2015 Mart ARŞİVİ

BGA Blog yazıları

Sızma Testlerinde PowerShell Kullanımı – PowerSploit
2015

Sızma Testlerinde PowerShell Kullanımı – PowerSploit

Sızma Testlerinde PowerShell Kullanımı - PowerSploit Powershell Microsoft firması tarafından Windows Komut Satırına ve Windows Script Host'a alternatif olarak geliştirilen bir komut satırıdır. Kullanıcılar çalıştıracakları komutlar ile bağ kurabilirler. Powershell bu ve bunun gibi bir kaç özelliği nedeniyle biraz UNIX komut yapısına benzemektedir. Yazı içerisinde Powershell üzerinden çalıştırılacak scriptler ile hedef işletim sistemi nasıl ele geçirilir sorununa cevap verilmeye çalışılmıştır. Bunun için geliştirilen çeşitli Powershell scriptlerinden oluşturulmuş Powersploıt kullanılmıştır. Saldırgan işletim sistemi…
Devamı
2015

Web Uygulama Güvenlik Testleri Eğitimi – İstanbul

Eğitim AçıklamasıWeb Application Pentest(Web Uygulamaları Güvenlik Denetimi Eğitimi) günümüz bilişim güvenliğinin en zayıf halkalarından olan web uygulamalarının güvenliğinin hacker bakış açısıyla test edilmesini amaçlayan uygulamalı eğitimdir. Eğitim boyunca katılımcılar farklı platform ve programlama dilleri kullanılarak geliştirilmiş çeşitli yazılımlardaki güvenlik zafiyetlerinin nasıl bulunacağını ve istismar edileceği konusunda pratik yapma fırsatı bulacaktır.Eğitim tamamen uygulamalı bir şekilde işlenmektedir ve eğitim süresince katılımcılara açık kaynak kodlu ve ticari çeşitli web güvenlik test araçlarını kullanma imkanı sunulmaktadır. Eğitim…
Devamı
2015

10.İLTEK Günleri

BGA Security ekibinden Ozan UÇAR' ın konuşma yapacağı etkinlikle ilgili detaylı bilgiye aşağıdaki basın bülteninden ulaşabilirsiniz. “Yıldız Teknik Üniversitesi IEEE Öğrenci Kulübü olarak “Teknolojinin Gerisinde Kalmayın” sloganıyla bu yıl 10.’su düzenlenecek olan İLTEK Günleri 24-25-26 Mart tarihlerinde Davutpaşa Kampüsü Elektrik-Elektronik Fakültesi’nde sizleri bekliyor. Telekomünikasyon, Bilişim, Elektronik sektörleri başta olmak üzere teknolojinin her alanının işleneceği 10. İLTEK Günlerinde firma stantları ile geleceğine yön vermek isteyen arkadaşlarımız buluşacak. 10. yıla özel konseptlerle 4G Teknolojisi,…
Devamı
Man In The Middle Attack ve ARP Spoofing, ICMP Redirect Saldırıları
2015

Man In The Middle Attack ve ARP Spoofing, ICMP Redirect Saldırıları

Man In The Mıddle Attack Nedir? Man In The Mıddle Attack, Türkçe karşılığı olarak Ortadaki Adam Saldırısı veya Aradaki Adam Saldırısı, bir ağ içerisinde hedef ile ağ unsurları (sunucu, switch, router ya da modem) arasında geçen trafiği dinlemek, değiştirmek olarak tanımlanan saldırı türüdür. MITM Saldırıları OSI Modeli içerisinde 2. Katman (Layer 2 - Data Link) içerisinde gerçekleştirildiği için, saldırgan başarılı olduktan sonra tüm trafiğe hakim olabilmektedir. Bu hakimiyet şifreli olan “https” trafiğinden…
Devamı
2015

Log Yönetimi, Analizi ve SIEM Korelasyon Eğitimi

Bir uçağın karakutusu ile bilişim sistemleri için ayrıntılı log tutmak eşdeğer anlamdadır. Ne kara kutusuz bir uçak kazası ne de sağlıklı loglama yapılmamış bir ortamdaki bilişim olayı istenildiği gibi aydınlatılamaz. PCI(Payment Card Industry), Health Insurance Portability and Accountability Act (HIPAA), Federal Information Security Management Act (FISMA), Sarbanes-Oxley(SOX), 5651 sayılı T.C. kanunu, ISO/IEC 27001 gibi ismi sık duyulan kanun/standart/düzenlemelerin loglama konusundaki öneri ve tavsiyeleri sayesinde son yıllarda kurumsal iş ortamlarındaki en önemli projelerden…
Devamı
Veil Framework Kullanarak Antivirüs Yazılımlarının Atlatılması
2015

