2015 yılı sonuçları :
Dev Firmaların Mülakatlarda Sorduğu 15 Çetin Soru
Apple, Google, Microsoft, Facebook, Amazon gibi firmalar işe alım yaparken adayın düşünme yöntemlerini, problemlere ve olaylara yaklaşımını ve metodolojisini görmek için çok garip gözüken sorular sorarlar. 1.Pozisyon: Google İdari Asistan; Elinizde bir kutu kalem var. Bu kalemlerle yazı yazmak, resim yapmak vb şeyler dışında yapabileceğiniz 10 şeyi listeleyin. 2.Pozisyon: Amazon kıdemli insan kaynakları uzmanı; Eğer Marslı olsaydın, problemleri nasıl çözerdi... [Devamı]
Bu yazı 03.01.2015 tarihinde, saat 19:57:48'de yazılmıştır.
Yapay Zeka İnsanı Geçemez
Bu yazıda geçen fikirler bir kanaatten öte olmayıp yanlış bir bilgilendirmeden ötürü sorumluluk bana aittir. - Hasan Fatih ŞİMŞEK Duymuşsunuzdur ya da izlemişsinizdir insan icadı robotların dünyayı ele geçirişini. Sözgelimi geçmişlerden hatırladığımız Terminatör ya da I,Robot gibi filmler… Bu ve buna benzer filmlerde işlenen temel nokta yapay zekanın insanı kontrol(cebir) altına alabilmesidir. Bu sonuca ise öğrenebilme becerisinin robota öğretilmesi baz alınarak ulaşılmaktadır. Bir ro... [Devamı]
Bu yazı 02.02.2015 tarihinde, saat 05:04:26'de yazılmıştır.
Webgoat Nedir?
Webgoat, web siteleri için siber güvenliği konu alan bir web uygulamasıdır. J2EE(Java 2 Enterprise Edition) temelli geliştirilmiş sürümü bulunduğu gibi ASP.NET temelli geliştirilmiş sürümü de bulunmaktadır. Kodlamalarla içli dışlı çok nadir olunduğundan dolayı dil o kadar da önemli değil denebilir. Fakat derinlemesine öğrenmek istiyorsanız aşina olduğunuz ya da öğrenmekte olduğunuz dille yazılmış sürümü kullanmanızı öneririm. Java dili ile hazırlanmış Webgoat sürümü platform bağımsızlığına sahip... [Devamı]
Bu yazı 15.02.2015 tarihinde, saat 00:16:04'de yazılmıştır.
Linux'a Webgoat Kurulumu
Bu yazı Webgoat web uygulamasının bir linux işletim sistemi olan Ubuntu üzerinden kurulumunu konu edinmektedir. Windows işletim sistemi için kurulum yapmak isteyenler bu adresten gerekli talimatları alarak kurulumlarını gerçekleştirebilirler. Bu yazıda geçen kurulum aşamaları muhtemelen tüm linux sürümleri için işlevseldir. Çünkü yüklemeler ve yapılandırmalar linux'un shell kodlamaları ile yapılmaktadır. Linux için kurulum aşamaları şunlardan ibarettir: JDK 1.6 Kurulumu ... [Devamı]
Bu yazı 15.02.2015 tarihinde, saat 00:16:52'de yazılmıştır.
Windows'a Webgoat Kurulumu
Microsoft firmasının işletim sistemi olan Windows'a Webgoat kurulumu şunlardan ibarettir: JRE 1.8 Kurulumu Webscarab'ı Kurma ve Yapılandırma Webgoat'u Başlatma 1. JRE 1.8 Kurulumu Webscarab'ı başlatabilmek için JRE'ye ihtiyacımız olacaktır. Bu adresten sisteminiz 32 bitse jre-8u31-windows-i586.exe dosyasını, sisteminiz 64 bitse jre-8u31-windows-x64.exe dosyasını indirin. İlgili dosyayı indirebilmeniz için açılan sayfadaki lisans anlaşmasına Accept demen... [Devamı]
Bu yazı 28.02.2015 tarihinde, saat 05:37:03'de yazılmıştır.
