2013 Nisan ARŞİVİ

BGA Blog yazıları

VOIP Ağlara Yönelik Sızma Testleri için Lab. Ortamı Oluşturma
2013

VOIP Ağlara Yönelik Sızma Testleri için Lab. Ortamı Oluşturma

Bu belge VOIP ağlara yönelik sızma testleri gerçekleştirmek isteyenlere yönelik temel kılavuz niteliğini taşımaktadır. Belgenin ilk sürümünde VOIP sızma testleri için gerekli olan laboratuvar ortamının kurulması ve temel saldırı teknik ve araçlarından bahseilmiştir. İlerleyen sürümlerde VOIP amaçlı kullanılan protokollerin çalışma yapıları ve protokol istismarı gibi daha detaylı bilgilere yer verilecektir. Belgenin güncel sürümüne  http://online.bga.com.tr/VOIPPentestLAB.pdf adresinden erişim sağlanabilir.
Devamı
HPP (HTTP Parameter Pollution) Zafiyeti
2013

HPP (HTTP Parameter Pollution) Zafiyeti

HTTP Parameter Pollution(HTTP parametre kirliliği) aslında uzun zamandır mevcut olan, ancak web uygulama güvenliğindeki önemi son yıllarda anlaşılan bir yöntemdir. HPP’nin ne kadar tehlikeli olabileceği OWASP AppSec EU 2009’da Luca Carettoni ve Stefano di Paola tarafından gösterilmiştir. Yakın zamanda Yahoo Mail’de bulunan HPP kaynaklı açık da tehlikeyi doğrular niteliktedir. Bir URI’ da aynı parametre isminin birden fazla geçmesi durumunda nasıl yorumlanması gerektiğiyle ilgili bir standart olmamasından dolayı farklı platformlarda farklı yaklaşımlar görülmektedir. …
Devamı
Kurumsal Ortamlarda Log Yönetimi ve Analizi Eğitimi
2013

Kurumsal Ortamlarda Log Yönetimi ve Analizi Eğitimi

Eğitim Tanımı Bir uçağın karakutusu ile bilişim sistemleri için ayrıntılı log tutmak eşdeğer anlamdadır. Ne karakutusuz bir uçak kazası ne de sağlıklı loglama yapılmamış bir ortamdaki bilişim olayı istenildiği gibi aydınlatılamaz. PCI(Payment Card Industry), Health Insurance Portability and Accountability Act (HIPAA), Federal Information Security Management Act (FISMA), Sarbanes–Oxley(SOX), 5651 sayılı T.C kanunu, ISO/IEC 27001 gibi ismi sık duyulan kanun/standart/düzenlemelerin loglama konusundaki öneri ve tavsiyeleri sayesinde 2009-2012 yılları arasında kurumsal iş ortamlarındaki en…
Devamı
2013

DoS/DDoS Testlerinde Dikkat Edilmesi Gereken Hususlar

DoS/DDoS, 2012 yılında tüm dünyada gerçekleştirilen siber saldırıların başında gelmektedir. Bunun temel nedeni DDoS saldırısını gerçekleştirmek için herhangi bir bilgi birikimi gerekmemesi ve etkisini anında göstermesidir. Internet üzerinden elde edilecek çeşitli otomatik araçlar kullanılarak cok rahatlikla kurumsal web sayfaları çalışamaz hale getirilebilir. DDoS'un bu kadar basit bir saldırı olması çoğu güvenlik uzmanı ve kurum tarafından yeteri kadar ciddiye alınmamasına neden olmaktadır. Oysa siber saldırıların büyük çoğunluğu kurumların ve uzmanların yeteri kadar ciddiye…
Devamı
Bankalara Yönelik Sızma Testi Eğitimi [BGA & ISACA-Istanbul]
2013

Bankalara Yönelik Sızma Testi Eğitimi [BGA & ISACA-Istanbul]

BGA& ISACA-Istanbul Chapter iş birliğiyle 4 Mayıs 2013 Cumartesi günü Deloitte firmasının ev sahipliğinde bir günlük BDDK Sızma Testleri Eğitimi düzenlenecektir. Eğitim sadece ISACA Istanbul Chapter üyeleri için düzenlenmiş olup ücretsizdir. Katılımcı sayısı 35 kişi ile sınırlandırılmış olup kayıt önceliği esas alınacaktır. Bankalardaki bilgi güvenliği seviyesinin arttırılması amacıyla  BDDK tarafından yayınlanan "Bilgi Sistemlerine İlişkin Sızma Testleri" konulu genelgeye göre Türkiye'de faaliyet gösteren tüm bankalar yılda en az bir kere sızma testleri gerçekleştirmek durumundadır. Gerçekleştirilecek…
Devamı
2013

