Javascript ile Girdi Denetimi
November 3rd, 2009 | Author: Cüneyt Bergel
Hepimizin bildiği üzere; girdi denetimi hem web uygulaması güvenliğinin hem de genel itibariyle güvenlik sektörünün en çok yanlış yapılan şeylerinden biri.
Bir çok web uygulamasında, girdi denetiminin (sadece) javascript ile yapıldığını görüyorum. Bunun iki sebebi olabilir.
Girdi denetimi gibi angarya işleri (!) istemci tarafında hallederek sunucu tarafında performans kazanmak. Yanlış girilen inputu hemen göstererek response zamanını düşürmek Şimdi sadece javascript (ya da herhangi bir istemci-taraflı dil) ile girdi denetimi yapıp, uygulamayı doğaya salmak beraberinde bir ton güvenlik problemi getirecektir.
Atıyorum doldurduğunuz formun ad, soyad ve numara haneleri veritabanına yazılacak. Burada SQL Injection’dan haberi olan herhangi bir ortalama web uygulaması geliştiricisi,kabaca kullanıcıdan aldığı ad, soyad ve numara verilerini SQL Query’e eklemeden önce filtreleyecektir. Bu filtreleme işlemini javascirpt ile istemci tarafında yaparsa, javascript kodları çalıştıktan ve HTTP isteği browser’ınızdan çıktıktan sonra araya bir MITM saldırı proxy’si ile kolayca girilebilecek ve filtrelediğiniz veriler eski-zararlı hallerine çevirilecektir. Filtreleme yapılmış kabul ettiğiniz veriler SQL Query’e eklenecek ve sonrasında saldırganı cyber-orgazmlara gark edecektir.
İşyerlerinde internetin ve sosyal ağların yoğun kullanımının hukuki durumu
November 3rd, 2009 | Author: Cüneyt Bergel
Çalışma hayatının stresinden olsa gerek, herkes bir sebepten dolayı kendisini internette oyalayacak bir site bulmuş durumda. Bunların başında, tabi ki sosyal ağ siteleri olan Facebook, Twitter, Friendfeed, Myspace gibi siteler gelmekte. Bu sitelerin vizyonları farklı olmakla ve bazı sektörler için büyük bir bilgi kaynağı olmakla birlikte, boşa zaman harcatabilecek birçok özelliği barındırdıkları da bir gerçek.
Her sosyal ağ sitesi için ayrı bir sayfa açıp takip etmektense, bu siteleri birbirine bağlayarak takip etmek bile artık çok kolaylaştı. Alışkanlık yapan ve bazen boşa zaman harcatan bu tip sosyal ağların kullanımına işyerinde devam edilmesi ise, tabi ki işveren tarafından her zaman iyi karşılanmamaktadır. İşyerindeki verimsizliğin sebebi, internette ve sosyal ağlarda çok vakit geçirilmesine bağlanabildiği gibi, işyerinde yoğun internet kullanımı çoğu zaman yapılan dikkatsizliklerin sebebi olarak bile yorumlanabilmektedir. Bazı işverenler ise, yoğun internet kullanımında şirketin bilgi güvenliğinin ihlal edildiğini dahi düşünmektedir. İşverenlerin tamamen haksız oldukları söylenemez. Nitekim işyerinde internetin hele ki sosyal ağların yoğun olarak kullanılması verimsizlik ve dikkatsizliği meydana getirebilmektedir.
Lokal Network Güvenliği (3. Bölüm- Ortadaki Adam)
November 2nd, 2009 | Author: Cüneyt Bergel
Lokal network güvenliği yazı dizimin ilk iki bölümüne aşağıdaki liklerden ulaşabilirsiniz..
2.Bölümde bahsettiğim arp zehirlenmesi kullanılarak saldırdan kullanıcının gateway adresi kendisiymiş gibi yayın yaparak kullanıcının tüm trafiğinin üzerinden geçmesini sağlar. Böylece kullanıcının hangi sitelere girdiğinden tutunda, gönderdiği aldığı maillere, şifrelere vs. kadar bilgileri alabilir.  İşte size ortadaki adam saldırısına güzel bir örnek.
Çözüm:
Cisco Switch üzerinde arp zehirlenmesi engellemek için kullanılması gereken örnek konfigürasyon:
CiscoSW(config)#ip arp inspection vlan 1
CiscoSW(config)#ip arp inspection validate dst-mac src-mac ip
CiscoSW(config)#arp access-list servers
CiscoSW(config-arp-nacl)#permit ip host 192.168.69.25 mac host 000c.2957.6b39 log
CiscoSW(config-arp-nacl)#exit
CiscoSW(config)#ip arp inspection filter servers vlan 1
Netsec Güvenlik Bülteni IX
November 1st, 2009 | Author: Cüneyt Bergel
Bülten İçerigi
1)Güvenlik dünyasından haberler
2)Kritik seviye güvenlik açıklıkları
3)Yeni çıkan/güncellenen güvenlik yazılımları
4)Haftanın güvenlik yazılımı
5)Haftanın Misafiri
6)Etkinlikler
7)Dikkat çeken yazılar
8)Iş Ilanları
Devamini okumak icin burayi tiklayiniz »
Netsec Güvenlik Bülteni VIII
October 23rd, 2009 | Author: Cüneyt Bergel