uzmanına firma içindeki tüm sistemler hakkında bilgi verilir. Bu metod önceden firmada çalışmış ve ayrılmış saldırganın firmaya saldırı yapma olasılığını ve sonuçlarını test etme amacıyla tasarlanmıştır.

2. Black Box ( Siyah Kutu Testi ) : Bu metod ile güvenlik uzmanına hiç bir bilgi verilmez , Sadece IP yada gerekmiyorsa bu bile verilmez , Tamamen zarar vermek, kişisel tatmin ve bilgi çalmak amacıyla dışarıdan gelebilecek bir saldırganın verebileceği zararı görmek ve önlem almak için tasarlanmış metodtur.

3. Grey Box ( Gri Kutu Testleri ) : Firma içerisinde düşük yetkilere sahip kullanıcının sisteme ve firmaya verebileceği zararı test etmek amaçlı düşünülmüş metodtur.Güvenlik uzmanı firma içinde belirli süre zarfında bulunup sistem açıklarını tarar ve bunları raporlar.

Read the rest of this entry »

Posted in Eğitim, Güvenliği Algılamak, web uygulama güvenliği | Tags: , beyaz kutu testi, blackbox, greybox, gri kutu testi, kara kutu testi, penetrasyon testi, penetrasyon testing, whitebox, yazilarim | 1 Comment »

Lokal Network Güvenliği (3. Bölüm- Ortadaki Adam)

November 2nd, 2009 | Author: Cüneyt Bergel

Lokal network güvenliği yazı dizimin ilk iki bölümüne aşağıdaki liklerden ulaşabilirsiniz..

1. Bölüm-Genel Bakış — 2. Bölüm-Arp Zehirlenmesi

Bu yazımızda lokal networkte kolaylıkla yapılabilecek diğer bir saldırı tipi olan Man-In-The-Middle yani ortadaki adam tekniğinden bahsediyor olacağım.Ortadaki adam saldırı tekniği kısaca kullanıcı ile sunucu arasındaki trafiğin kendi üzerinden yönlendirmesi veya kendi oluşturduğu sahte bir siteye yönlendirme işidir. Bunu sağlamanın birçok yolu var. Ben sadece 1 tanesine değineceğim.

2.Bölümde bahsettiğim arp zehirlenmesi kullanılarak saldırdan kullanıcının gateway adresi kendisiymiş gibi yayın yaparak kullanıcının tüm trafiğinin üzerinden geçmesini sağlar. Böylece kullanıcının hangi sitelere girdiğinden tutunda, gönderdiği aldığı maillere, şifrelere vs. kadar bilgileri alabilir. İşte size ortadaki adam saldırısına güzel bir örnek.

Çözüm:

Birçok şekilde bu saldırı tipi yapılabilindiği için her senaryo için farklı korunma yöntemleri uygulanmalıdır. Yazımda bahsettiğim saldırı tipinde switch üzerinde konfigürasyon bazında değişiklik yapmak yeterli olacaktır.

Cisco Switch üzerinde arp zehirlenmesi engellemek için kullanılması gereken örnek konfigürasyon:

CiscoSW(config)#ip arp inspection vlan 1
CiscoSW(config)#ip arp inspection validate dst-mac src-mac ip
CiscoSW(config)#arp access-list servers
CiscoSW(config-arp-nacl)#permit ip host 192.168.69.25 mac host 000c.2957.6b39 log
CiscoSW(config-arp-nacl)#exit
CiscoSW(config)#ip arp inspection filter servers vlan 1

Posted in Eğitim, Güvenliği Algılamak, LAN Güvenlik | Tags: arp, arp poisoning, arp poisoning engelleme, arp zehirlenmesi, arp zehirlenmesini engellemek, lan güvenliği, Lokal Network Güvenliği, makale, man in the middle, man in the middle engelleme, ortadaki adam, ortadaki adam engelleme, yazilarim | No Comments »