Ders 1 - Introduction(Giriş)
Webgoat siber güvenlik uygulamamız bu ilk bölümde - Introduction bölümünde - bizlere WebGoat web uygulamasını daha verimli nasıl kullanabileceğimizden, nasıl WebGoat uygulamasına eğer dilersek ders ekleyebileceğimizden ve bu web uygulamasının bir laboratuvar v.b. ortamda çoklu bilgisayarlara nasıl sunulabileceğinden bahsetmektedir. Bizi ilgilendiren burada bu web uygulamasını nasıl daha verimli kullanabileceğimiz kısmı olduğundan bu yazı bunu konu edinecektir. Yukarı... [Devamı]
Bu yazı 07.03.2015 tarihinde, saat 05:05:26'de yazılmıştır.
Ders 2 - General > Http Basics
Webgoat uygulamasının General ünitesinde yer alan ilk dersimiz Http Basics, yani Http Esasları üzerinedir. Bu ders ile Webscarab'ın kullanılışını ve http iletişimini bir nebze öğrenmiş olacaksınız. Bu derste bunların yanısıra önceki derste tanıtılan butonlara da tekrar değinilecektir. Her derste Dersin Hedefi başlıklı yazı bölümü yer alacaktır. Dersin Hedefi bölümü WebGoat uygulama arayüzünde yapacağınız görevlerden - mesela yapılması gereken siber saldırıdan - bahsedecektir. Bu b... [Devamı]
Bu yazı 18.04.2015 tarihinde, saat 18:29:20'de yazılmıştır.
Ders 3 - General > Http Split
Webgoat uygulamasının General ünitesinde yer alan ikinci dersimiz Http Split'tir. Bu ders ile enjeksiyon kavramı kafanızda şekillenecek, aynı zamanda HTTP header'a aşinalık kazanmış olacaksınız. Dersin Hedefi Bu ders Http Split(Http Bölme) ve Cache Poisoning(Önbellek Zehirleme) olmak üzere iki kısımdan oluşur. İlk kısımda CR(%0D) ve LF(%0A) karakterlerini kullanarak sunucudan faydalanmaya çalışın. Yani yaptığınız saldırı sonucu sunucunun 200 OK yanıtını vermesini sağlayın. İkinci... [Devamı]
Bu yazı 26.04.2015 tarihinde, saat 13:31:42'de yazılmıştır.
Ders 4 - Access Control Flaws > Using an Access Control Matrix
Webgoat'ın Access Control Flaws, yani Erişim Kontrolü Kusurları ünitesinin ilk kısmı olan Using an Access Control Matrix(Erişim Kontrolü Matrisini Kullanma) dersinde, simule edilen sistemin kullanıcıları ve o kullanıcıların izinleri ele alınmıştır. Dersin Hedefi Her kullanıcıya yalnızca belirli kaynaklara erişim izni tanınmıştır. Yani her kullanıcıya bazı roller biçilmiştir. Hedefiniz Webgoat'ta simule edilen sitenin erişim izinlerini keşfetmektir. (NOT: Yalnızca [admin] grubundak... [Devamı]
Bu yazı 27.04.2015 tarihinde, saat 08:48:05'de yazılmıştır.
Ders 5 - Access Control Flaws > Bypass a Path Based Access Control Scheme
Webgoat'ın Access Control Flaws, yani Erişim Kontrolü Kusurları ünitesinin ikinci kısmı olan Bypass a Path Based Access Control Scheme(Erişim Kontrolü Şeması Temelli Dizin Yolu Atlatma) dersinde site arayüzünde görünmeyen linke ulaşılabilirlik konu edinilmiştir. Dersin Hedefi Ekranda listelenen dosyalardan aralarında görünmeyen bir dosyaya erişilmelidir. Açıklamalar Web programlamada geliştiricilerin genellikle kullandığı bir link sembolü vardır. O sembolse şu... [Devamı]
Bu yazı 02.05.2015 tarihinde, saat 22:51:45'de yazılmıştır.
