security

Destan gibi bir başlıkla girişe gerek kalmaksızın yazının amacını açıkladım diye düşünüyorum. John The Ripper ve Hashcat bilinen ve en çok kullanılan parola kırma araçlarından ikisidir.
John The Ripper çoğunlukla C dili ile yazılmış bedava bir yazılımdır. Bu iki aracın da kullanım örneklerini aşağıda bulabilirsiniz. Ancak eğer Kerberos, MD5, DES, AES gibi şifreleme ve özet alma algoritmaları hakkında hiçbir bilgimiz ve fikrimiz yoksa ilk önereceğim şey bu konularda nedir, ne için kullanılır gibi soruları açıklayacak bir kaç kaynak okumanızdır.

Okumaya devam edin...

Enjeksiyon saldırıları, kullanıcılardan gelen dataların kontrol edilmeden komutlarda veya veritabanı sorgularında kullanılmasıyla meydana gelir. SQL Injection saldırıları da aynı mantıkla hedef web sitesinin kullandığı veritabanında yetki olmaksızın sql sorguları çalıştırılmasını sağlamaktadırlar.

Okumaya devam edin...

Linux Yaz Kampı 2014 – Web Uygulama Güvenliği ve Güvenli Kod Geliştirme eğitim notlarımı ve bazı bilgilerimi toparladığım bir kaynak belge hazırladım. Daha iyi hale getirmek için yorumlarınızı, önerilerinizi, github üzerinden pull-requestlerinizi bekliyorum.

Umarım faydalı olur.

Github: https://github.com/1zinnur9/wGuvenlik_LYK14
PDF’e ulaşmak için Web_Guvenligi_lyk2014_1zinnur9 tıklayınız.

SQL Injection

Zinnur Yeşilyurt —  2 Eylül 2014 — 2 Comments

Merhabalar,

Bu benim bu blogdaki ilk yazım. Bu blogla Linux Yaz Kampı 2104’ü anlatan bir yazının altına attığım bir yorumla tanıştığım için Linux Yaz Kampı 2014’te Web Uygulama Güvenliği ve Güvenli Kod Geliştirme kursunda öğrendiğim bir konuyla başlamak istedim. Konunun çok ilerisini anlatan bir yazı değil de biraz özet maiyetinde. Zira bu konu için kitaplar var. o_O

Yazılımcı için iyi yazılım, uygulama geliştirmek önemlidir. Ancak geliştirdiğimiz işin güvenli olması da çok çok çok önemli bir konu. Zira çok fazla kişi internet bankacılığı, mobil ödeme, kredi kartı vs… kullanmakta.

Linux yaz kampı bünyesinde gittiğim kurs sonrası kursa dair bir doküman hazırlığındayım. Yakın zamanda bitecek ve yayınlayacağım. Kursun toparlama özeti gibi bir şey olacak sanırım. Ama şimdiden 25 sayfa olan bir özet görmedim. Neyse konumuza gelelim.

OWASP Top 10 sıralamasında 1. sırada yer alan Injections zafiyetinin bir çeşidi de Sql injection. Sql injection kullanıcıdan alınan input alanına arka tarafta çalışan Sql sorgusunu manipüle edip amacımıza hizmet edecek çıktılar vermesini sağlayacak Sql query’ler sokuşturmaktır.

Okumaya devam edin…