Veil Framework Kullanarak Antivirüs Yazılımlarının Atlatılması

Sızma testleri esnasında hedef sistemler bazen antivirüs vb. yazılımlar ile korunabilmektedir. Bu durumda sistem test edilirken antivirüs yazılımlarının atlatılması gerekmektedir. Bu noktada açık kaynak kodlu olarak geliştirilen Veil-Framework devreye girmektedir. Kali Linux içerisinde varsayılan olarak kurulu gelmeyen Veil Framework “apt-get install veil” komutu kullanılarak kolayca kurulabilir. Veil Framework, çeşitli encoding yöntemleri kullanarak zararlı kodları şifrelemeye yarayan, açık kaynak kodlu olarak geliştirilen çok yönlü bir çatı yapısıdır. Ayrıca Veil Framework her geçen gün…
Devamı
2015

Sertifikalı/Lisanslı Sızma Testi (ECSA/LPT) Uzmanı Egitimi v.8

Pentest (sızma testleri) günümüz kurumsal firmalarının güvenlik politikalarının en temel bileşeni haline gelmiştir. PCI, SOX, ISO 27001, HIPAA gibi standart ve yönetmelikler pentest çalışmalarını zorunlu tutmaktadır.  BGA Pentest eğitimi diğer pentest eğitimlerinden farklı olarak %100 uygulamalı gerçekleştirilmektedir. Eğitimdeki her bir konu gerçek hayat senaryosu haline getirilerek katılımcılara sunulmaktadır.  Eğitim sonunda her bir katılımcı güncel pentest yöntem ve araçlarını aktif bir şekilde kullanabilir hale gelecektir. Eğitim içeriği SANS 560( Network Penetration Testing and…
Devamı
Sızma Testlerinde Kablosuz Ağlar ve Atak Vektörleri – VIII
2015

Sızma Testlerinde Kablosuz Ağlar ve Atak Vektörleri – VIII

Sahte Erişim Noktası (AP) Kurulumu ve Trafik İnceleme Sahte AP yayını, kurum isimleriyle veya insanların ilgisini çekebilecek bir SSID’yle bir kablosuz ağ yayını yapmayı ifade eder. Bir nevi sosyal mühendislik saldırısı olan bu atakta kullanıcılar ağa bağlanır ve internete çıkarlar. Bütün trafikleri sahte AP üzerinden geçtiği için arp zehirleme, dns zehirleme gibi mitm saldırıları veya oturum çalmak için sidejacking ataklar yapmak mümkündür. Bu atak bazen Evil Twin ismiyle de anılır. Zaten var…
Devamı
Citrix Netscaler Web Application Firewall Bypass Vulnerability
2015

Citrix Netscaler Web Application Firewall Bypass Vulnerability

I was able to bypass Netscaler WAF using a method which may be called HTTP Header Pollution. The setup that I used was like below. An Apache web server with default configuration on Windows (XAMPP). A SOAP web service which has written in PHP and vulnerable to SQL injection. Netscaler WAF with SQL injection rules. First request was a basic SQL injection payload which was ‘ union select current_user,2# and Netscaler blocked…
Devamı
2015

BGA Bilişim Güvenliği Staj Okulu 2015

Bilişim güvenliği alanında kariyer yapmak isteyen üniversite öğrencilerine Bilgi Güvenliği AKADEMİSİ’nden staj fırsatı. Bilgi güvenliği AKADEMİSİ, 21. yüzyılın en önemli mesleklerinden biri olarak görülen Siber Güvenlik konusunda kendini yetiştirmek, kariyerini siber güvenlik konusunda ilerletmek isteyen üniversite öğrencilerini BGA Staj Okulu’na davet ediyor. Bilgi Güvenliği AKADEMİSİ’nin bilgi/bilişim güvenliği konusundaki deneyim ve uzmanlığını öğrenciler ile paylaşacağı “BGA Staj Okulu” gerçek proje uygulamalarıyla katılımcılarına güvenlik konusunda yeni deneyimler ve farklı bakış açısı sunacaktır. Başarılı stajyer…
Devamı