Ders 6 - Role Based Access Control > Stage 1
Access Control Flaws ünitesinin LAB: Role Based Access Control(Role Dayalı Erişim Kontrolü) dersinin bir alt başlığı olan Stage 1: Bypass Business Layer Access Control dersinde bir işçinin login olunabilen bir sistem üzerinde normalde yetkisi olmadığı halde yönetici işini gerçekleştirebilmesinden bahsedilecektir. Dersin Hedefi Hedefiniz ders ekranındaki sistemin erişim kontrolü zayıflığından faydalanarak Delete işlevini kullanmaktır. Sistem kullanıcılarının oturum açma şifreleri il... [Devamı]
Bu yazı 04.05.2015 tarihinde, saat 09:07:44'de yazılmıştır.
Ders 7 - Role Based Access Control > Stage 2
Access Control Flaws ünitesinin LAB: Role Based Access Control(Role Dayalı Erişim Kontrolü) dersinin ikinci alt başlığı olan Stage 2: Add Business Layer Access Control dersinde Stage 1'deki güvenlik açığının kapatılmasından ve bunun üzerine yetki ihlali yapma denemelerinin boşa çıkışından bahsedilecektir. Dersin Hedefi Delete işlevine olan yetkisiz erişimi engellemek için bir düzeltme uygulayın. Düzeltme uygulayabilmek için WebGoat kaynak kodunu değiştirmek zorunda kalacaksınız... [Devamı]
Bu yazı 09.05.2015 tarihinde, saat 16:46:02'de yazılmıştır.
Ders 8 - Role Based Access Control > Stage 3
Access Control Flaws ünitesinin LAB: Role Based Access Control(Role Dayalı Erişim Kontrolü) dersinin üçüncü alt başlığı olan Stage 3: Breaking Data Layer Access Control dersinde bir personelin sadece kendi profilini görüntüleyebilme yetkisi varken başka personelin profilini de yetkisiz bir şekilde görüntüleyebiliyor olması ele alınacaktır. Dersin Hedefi Hedefiniz personel Tom olarak kendi profiliniz dışında başka personelin profilini de görüntüleyebilmektir, yani erişim kontrolü za... [Devamı]
Bu yazı 10.05.2015 tarihinde, saat 13:29:24'de yazılmıştır.
Ders 9 - Role Based Access Control > Stage 4
Access Control Flaws ünitesinin LAB: Role Based Access Control(Role Dayalı Erişim Kontrolü) dersinin dördüncü alt başlığı olan Stage 4: Add Data Layer Access Control dersinde Stage 3'deki güvenlik açığının kapatılmasından ve bunun üzerine yetki ihlali yapma denemelerinin boşa çıkışından bahsedilecektir. Dersin Hedefi ViewProfile işlevi için yetkisiz erişimi engellemek adına bir düzeltme uygulayın. Düzeltme uygulayabilmek için WebGoat kaynak kodunu değiştirmek zorunda kalacaksınız. ... [Devamı]
Bu yazı 10.05.2015 tarihinde, saat 15:17:50'de yazılmıştır.
Ders 10 - Access Control Flaws > Remote Admin Access
Access Control Flaws ünitesinin dördüncü dersi olan Remote Admin Access(Uzaktan Admin Erişimi) dersinde admin için hazırlanmış sayfaların admin olmayan bir kişi tarafından nasıl görüntülenebileceğine dair bir örnekten bahsedilecektir ve ayrıca bu açığın nasıl kapatılabileceğinden, bu tip durumlarla karşılaşılmaması için yapılması gerekenlerden bahsedilecektir. Dersin Hedefi Admin'lerin erişebildiği ve normal kullanıcıların erişemediği idari sayfalardan birine normal kullanıcı ola... [Devamı]
Bu yazı 11.05.2015 tarihinde, saat 08:19:55'de yazılmıştır.
