sızma testi Etiketli Yazılar

BGA Blog yazıları

tiger_team
2015

Bilgi Güvenliği Konusunda Çalışacak Takım Arkadaşları Arıyoruz

BGA olarak gerçekleştirdiğimiz bilgi güvenliği danışmanlık hizmetleri için sevdiği işi yapacak, yaptığı işi sevecek, genç, heyecanlı ve çalışkan takım arkadaşları arıyoruz. 4 farklı konuda 4 takım arkadaşı alınacaktır: BGA SIR(Security Incident Response) Ekibi - bir kişi BGA APPSEC (Uygulama Güvenliği) Ekibi -  bir kişi BGA TIGER TEAM (Sızma Testi/APT) Ekibi - iki kişi Kurumsal Müşteri Yöneticisi  - bir kişi Temel Beklentiler: Ankara, İstanbul arası git-gel yapabilecek arada bir Bakü, KKTC vs gibi lokasyonlara uğramaktan…
Devamı
webp
2015

Web Uygulama Güvenlik Testleri Eğitimi – İstanbul

Eğitim AçıklamasıWeb Application Pentest(Web Uygulamaları Güvenlik Denetimi Eğitimi) günümüz bilişim güvenliğinin en zayıf halkalarından olan web uygulamalarının güvenliğinin hacker bakış açısıyla test edilmesini amaçlayan uygulamalı eğitimdir. Eğitim boyunca katılımcılar farklı platform ve programlama dilleri kullanılarak geliştirilmiş çeşitli yazılımlardaki güvenlik zafiyetlerinin nasıl bulunacağını ve istismar edileceği konusunda pratik yapma fırsatı bulacaktır.Eğitim tamamen uygulamalı bir şekilde işlenmektedir ve eğitim süresince katılımcılara açık kaynak kodlu ve ticari çeşitli web güvenlik test araçlarını kullanma imkanı sunulmaktadır. Eğitim…
Devamı
bga_pentest_framework1
2014

Penetrasyon(Sızma) Testlerinde Kontrol Listesi Kullanımı ve Yararları

Hemen her saat yeni bir güvenlik zafiyetinin yayınlandığı siber dünyada kurumları bu tehditlere karşı korumak amacıyla geliştirilen yöntemlerden biri sızma testleridir. Sızma testleri aslında kurumların anlık güvenlik açısından resimlerinin çekilmesi ve önerilerin sunulmasından ibaret olmasına rağmen çoğu kurum tarafından aldık, güvendeyiz şeklinde yaklaşılmaktadır. Sızma testlerini gerçekleştirmek üzere bu yola giren çoğu kişinin bir müddet sonra karşılacağı temel maddelerden birisi meslek körlüğüdür. Her saat aynı işle uğraşan biri uğraştığı konuda ne kadar uzmanlaşırsa…
Devamı
BGA Bank User-Agent Bilgisi Değiştirerek Captcha Atlatma
2014

BGA Bank User-Agent Bilgisi Değiştirerek Captcha Atlatma

Tablo 1. Captcha URL URL http://isube.bgabank.com/giris.aspx Tablo 1. de belirtilen adreste 3 kez yanlış giriş denemesinde bulunulduğunda, brute force saldırısını engellemek için captcha çıkmaktadır. Fakat mobil cihazla girildiğinde captcha çıkmamaktadır. Tarayıcıda user-agent bilgisi değiştirilerek, mobil cihaz gibi siteye giriş yapılabilir. Bunun için Firefox eklentisi “User Agent Switcher” kullanılabilir. Şekil 1. Captcha Panel Bu durumdayken “User Agent Switcher” ile cihaz iPhone 3.0 olarak ayarlanır ve yanlış veriler girilip “Giriş Yap” butonuna tıklandığında Captcha…
Devamı
image1-1
2013

Windows Ağlarında Domain Admin Haklarına Sahip Olma

"Kaçak" sızma testleri esnasında kullanılmak üzere windows ağları için belirli yeteneklere sahip geliştirilmiş bir araçtır. Geliştirilmesi devam etmekte olan bu sürüm yetenekleri olarak; Kurum domain yapısı üzerinde belirtilen kullanıcıların oturum bilgisinin tespit edilebilmesi Mimikatz sonuçlarının raporlanabilmesi NOT: Burada anlatılanlar Kali Linux dağıtımında uygulanmıştır. Diğer sistemler için test edilmemiştir ancak muhtemelen aynı adımlar ile uygulanması mümkündür. Github deposuna erişim adresi https://github.com/galkan/kacak. Kullanıcı Oturum Bilgilerinin Tespit Edilmesi Kurulum öncesi gerekli paketlerin sisteme kurulması gerekmektedir. Bunun…
Devamı
Bankalara Yönelik Sızma Testi Eğitimi [BGA & ISACA-Istanbul]
2013

Bankalara Yönelik Sızma Testi Eğitimi [BGA & ISACA-Istanbul]

BGA& ISACA-Istanbul Chapter iş birliğiyle 4 Mayıs 2013 Cumartesi günü Deloitte firmasının ev sahipliğinde bir günlük BDDK Sızma Testleri Eğitimi düzenlenecektir. Eğitim sadece ISACA Istanbul Chapter üyeleri için düzenlenmiş olup ücretsizdir. Katılımcı sayısı 35 kişi ile sınırlandırılmış olup kayıt önceliği esas alınacaktır. Bankalardaki bilgi güvenliği seviyesinin arttırılması amacıyla  BDDK tarafından yayınlanan "Bilgi Sistemlerine İlişkin Sızma Testleri" konulu genelgeye göre Türkiye'de faaliyet gösteren tüm bankalar yılda en az bir kere sızma testleri gerçekleştirmek durumundadır. Gerçekleştirilecek…
Devamı
bga_sinav
2013

Hazır Olmak: Sızma Testi Sınav Değil, Derstir

  Müşterilerimizle konuşurken en sık karşılaştığımız tepkilerden birisi “firewall yatırımını yeni yaptık, henüz tam anlamıyla kuracak imkanımız olmadı, sızma testini konfigürasyon işlemini bitirdikten sonra yapmakta fayda var”. Bu cümlede bilgi güvenliği sektörünün temel sıkıntılarından ikisini görme imkanımız var. Hazır değiliz! Çoğu kurum sızma testlerini birer sınav gibi görüyor, hazırlanılması ve iyi not alınması gereken bir sınav ki aslında bu testler kesinlikle Bilgi İşlem Bölümünün bir sınavı değildir. Sızma testlerinin yapılmasının nedenleri arasında…
Devamı
netsec_pentest
2012

Bilgi Güvenliğinde Sızma Testleri Etkinlik Sunumları

BGA Bilgi Güvenliği olarak üç farklı konu ve sunumla katıldığımız NetSec Ağ ve Bilgi Güvenliği Topluluğu 20 Ekim etkinliğine ait sunum dosyalarına aşağıdaki linklerden erişim sağlanabilir. Sunumlar: Hedef Odaklı Sızma Testleri, Huzeyfe ÖNAL (BGA) Uygulama Güvenlik Testlerinde WAF Sistemlerini Atlatma, Mehmet D. İnce (BGA) VoIP Sistemlere Yönelik  Sızma Testleri , Ozan UÇAR (BGA) Fotoğraflar: https://www.facebook.com/media/set/?set=oa.461500177234414&type=1 Etkinlikteki sunulan diğer konular ve fotoğraflara http://www.netsectr.org/2012/10/20-ekim-2012-bilgi-guvenliginde-szma.html adresinden erişim sağlanabilir.
Devamı