BGA, Kıbrıs Siber Güvenlik Konferansı 2013’de

BGA Bilgi güvenliği olarak   26 Nisan 2013 tarihinde sponsor olduğumuz Kıbrıs Siber Güvenlik Konferansı'nda olacağız. Etkinlikte Huzeyfe ÖNAL  ve Ozan UÇAR tarafından APT(Advanced Persistent Threat) versus Advanced Penetration Tests" konulu sunum gerçekleştirecektir. Konferans hakkında detay bilgi ve güncel programa http://www.cypsec.org adresinden erişim sağlanabilir.
Devamı
NetSec Topluluğu Ankara Bilgi Güvenliği Etkinlikleri
2013

NetSec Topluluğu Ankara Bilgi Güvenliği Etkinlikleri

Ağ ve Bilgi Güvenliği Topluluğu NetSec, bilgi güvenliği içerikli etkinliklerine İstanbul’dan sonra EMO’nun ev sahipliğinde Ankara’da devam ediyor. Düzenli olarak her ay bilgi güvenliğini ilgilendiren birbirinden ilginç farklı teknik konularda  ürün tanıtımı ve reklamdan uzak gerçek hayat tecrübelerini içeren oturumlara katılmak için önceden kayıt olmak yeterlidir. NetSec Ankara Etkinliklerinden ilki 25 Nisan Perşembe aksamı 18:30 – 21:00  saatleri arasında  EMO‘nun ev sahipliğinde gerçekleşecek  olup etkinliğin konusu “Bilgi Güvenliğini Sağlamada Proaktif Yaklaşım: Sızma…
Devamı
2013

W3af Aracını Proxy Olarak Kullanarak Güvenlik Testleri Gerçekleştirme

Burp Suite ve Zed Attack proxy (ZAP) gibi, w3af yazılımı da web application proxy olarak kullanılabilir. Bu şekilde kullanılan w3af yazılımı gezinti boyunca tüm URL bilgilerini indexler. Ardından topladığı tüm GET/POST talebi içeren isteklere kendi inputlarını vererek açıklık taraması gerçekleştirebilir. W3af yazılımını proxy olarak kullanmak için; plugun menüsünden spiderMan ve webSpider eklentileri aktif edilmelidir.  SpiderMan altındaki proxy ayarları girilir. listenAddress: 127.0.0.1 listenport: 44444 Daha sonra web browser üzerinden proxy ayarları aşağıdaki gibi…
Devamı
2013

SQL Injection Testlerinde IPS Atlatmak için Tamper Script Kullanımı

Sızma testlerinde bazı durumlarda bir SQLi zafiyeti tespit edilse dahi istismar(exploitation) işlemi düşünüldüğü kadar kolay olmayabiliyor. Hedef sistemde kurulu olan IPS'i,  WAF’ı atlatmak, hedef uygulamanın yapısından dolayı bazı karakterlerden kaçınmak veya logların analizini zorlaştırmak gibi amaçlarla sqli payloadınının bazı kısıtlara uyması ya da encode edilmesi istenilebilir.  SQLMap’in oluşturduğu payloadı hedef sisteme göndermeden hemen önce üzerinde istenilen değişiklikler tamper betikleri kullanılarak yapılabilir. Betik Yapısı SQLMap’in tamper betiği yapısı üç parçaya bölünebilir. Kütüphanelerin belirlendiği…
Devamı
2013

Sızma Testleri İlaç mı Reçete mi?

Sızma testi Belki de hatayı bizler yaptık. Sızma testinin gerekliliğini ve amacını anlatırken istemeden bir soruna neden olduk gibi geliyor. Sektörün dışından örnek vereyim. Karnınızda bir ağrı var, geçecek gibi değil… doktora gidiyorsunuz, muayene ediyor ve size bir reçete yazıyor (korkacak bir şey yok; Ankara tavayı fazla kaçırmışsınız). Teşekkür edip eve gidip yatıyorsunuz… İlaçlar? Onları almıyorsunuz, muayene oldunuz ya, ilaca gerek yok. Sızma testinin geldiği noktaya benziyor gerçekten. Sızma testi yaptırmanın güvenlik…
Devamı