bildirgec.org

web sitelerinizin güvenliğinde, güvenlik taraması imkanı verecek ücretsiz web uygulama güvenliği test araçları bu makalede listelendi.

1- netsparker community edition (windows)

netsparker, sql injection + cross-site scripting sorunları tespit edebilir. tarama işlemi tamamlandıktan sonra bu konular için çözümler görüntüler.

2-websecurify (windows, linux, mac os x)

websecurify kolay kullanımlı ve otomatik olarak yazılımdaki zayıflıkları test eder, fuzzing teknolojilerini kullanarak web uygulama açıkları tespiteden açık kaynak kodlu bir araçtır. bu araç aynı zamanda çok dil desteği ve genişletilebilir eklenti desteği sunar.

Google, web geliştiricileri düşünürek yeni bir hamlede daha bulundu. Güvenlik konusuna verdiği öneme dikkat çeken Google, web uygulamaları üretenler için hazırlanan bu açık kaynaklı yardımcı güvenlik aracı hazırladığınız uygulamaları tarayarak olası güvenlik açıklarını bularak geliştiricilere bildiriyor.

Google’ın açık kaynak kodlu olarak hazırladığı bu araç küçük girişimcilere ve web uygulamaları hazırlayan tasarımcılara sahip çıktığını gösteriyor ve Google bunu belirtirken güvenlik konusunda yaptığı bu adımı da vurguluyor.

Web Geliştiricileri Bu yeni aracı kullanarak gözden kaçırdıkları SQL, XML ve XSS açıklarını bulabilecekler ve düzeltebilecekler. Böylece kötü niyetli kişilerin emek vererek yaptıkları uygulamalarına zarar vermelerini engelleyebilecekler. Google Skipfish, Nmap ve Nessus benzeri birçok özelliğe sahip.

Merhaba Arkadaşlar,
Bu makalede güvenli uygulama geliştirmede yardımcı olacak güvenlik araçlarından bahsedeceğim.

Bildiğiniz gibi Microsoft güvenlik alanında ki vizyonunu değiştirdikten sonra, geliştiricilerin güvenli kod yazmasına ciddi şekilde yarar sağlayan birçok araç çıkardı.

Bu araçları tanıyalım;

Microsoft Source Code Analyzer for SQL Injection
ASP scriptlerinizde Sql Injection sömürüsüne olanak veren kod olup olmadığını kontrol eden güzel bir uygulama.
Download

internetten sipariş verdiğiniz ürün, yaptığınız ödemenin üzerinden oldukça uzun bir zaman geçmiş olmasına rağmen elinize ulaşmamış olabilir. Hacker kurbanı olabilirsiniz. bu tür saldırılarda genellikle şu yol izleniyor.siz ürünün siparişini verirken saldırgan alışveriş formunun içeriğini manipüle ederek alışveriş sitesinin sunucusuna kendisini siz olarak tanıtıyor.saldırgan, bu senaryoyu hayata geçirdiğinde sizin hesabınızla dilediğince alışveriş yapabiliyor. çok sayıda web firması bu senaryoya karşı korumasız durumda. Chorizo isimli araç web sitelerinin zayıf noktalarını bulmaya yardım ediyor ve çoğunlukla amacına ulaşıyor.Burada esas sorun programcılıktaki başarısızlık değil hacker’ların yaratıcılıkta sınır tanımaması. CSRF, XSS‘nin bir adım daha ilerisinde. XSS’de manipüle edilmiş bir URL ile internet tarayıcısı üzerinden bir kod çalıştırıyor ve parolaları elde edebiliyordu. CSRF’de hacker, saldırı sırasında örneğin sipariş sistemindeki, verileri değiştirebiliyor. Böylece uygulama saldırganın isteklerinden sizi sorumlu tutuyor. Web 2.0 ajax uygulamalarıi berbaerinde CSRF’in risk potansiyeli de artıyor. normalde sunucu üzerinden çalıştırılan scriptler sıklıkla internet tarayıcı üzerinde çalıştırılıyor. sorun, sunucunun tarayıcı tarafından gönderilen formun maipüle edilmemiş ve orijinal olduğunu açığa çıkaramaması. kullanıcı olarak size düşen, ilgili güncellemeleri yaparak güvenlik düzeyini mümkün olduğunca en üst seviyede tutmak ve güvenilir sitelerde sörf yapmak.
konuyla alakalı olarak:

• CSRF, XSS, SQL Injection den Korunma ve Diger Korunma Geyikleri
• About Hotlinking and CSRF
• Flawed CSRF Protections
• XSS

Bu makalemde “html injection” güvenlik açığı hakkında bilgilendirme yapıp, bu açıktan korunmak için ipuçları vereceğim.

Bu güvenlik açığı; web yazılımlarında programcıların güvenlik konusundaki bilgisizliğinden veya dikkatsizliğinden kaynaklanmaktadır. Genellikle ziyaretçilerin veritabanına bilgi girişinde bulunması ve bu bilginin daha sonra site üzerinde çağırılmasıyla oluşur. Ziyaretçi yorumlarının olduğu kısımlarda, ziyaretçilerin profil bilgilerini girdiği kısımlarda giriş yapılan veriyi kontrol ettirmeden direkt olarak veritabanına alınmasından dolayı meydana gelir.

PHP uygulamasında güvenlik uzaktan ve yerel güvenlik endişelerini içerir. PHP geliştiricilerinin her iki karakteristiği de içine alan uygulamalar geliştirebilmeleri için sahip olmaları gereken 7 alışkanlığı bu makalede listelemeye çalışacağım.

Konu güvenliğe geldiğinde, işletim sistemi ve platform güvenlik sorunlarının yanısıra kendi yazdığınız uygulamaların da güvenli olduğuna emin olmanız gerekmektedir. PHP uygulamaları yazarken aşağıdaki 7 maddeyi alışkanlık haline getirirseniz uygulamalarınızın mümkün olan en güvenli şekilde olacağına emin olabillrsiniz.

konu veri güvenliği olunca elbetteki önemli bir konu !
konu hakkında en ayrıntılı korunma rehper kılavuzu
http://en.wikipedia.org/wiki/Cross-site_scripting

bizimkiler de konuyu kısaca tr çevirmişler
http://tr.wikipedia.org/wiki/Cross_site_scripting
ama çeviri kısaca söyle olmuş
” scriptlerdeki açıklar sayesinde hikırlar sizi haklarlar,
dergibi kısa ve öz bir açıklama olmuş

iyide kardeşim
bana bildimediğim bir şey söyleki
bu gibi olası saldırılardan kendimi nasıl koruyayım desemde
bu konuda 1 satır bile bir açıklama malesef yok

herhangi bir marka veya bir programın iconu veya başka simgeler bunları özellikle *.png formatında istiyorsanız bu site sizin kurtarıcınız olacaktır. çünkü png iconlara hergün yenisi eklenmekte. Siteye burdan ulaşabilirsiniz.

81.95.150.82 numaralı IP den sitelere XSS kolarıyla gizli HEX saldırıları yapılmaktadır. ve cookie kullanıcı bilgileri ele geçirilmektedir. başka IP bilen varsın onlarıda banlayalım

Şu sayfada, ruby on rails (ror) ile yazılımış web uygulamalarında bulunması muhtemel güvenlik açıklarından bahsedilmiş. Bu klavuzda SQL Injection, XSS, CSRF… gibi popüler güvenlik açıklarına da değinilmiş.