Ders 11 - Ajax Security > Same Origin Policy Protection
AJAX Security ünitesinin ilk dersi olan Same Origin Policy Protection(Aynı Köken Koruma Politikası) dersinde ajax'ın ne olduğuna dair bazı bilgiler paylaşılacak ve güvenliğe bakan yönüne değinilecektir. Dersin Hedefi Bu ders Same Origin Policy'i(Aynı Köken Politikasını) konu edinmektedir. XHR(XMLHttpRequest) yalnızca geldiği sunucuyla iletişime geçebilir. Geldiği sunucuya değil de başka sunucuya XHR ile veri iletme teşebbüsünde bulunun. Açıklamalar Web sayfalarının ... [Devamı]
Bu yazı 11.05.2015 tarihinde, saat 09:41:22'de yazılmıştır.
Ders 12 - Ajax Security > DOM-Based cross-site scripting
AJAX Security ünitesinin ikinci dersi olan DOM-Based cross-site scripting(DOM Temelli Siteler Arası Kodlama) dersinde çoğunlukla XSS şeklinde kısaltılan cross-site scripting'i öğreneceksiniz. Dersin Hedefi Bu egzersiz 5 aşamadan oluşmaktadır. Aşamalar için genel manada şunu yapacağınızı söyleyebiliriz: "DOM'a zararlı kod enjekte etmek ve web içeriğini değiştirmek". Dersin son aşamasına geldiğinizde bu güvenlik açığını kapatmaya yönelik bir düzeltme uygulayacaksınız. Stag... [Devamı]
Bu yazı 03.06.2015 tarihinde, saat 19:11:36'de yazılmıştır.
Ders 13 - Ajax Security > Client Side Filtering
AJAX Security ünitesinin üçüncü dersi olan Client Side Filtering(İstemci Taraflı Filtreleme) dersinde filtreleme işleminin sunucu tarafında yapılmayıp istemci tarafında yapılmasının doğurduğu sıkıntıdan bahsedilecektir. Dersin Hedefi Bu ders 2 aşamadan oluşmaktadır. İlk aşamada hassas bilgilere ulaşmanız gerekmektedir. İkinci aşamada ise erişilememesi gereken hassas bilgilere erişilebilmesi problemini gidermelisiniz. Stage 1 Siz bu derste Moe Stooge personelini temsil etm... [Devamı]
Bu yazı 07.06.2015 tarihinde, saat 18:00:25'de yazılmıştır.
GET ile POST Arasındaki Fark
Bu yazıda en yaygın iki HTTP talep methodu olan GET ve POST'un arasındaki farklardan bahsedilecektir. Bu farklara geçmeden önce GET ve POST'un nerelerde kullanıldığına değinelim. GET ve POST birer HTML Talep methodlarıdır. Yani GET ve POST ile sunucudan sayfa talebinde bulunabildiğimiz gibi aynı zamanda sunucuya veri de gönderebiliriz. Bu iki HTTP Talep methodu dışında başka HTTP talep methodları da vardır(Örn; HEAD, PUT, DELETE, OPTIONS ve CONNECT gibi...). Bu yazıda GET ve POST dışındaki HTTP... [Devamı]
Bu yazı 18.06.2015 tarihinde, saat 18:40:37'de yazılmıştır.
Ders 14 - Ajax Security > DOM Injection
AJAX Security ünitesinin dördüncü dersi olan DOM Injection(Document Object Model Enjeksiyonu) dersinde AJAX teknolojisi ile gerçekleştirilen sunucu bağlantısında sunucudan gelecek veriye kod enjekte edeceğiz. Böylece dersin sunduğu (sözde) uygulamaya girebilmek için lisans anahtarını bilmeden girişi gerçekleştirmiş olacağız. Dersin Hedefi *Bu derste kurban olan taraf aktivasyon anahtarını kullanmamıza izin veren ve bu aktivasyon kodunu alan sistemdir. *Hedefiniz activate ... [Devamı]
Bu yazı 26.06.2015 tarihinde, saat 09:19:25'de yazılmıştır.
