Pentest Etiketli Yazılar

BGA Blog yazıları

2016

Sızma Testi Uzmanı Ekip Arkadaşları Arıyoruz! [Web ve Mobil]

BGA Security ekibi olarak, ileri seviye siber güvenlik danışmanlığı ve güvenlik eğitimleri alanlarında, Türkiye’nin önde gelen kurumları da dahil olmak üzere çeşitli hizmetler vermekteyiz.  Siber güvenlik danışmanlığı alanında yaptığı işten keyif alan, genç, çalışkan, dinamik ve heyecanlı olmak bizim için önemli bir kriterdir. Bu kapsamda, “kurumsal bürokrasiye” takılmadan keyifle çalışabilecek ve hizmet verdiğimiz müşterilerin güvenliğini birincil öncelik olarak benimseyecek çalışma arkadaşları arıyoruz. Web ve Mobil alanlarda sızma tecrübeniz varsa ve bu alanda…
Devamı
2016

Web Servislerine Yönelik Sızma Testleri

BGA Bilgi Güvenliği A.Ş olarak gerçekleştirdiğimiz sızma testlerinde karşımıza çıkan açıklık ve sorunları “Web Servislerine Yönelik Sızma Testleri” makalemiz üzerinde sizlerle paylaşıyoruz. BGA sızma testi ekibimizden Fırat Celal Erdik ve Mert Taşçı’nın hazırladığı bu doküman üzerinde, kurumların dışarıya açık kapıları olan Web servislerinde ve dış ip bloklarında ortaya çıkan zafiyetler dile getirmektedir. Yaptığımız sızma testlerinde, web servis kullanımının giderek arttığını, fakat web servisleri geliştirilirken güvenliğin yeterince önemsenmediği dikkatimizi çekmektedir. Bu nedenle, gerçekleştirdiğimiz…
Devamı
2015

Ekip Arkadaşları Arıyoruz

Bilgi güvenliği ve siber güvenlik danışmanlığı hizmetlerimiz için; yaptığı işten keyif alacak, genç, çalışkan, dinamik ve heyecanlı takım arkadaşları arıyoruz. BGA Security Ekip Arkadaşları Arıyoruz - İş İlanı (BGA-16-SAT) BGA Security ekibi olarak, ileri seviye siber güvenlik danışmanlığı ve güvenlik eğitimleri alanlarında, Türkiye’nin önde gelen kurumları da dahil olmak üzere çeşitli hizmetler vermekteyiz. Ayrıca ülkemizin bilgi güvenliği sektörüne destek olmak amacıyla yıllardır, alanında uzman, nitelikli iş gücü yetiştirmekteyiz. Bu kapsamda, “kurumsal bürokrasiye”…
Devamı
2015

Web Uygulama Güvenlik Testleri Eğitimi – İstanbul

Eğitim AçıklamasıWeb Application Pentest(Web Uygulamaları Güvenlik Denetimi Eğitimi) günümüz bilişim güvenliğinin en zayıf halkalarından olan web uygulamalarının güvenliğinin hacker bakış açısıyla test edilmesini amaçlayan uygulamalı eğitimdir. Eğitim boyunca katılımcılar farklı platform ve programlama dilleri kullanılarak geliştirilmiş çeşitli yazılımlardaki güvenlik zafiyetlerinin nasıl bulunacağını ve istismar edileceği konusunda pratik yapma fırsatı bulacaktır.Eğitim tamamen uygulamalı bir şekilde işlenmektedir ve eğitim süresince katılımcılara açık kaynak kodlu ve ticari çeşitli web güvenlik test araçlarını kullanma imkanı sunulmaktadır. Eğitim…
Devamı
BGA Bank User-Agent Bilgisi Değiştirerek Captcha Atlatma
2014

BGA Bank User-Agent Bilgisi Değiştirerek Captcha Atlatma

Tablo 1. Captcha URL URL http://isube.bgabank.com/giris.aspx Tablo 1. de belirtilen adreste 3 kez yanlış giriş denemesinde bulunulduğunda, brute force saldırısını engellemek için captcha çıkmaktadır. Fakat mobil cihazla girildiğinde captcha çıkmamaktadır. Tarayıcıda user-agent bilgisi değiştirilerek, mobil cihaz gibi siteye giriş yapılabilir. Bunun için Firefox eklentisi “User Agent Switcher” kullanılabilir. Şekil 1. Captcha Panel Bu durumdayken “User Agent Switcher” ile cihaz iPhone 3.0 olarak ayarlanır ve yanlış veriler girilip “Giriş Yap” butonuna tıklandığında Captcha…
Devamı
Bankalara Özel BDDK Kapsamlı Sızma Testi Eğitimi
2013

