2013 Temmuz ARŞİVİ

BGA Blog yazıları

Clickjacking (UI REDRESSING) Saldırıları
2013

Clickjacking (UI REDRESSING) Saldırıları

Clickjacking saldırıları, bir çok kişiye ilk bakışta önemsiz gibi gözükse de sosyal mühendislik yöntemleriyle birleştirildiğinde etkili bir yöntem olabilmektedir. Facebook ve Twitter gibi ünlü sosyal ağlar için görünen örnekleri, clickjacking’in öneminin/etkisini ispatlamıştır. Clickjacking Nedir? Clickjacking yönteminin altında yatan temel mantık, hedef sistemi görünmez(opacity değeri sıfır olan) bir iframe nesnesine yükleyip, yüklenen sayfada kurbanın tıklaması istenen linklerin üzerine ilgisini çekecek tuzak linkler(veya başka html nesneleri) ekleyerek kurbanın farkında olmadan iframe içindeki linkle tıklamasını…
Devamı
2013

IstSec ’13 Bilgi Güvenliği Konferansı Aktif Katılım Çağrısı

##İstSEC Bilgi Güvenliği Konferansı '13 ## http://www.istsec.org İstanbul, Türkiye 22 Ekim 2013 #İstSec  Hakkında İstSec (İstanbul Bilgi Güvenliği Konferansı) bilgi/bilişim güvenliği alanında çalışan, bu alana merak duyan ve konusunun uzmanları arasında bilgi paylaşımı yayma amaçlı İstanbul’a özel bir etkinliktir. İstSec, benzeri güvenlik etkinliklerinden farklı  olarak ürün/teknoloji bağımsız, pratiğe yönelik bir etkinlik olma amacı taşımaktadır. Konferans, kayıt olan herkese açık ve ücretsizdir. http://istsec.eventbrite.com adresinden ön kayıt işlemleri başlamıştır. #Kimlere Hitap Eder İstSec, özelde…
Devamı
Sızma Testlerinde Hash, Encoding ve Encryption Tipini Belirleme
2013

Sızma Testlerinde Hash, Encoding ve Encryption Tipini Belirleme

Sızma testlerinin önemli adımlarından biri olan parola/hash kırma saldırıları  bazı durumlarda ele geçirilen parolanın tipinin tam olarak bilinmemesi nedeniyle tıkanır. Uygulamanın kaynak kodu olmadan ya da reverse enginering yapılmadan hash tipi kesin olarak belirlenemez fakat bazı uygulamaların kullandıkları hash/encoding/encryption yöntemi bellidir. Hash, Encoding(kodlama) ve Encryption(şifreleme) kavramları genellikle birbirleri yerine kullanılsa da üç kavramda özünde farklıdır. Encoding/Kodlama: Verinin farklı sistem ve ortamlarda dolaşabilmesi için bir formattan başka bir formata dönüştürülmesi işlemidir. Kodlama gizlilik…
Devamı
Nikto Web Server Scanner
2013

Nikto Web Server Scanner

Bu yazımızda Nikto scannerından bahsedeceğim.Nikto nmap aracının web uygulamarı için özelleştirilmiş hali diyebiliriz.Aslında hemen hemen aynı işi web uygulamaları için yapmaktadır.Niktoyu her yerde bulabileceğiniz, indirebileceğiniz gibi, Samurai WTF içerisinde kullanıma hazır bir şekilde de gelmektedir. Nikto genel olarak testini yapacağımız web uygulaması hakkında bilgi toplamamıza yarar.Nmap ile birlikte kullanılması daha verimli sonuçlar doğurabilir.Örnek vermek gerekirse nmap sayesinde top 1000 port üzerinde yapılan taramalardan sonra (ki bu taramalar web sunucularının ip ve port…
Devamı
2013

Zarp Kullanarak TCP/IP Protokol Zafiyetlerinin İstismarı

Zarp uygulaması python dili ile geliştirilmiş, açık kaynak kodlu, uzaktan servis dışı bırakma(denial of service) saldırıları gerçekleştirmede ve yerel ağlarda çeşitli saldırıların gerçekleştirilmesinde kullanılabilecek bir network saldırı aracıdır. Zarp sistem açıklıklarının istismarından ziyade network protokollerinin zaafiyetlerini istismar ederek saldırılarını gerçekleştirmektedir. Uygulama sahip olduğu aşağıdaki modüller ile çeşitli saldırılar gerçekleştirebilmektedir.       [1] Poisoners           [5] Parameter     [2] DoS Attacks      [6] Services     [3] Sniffers              [7] Attacks     …
Devamı
Linux Sistemlerde Dosya Silme Kurtarma (Disk Forensics)
2013

Linux Sistemlerde Dosya Silme Kurtarma (Disk Forensics)

Bu yazı Linux sistemlerde temel seviyede dosya sistemleri, özellikleri ve  desteklenen dosya sistemleri üzerinde silinen dosyalarin geri getirilmesi ile ilgili bilgiler içermektedir.  Ext2 Dosya Sistemi Ext2 (second extended filesystem) bir linux dosya sistemidir. Hem ardışık hem de ayrı bloklar halinde diske yazma yapabilir. Maksimum dosya boyutu 2 TiB, dosya adı uzunluğu 255 bayt, bölüm boyutu 32 TiB olabilir. Dosya isimlerinde NULL karakterlere izin vermez. Linux, BSD, Windows ve Mac OS X işletim…
Devamı
Siber Güvenlik Açısından Bir Linke Tıklamanın Maliyeti
2013

Siber Güvenlik Açısından Bir Linke Tıklamanın Maliyeti

Kişisel bilgisayarlar, yapılan saldırıların zorluğu ve getirileri oranlandığında siber suçlular için oldukça cazip birer hedef halindedirler. Hem kurulu uygulamaların çeşitliliği ve güncel olmaması, hem de kullanıcıların dikkatsizliği ve güvenlik bilincinin gelişmemiş olmasından dolayı genellikle sistemlerin zayıf halkası olarak görülürler.  Sosyal mühendislik saldırılarında çoğunlukla ilk hedef yine kişisel bilgisayar kullanıcılarıdır. Bu yazıda olaya bir saldırgan gözünden bakıp, kullanıcının sadece bir linke tıklamasıyla ne gibi güvenik ihlallerinin gerçekleşebileceği ele alınmıştır. Senaryo 1: Güncel Windows…
Devamı
2013

Android Mobil Uygulama Güvenlik Testleri-II

Bir önceki mobil uygulama güvenlik testi ile ilgili makalede burp ve zap gibi proxy uygulamalar ile mobil uygulamalarda araya girip trafiğin manipule edilmesi ile güvenlik açıklıklarının tespitine değinilmişti. İlgili makaleye buradan erişebilirsiniz. Bu makalemizde ise mobil android uygulamalarına yönelik testleri fiziksel bir aygıta ihtiyaç duymadan bir emulator aracılığı ile nasıl yapılacağına değinilecektir.  Testler esnasında kullanılacak emulator için android SDK uygulaması kurulmalıdır. Bu uygulama üzerinde android emulatoru ile birlikte gelmektedir. İlgili uygulama buradan…
Devamı