Ders 15 - Ajax Security > XML Injection
AJAX Security ünitesinin dördüncü dersi olan XML Injection(Extensible Markup Language Enjeksiyonu) dersinde Ajax'ın sunucu ile alışverişinde kullanılan XML içeriğine enjeksiyon yapılarak sistemin bize sunduğu ödülden daha fazlasını alma teşebbüsünde bulunmuş olacağız. Dersin Hedefi WebGoat-Miles firması ders ekranında size mevcut tüm ödül mil'lerini göstermektedir. Account(Hesap) ID'nizi girdiniz mi ders ekranı aşağı tarafta size bakiyenizi ve alabileceğiniz ürünleri gösterecekti... [Devamı]
Bu yazı 07.07.2015 tarihinde, saat 21:26:01'de yazılmıştır.
Ders 16 - Ajax Security > JSON Injection
AJAX Security ünitesinin beşinci dersi olan JSON Injection(JavaScript Object Notation Enjeksiyonu) dersinde bir önceki derslerle aynı mantıkda kod enjeksiyonu yapılacaktır. Böylelikle ucuza uçak bileti almış olacağız. Dersin Hedefi Boston'dan Seattle'a seyahet edecek bir müşterisiniz. Bi' kez havalimanının 3 karakterli kodunu metin kutularına girdiniz mi AJAX talebi bilet ücretini sorgulamak için çalıştırılacaktır(Boston'ın kodu BOS, Seattle'ınki ise SEA'dır). Fark edeceksiniz ki ... [Devamı]
Bu yazı 14.07.2015 tarihinde, saat 20:13:31'de yazılmıştır.
Ders 17 - Ajax Security > Silent Transactions Attacks
AJAX Security ünitesinin altıncı dersi olan Silent Transactions Attacks(Sessiz Banka İşlemleri Saldırısı) dersinde tarihin tozlu raflarına kaldırılmış olan bir bankacılık işlemi güvenlik açığını deneyimlemiş olacağız. Dersin Hedefi Bu dersin size sunduğu ekran para transferi yapılabilen bir internet bankacılığı uygulaması örneğidir. Ekran size bakiyenizi göstermektedir. Ayrıca para transfer edeceğiniz hesap için ve transfer edeceğiniz paranın miktarı için birer metin kutusu göste... [Devamı]
Bu yazı 15.07.2015 tarihinde, saat 14:50:10'de yazılmıştır.
UML Sınıf Diyagramları
Bu yazıda UML sınıf diyagramlarının temel notasyonlarından(gösterimlerinden) bahsedilecektir. Öncelikle UML nedir ondan başlayalım. UML nesne yönelimli tasarım metodolojisi geliştirme aşamasındaki ilk adım olarak gerçek dünya nesnelerinin modellenmesi için var olan standard bir notasyondur. Yani bizler bir yazılım geliştirmeden önce uml diyagramları ile işin temelini atarız. UML'in açılımı Unified Modelin Language'dir. Kodlamadaki class(sınıf) varlığı UML Class Diagram'larında aşağıdaki gibi ku... [Devamı]
Bu yazı 19.07.2015 tarihinde, saat 22:05:46'de yazılmıştır.
UML Sınıf Diyagramı İlişkileri
Bu yazıda temel uml sınıf diyagramlarının ilişkileri konusunda bilgilendirileceksiniz. Association Dependency Aggregation Composition Generalization(Inheritance) Realization Öncelikle aşağıdaki resmi inceleyelim: Yukarıdaki resimde uml sınıf diyagramı ilişkilerini ve gösterimlerini görmektesiniz. Yukarıdaki ilişkilerin okunuşları aşağıdaki gibidir: Association : class A ile class B ... [Devamı]
Bu yazı 19.07.2015 tarihinde, saat 22:56:45'de yazılmıştır.