Bankalara Özel BDDK Kapsamlı Sızma Testi Eğitimi

Eğitim Tanımı: Bankacılık Düzenleme ve Denetleme Kurulu tarafından bilgi sistemlerine yönelik olarak siber ortamda gerçekleştirilebilecek saldırı türlerinin de hızlı bir değişim ve gelişim göstermesi nedeniyle 27.01.2011 tarih ve 4022 sayılı BDDK Kararı ile Tebliğ’in söz konusu 7 nci maddesinin üçüncü fıkrasının (ç) bendinde yer alan hüküm ile sızma testlerinin düzenli aralıklarla yapılması zorunlu kılınmıştır. Genelgede yer alan sızma testi çalışmalarının sonuçlarının kontrolü teftiş ekiplerine yüklenmiştir. Bu bağlamda teftiş ekiplerinin sızma testi sonuçlarını…
Devamı
NetSec Topluluğu Ankara Bilgi Güvenliği Etkinlikleri
2013

NetSec Topluluğu Ankara Bilgi Güvenliği Etkinlikleri

Ağ ve Bilgi Güvenliği Topluluğu NetSec, bilgi güvenliği içerikli etkinliklerine İstanbul’dan sonra EMO’nun ev sahipliğinde Ankara’da devam ediyor. Düzenli olarak her ay bilgi güvenliğini ilgilendiren birbirinden ilginç farklı teknik konularda  ürün tanıtımı ve reklamdan uzak gerçek hayat tecrübelerini içeren oturumlara katılmak için önceden kayıt olmak yeterlidir. NetSec Ankara Etkinliklerinden ilki 25 Nisan Perşembe aksamı 18:30 – 21:00  saatleri arasında  EMO‘nun ev sahipliğinde gerçekleşecek  olup etkinliğin konusu “Bilgi Güvenliğini Sağlamada Proaktif Yaklaşım: Sızma…
Devamı
2012

Bilgi Güvenliğinde Sızma Testleri Etkinlik Sunumları

BGA Bilgi Güvenliği olarak üç farklı konu ve sunumla katıldığımız NetSec Ağ ve Bilgi Güvenliği Topluluğu 20 Ekim etkinliğine ait sunum dosyalarına aşağıdaki linklerden erişim sağlanabilir. Sunumlar: Hedef Odaklı Sızma Testleri, Huzeyfe ÖNAL (BGA) Uygulama Güvenlik Testlerinde WAF Sistemlerini Atlatma, Mehmet D. İnce (BGA) VoIP Sistemlere Yönelik  Sızma Testleri , Ozan UÇAR (BGA) Fotoğraflar: https://www.facebook.com/media/set/?set=oa.461500177234414&type=1 Etkinlikteki sunulan diğer konular ve fotoğraflara http://www.netsectr.org/2012/10/20-ekim-2012-bilgi-guvenliginde-szma.html adresinden erişim sağlanabilir.
Devamı
Backtrack Linux-101 Eğitimi (Ücretsiz)
2012

Backtrack Linux-101 Eğitimi (Ücretsiz)

Türkiye'deki bilişim güvenliği çalışmalarına somut katkı vermek amacıyla Bilgi/Bilişim Güvenliği-101 eğitimi serisi başlatmış bulunuyoruz. 101 eğitimleri serisi önce belirli konularda online eğitimler -ilk aşamada sunum olarak yayınlanacak- sonraki aşamada eğitimlere ait online sınavlar ve en son olarak genel katkıya açık wiki sayfaları hazırlanacaktır. Uzun soluklu bir çalışma olarak planlanan BG-101 serisi aşağıdaki temel eğitimleri içermektedir. DDoS Saldırıları ve Savunma Yolları 101 Eğitimi Web Uygulama Güvenliği 101 Eğitimi Ağ Temelleri ve Güvenliği 101…
Devamı
Antivirus Bypass Teknikleri ve Tanınmaz Meterpreter Ajanı Oluşturma
2012

Antivirus Bypass Teknikleri ve Tanınmaz Meterpreter Ajanı Oluşturma

Pentest çalışmalarında, hedef sistemi ele geçirdikden sonra yetkisiz işlevleri yerine getirecek bir payload'a ihtiyaç duyulur. Bu bir casus yazılım olabilir (trojan), uzakdan yönetim aracı olabilir (rat) veya hedef sistemde kod/komut çalıştırmanıza olanak sağlayan bir araç   (shellcode exec) olabilir.BGA pentest ekibi, pentest çalışmalarında ve eğitimlerde multi platform çalışan ve gelişmiş özellikleri olan meterpreter payloadını sıklıkla tercih etmektedir.Antivirus veya sezgisel antilogger'lar bu tür durumlarda işinizi zorlaştırabilir. Bu yazıda, antiviruslerin çalışma prensiblerine kısaca değinilmiş…
Devamı