Web Uygulama Güvenlik Testleri Eğitimi / 20-22 Haziran 2014

Eğitim Açıklaması Web Application Pentest(Web Uygulamaları Güvenlik Denetimi Eğitimi) günümüz bilişim güvenliğinin en zayıf halkalarından olan web uygulamalarının güvenliğinin hacker bakış açısıyla test edilmesini amaçlayan uygulamalı eğitimdir. Eğitim boyunca katılımcılar farklı platform ve program...

Web/Mobil Uygulama Güvenlik Testleri Eğitimi Lab Kitabçığı

Bilgi Güvenliği AKADEMİSİ olarak verdiğimiz eğitimlerde uygulamaya özel önem veriyoruz. Güvenlik gibi karmaşık bir konu detaylı uygulamalar gerçekleştirmeden anlatıldığında konuya yabancı olan katılımcılar tarafından tam olarak anlaşılamamaktadır. Eğitim notlarına destek olmak amacıyla başlattığımız...

Web Uygulama Güvenlik Testlerinde Burp Suite Eklenti Kullanımı

Burp Suite sızma testlerinde sıklıkla kullanılan bir web proxy uygulamasıdır. Gerek varsayılan olarak gelen eklentiler, gerekse harici eklentiler yardımıyla web uygulama güvenliği alanında çok özellikli bir araç haline gelmiştir. Bu yazıda varsayılan olarak gelen eklentilerden Intruder, harici olara...

W3af Aracını Proxy Olarak Kullanarak Güvenlik Testleri Gerçekleştirme

Burp Suite ve Zed Attack proxy (ZAP) gibi, w3af yazılımı da web application proxy olarak kullanılabilir. Bu şekilde kullanılan w3af yazılımı gezinti boyunca tüm URL bilgilerini indexler. Ardından topladığı tüm GET/POST talebi içeren isteklere kendi inputlarını vererek açıklık taraması gerçekleştireb...

Web Uygulama Güvenlik Testlerinde Arachni Kullanımı

Arachni, açık kaynak kodlu olarak geliştirilen oldukça başarılı bir web güvenliği zaafiyet tarama yazılımıdır. Bu blog girdisinde genel hatlarıyla Arachni yazılımının kurulumu ve güvenlik testlerinde kullanımına değinilecektir. Arachni Kurulumu root@bt:~# wget –2012-11-17 18:08:43– ...

Web Uygulama Güvenliği Değerlendirme Sınavı

Bilgi Güvenliği AKADEMİSİ olarak temel web uygulama güvenlik bilgisini ölçme amaçlı hazırladığımız değerlendirme sınavına adresinden erişim sağlanabilir. Sınav teknik içerik barındırması nedeniyle bazı sorularda doğru olarak belirlenen şık tartışmalı olabilir. Geri bildirimler için bilgi@bga.com.tr...

SQL Injection Aracılığıyla Domain Admin Olma

SQL Injection(+UDF Command Execution) Kullanarak Domain Admin Haklarını Elde Etme Sql Injection saldırıları genellikle veri tabanı sistemlerinden bilgi çalmak için gerçekleştirilmektedir. Veri çalma saldırıları dışında, hedef sistemin kullandığı veri tabanı sisteminin çalıştığı sunucuda komut çalışt...

Basic Authentication Korumalı Sayfalara Bruteforce Denemesi

Parola, günümüz güvenlik dünyasının en zayıf halkalarından biridir. Güvenliğine ciddi önem verilmiş sistemler birden fazla yetkilendirme sistemi kullanarak bu zaafiyeti bir oranda kapatmaya çalışırlar. Fakat yeteri önem verilmemiş sistemlerde basit parolaların kullanımını günümüzde sıkça  görüyoruz....