Association vs. Aggregation vs. Composition
Merhaba, kafa kurcalayıcı bir yazıya ne dersiniz? Bu yazıda Association ile Aggregation arasındaki farklardan ve Aggregation ile Composition arasındaki farklardan bahsedilecektir. Association ile Aggregation Arasındaki Fark Aggregation ile Composition Arasındaki Fark Hayli uzun yazıyı özetleyen bir resim olarak aşağıdakine bakabilirsiniz: Association vs. Aggregation Association sınıflar arasındaki bağlantının zayıf biçi... [Devamı]
Bu yazı 19.07.2015 tarihinde, saat 22:56:59'de yazılmıştır.
Ders 18 - Ajax Security > Dangerous Use of Eval
AJAX Security ünitesinin yedinci dersi olan Dangerous Use of Eval(Eval'ın Tehlikeli Kullanımı) dersinde bir javascript fonksiyonu olan eval()'ın kötü yönde kullanımından bahsedilecektir. Dersin Hedefi Bu egzersizde göreviniz aklınıza bir input dizgisi gelmesi ve bunu eval'a aktarıp zararlı script çalıştırmaktır. Bu dersi geçebilmeniz için document.cookie'yi alert()'lamalısınız. Açıklamalar Bu derste kullanıcı tarafından gelen denetlenmemiş bir verinin Javascr... [Devamı]
Bu yazı 28.07.2015 tarihinde, saat 20:48:00'de yazılmıştır.
Ders 19 - Ajax Security > Insecure Client Storage
AJAX Security ünitesinin son dersi olan Insecure Client Storage(Emniyetsiz İstemci Depolaması) dersinde istemci taraflı yapılan input denetlemenin sakıncasından ve alışveriş sitelerinin sipariş edilen ürünlerin fiyatlarını istemci tarafından alarak hesaplamasının sakıncasından bahsedilecektir. Dersin Hedefi Bu ders iki aşamadan oluşmaktadır. İlk aşamada hedefiniz indirim sağlayan bir kupon kodunu ele geçirerek satın alma işlemi yapmaktır. İkinci aşamada ise hedefiniz istemci tarafl... [Devamı]
Bu yazı 14.08.2015 tarihinde, saat 19:13:03'de yazılmıştır.
Ders 20 - Authentication Flaws > Password Strength
Authentication Flaws(Kimlik Doğrulama Kusurları) ünitesinin ilk dersi olan Password Strength(Şifre Güçlülüğü) dersinde ders ekranında yer alan şifrelerin ne kadar güvenli şifreler olduğundan bahsedilecektir. Dersin Hedefi Bu egzersizde yapacağınız iş verilen şifrelerin güvenilirliğinin https://www.cnlab.ch/codecheck üzerinde test edilmesidir. Açıklamalar Şifreleri kırmanın birden fazla yolu vardır. Bunlardan birine Brute Force derler. Anlamı kaba kuvvet demektir. Bu... [Devamı]
Bu yazı 31.08.2015 tarihinde, saat 17:50:57'de yazılmıştır.
Ders 21 - Authentication Flaws > Forgot Password
Authentication Flaws(Kimlik Doğrulama Kusurları) ünitesinin ikinci dersi olan Forgot Password(Unutulan Şifre) dersinde unutulan şifre sayfasının nasıl exploit edilebileceğinden, yani sömürülebilineceğinden bahsedilecektir. Dersin Hedefi Kullanıcılar eğer şifrelerini unuturlarsa tekrar elde edebilsinler diye gizli soru uygulaması mevcuttur. Gizli soruyu doğru cevaplayan kullanıcıya şifresi gösterilmektedir. Bu ders ekranında da böylesi bir senaryo vardır. Örnek verilmesi gerekirse... [Devamı]
Bu yazı 01.09.2015 tarihinde, saat 09:51:11'de yazılmıştır.
Ders 22 - Authentication Flaws > Basic Authentication
Authentication Flaws(Kimlik Doğrulama Kusurları) ünitesinin üçüncü dersi olan Basic Authentication(Temel Kimlik Onaylama) dersinde http header'ında yer alan authorization'den(yetkilendirmeden) ve jsessionid'dan(çerezlerden) bahsedilecektir(Http header'ın ne olduğuyla alakalı yazı için bkz. Ders 3 - General > Http Split). Dersin Hedefi Bu derste hedefiniz temel kimlik doğrulamayı anlamak ve ders ekranında verilen soruları cevaplamaktır. Açıklamalar Basic Authenticati... [Devamı]
Bu yazı 01.09.2015 tarihinde, saat 18:37:14'de yazılmıştır.
Ders 23 - Authentication Flaws > Multi Level Login 1
Authentication Flaws(Kimlik Doğrulama Kusurları) ünitesinin dördüncü dersi olan Multi Level Login 1(Çok Seviyeli Oturum Girişi 1) dersinde günümüzdeki bankaların internet şubelerinde kullanılan TAN[1] numarasının bir defalık kullanım ömrü olmasına rağmen ikinci kez nasıl kullanılabileceğinden ve böylece kurbanın banka hesabının senaryo gereği nasıl ele geçirilebileceğinden bahsedilecektir. Dersin Hedefi Bu ders iki aşamadan oluşmaktadır. STAGE 1(AŞAMA 1) Bu aşama size... [Devamı]
Bu yazı 03.09.2015 tarihinde, saat 20:15:47'de yazılmıştır.
Ders 24 - Authentication Flaws > Multi Level Login 2
Authentication Flaws(Kimlik Doğrulama Kusurları) ünitesinin beşinci dersi olan Multi Level Login 2(Çok Seviyeli Oturum Girişi 2) dersinde günümüzdeki bankaların internet şubelerinde kullanılan oturum girişi sistemine benzer bir sistem için kullanıcı adını bildiğimiz bir şahsın hesabının senaryo gereği nasıl çalınabileceğinden bahsedeğiz. Dersin Hedefi Bu derste senaryoya göre WebGoat Financial firmasına ait bir hesabınız bulunmaktadır. Kullanıcı adınız Joe, şifreniz ise banana... [Devamı]
Bu yazı 03.09.2015 tarihinde, saat 21:41:13'de yazılmıştır.
Ders 25 - Buffer Overflows > Off-by-One Overflows
Buffer Overflows ünitesinin dersi olan Off-by-One dersinde buffer overflow(tampon taşma) saldırısı gerçekleştirilecektir. Dersin Hedefi "OWASP Hotel'ine hoşgeldiniz. Odanızdan internete erişebilmek için ekranda sunulan metin kutularını doldurmanız gerekmektedir." Hedefiniz otelin dışındaki bir kişi olarak otelin internetine bağlanabilmektir. Açıklamalar Bu dersin mihenk noktası olan buffer overflow, yani tampon taşması bir değişkene kapasitesinden daha fazla değer a... [Devamı]
Bu yazı 07.09.2015 tarihinde, saat 06:03:53'de yazılmıştır.
Ders 26 - Code Quality > Discover Clues in the HTML
Code Quality(Kod Kalitesi) ünitesinin dersi olan Discover Clues in the HTML(HTML'deki ipuçlarını keşfetme) dersinde kodlama esnasında not düşülen yorumlar ele alınacaktır. Dersin Hedefi Kullanıcı olarak yetkilendirme kontrolünü atlatabilmeniz gerekmektedir. Açıklamalar Geliştiriciler FIXME(Beni düzelt), TODO's(Yapılacaklar Listesi), Code Broken(Kırılmış kod), Hack gibi ifadeleri geliştirdikleri kodlara ekledikleri için adları çıkmıştır. Yani geliştiriciler bu anlamda kötü... [Devamı]
Bu yazı 07.09.2015 tarihinde, saat 10:52:09'de yazılmıştır.
Ders 27 - Concurrency > Thread Safety Problems
Concurrency(Eşzamanlılık) ünitesinin ilk dersi olan Thread Safety Problems(İş Parçacığı Güvenlik Problemleri) dersinde thread safety kavramından bahsedilecektir. Dersin Hedefi Kullanıcı web uygulmasındaki eşzamanlılık sorununu exploit edebilmeli, yani istismar edebilmeli ve kendi login bilgilerini görecekken aynı anda aynı fonksiyonu kullanan başka kullanıcının bilgilerini görebilmelidir. Açıklamalar Web uygulamaları birden fazla HTTP taleplerini eşzamanlı olarak... [Devamı]
Bu yazı 11.09.2015 tarihinde, saat 05:59:12'de yazılmıştır.
Ders 28 - Concurrency > Shopping Cart Concurrency Flaw
Concurrency(Eşzamanlılık) ünitesinin ikinci dersi olan Shopping Cart Concurrency Flaw(Alışveriş Sepeti Eşzamanlılık Açığı) dersinde alışveriş sepetindeki eşyanın eşzamanlılık bug'ı kullanılarak nasıl ucuza alınabileceğinden bahsedilecektir. Dersin Hedefi Bu egzersizde hedefiniz bir malı daha düşük fiyata eşzamanlılık durumunu exploit ederek - sömürerek - almaktır. Dersin Çözümü Dersin sunduğu alışveriş similasyonunda 4 tane ürün görüntülenmektedir. 4 üründen kaç tane... [Devamı]
Bu yazı 11.09.2015 tarihinde, saat 14:02:51'de yazılmıştır.
Ders 29 - Cross-Site Scripting (XSS) > Phishing with XSS
Cross-Site Scripting (XSS) ünitesinin ilk dersi olan Phishing with XSS(XSS ile Yemleme) dersinde Reflected XSS(Yansıtılmış XSS) saldırısının ne kadar tehlikeli olabileceğinden bahsedilecektir. Dersin Hedefi Kullanıcı olarak siz ders ekranına kullanıcı adı ve şifre soran bir form ekleyebilmelisiniz. Form submit'lendiğinde kullanıcı adı ve şifre bilgileri http://localhost/WebGoat/catcher?PROPERTY=yes&user=catchedUserName&password=catchedPasswordName adresine gitmelidir. ... [Devamı]
Bu yazı 13.09.2015 tarihinde, saat 10:28:13'de yazılmıştır.
Ders 30 - Cross-Site Scripting (XSS) > Stage 1: Stored XSS
Cross-Site Scripting (XSS) ünitesinin ikinci dersi olan Stage 1: Stored XSS(Aşama 1: Depolanmış XSS) dersinde Stored XSS saldırısı gerçekleştirilecektir. Dersin Hedefi Tom kullanıcısı olarak Edit Profile sayfasındaki Street metin kutusuna karşı bir Stored XSS atağı düzenleyin. Jerry adlı kullanıcının saldırıdan etkilendiğini doğrulayın. Kullanıcı hesaplarının şifreleri verilen isimlerin küçük harfli halleridir. Mesela Tom Cat kullanıcısının şifresi tom 'dur. Açıklamalar ... [Devamı]
Bu yazı 14.09.2015 tarihinde, saat 07:47:22'de yazılmıştır.
Ders 31 - Cross-Site Scripting > Stage 2: Block Stored XSS using Input Validation
Cross-Site Scripting (XSS) ünitesinin üçüncü dersi ve 2.aşaması olan Stage 2: Block Stored XSS using Input Validation(Aşama 2: Girdi Doğrulama Kullanarak Depolanmış XSS'i Engelleme) dersinde ilk aşamada yapılan Stored XSS saldırısının kullandığı açığı bu aşamada kapatmaya çalışacağız. Dersin Hedefi Firmanın insan kaynakları otomasyonuna önceki derskteki gibi stored XSS atağı yapıldığında bu xss kodunun veritabanına kaydolmasını engellemek için otomasyonu kontrol eden kodları düzelt... [Devamı]
Bu yazı 14.09.2015 tarihinde, saat 20:08:17'de yazılmıştır.

#Arşiv


#Giriş

ID :
Şifre :