Kurumların Bilgi Güvenliği’ne yaptığı yatırımın ölçülmesi en zor işlerden birisidir. Kurumun ben güvenliyim, güvenliğe yatırım yapıyorum demesiyle gerçek manada güvende olması farklıdır. Siber Güvenlik Tatbikat Hizmeti bir kurumun dış ve iç siber saldırgan gözüyle kurumdaki tüm güvenlik bileşenleri...
Müşteri giriş panelinde SQL injection zafiyeti yer almaktadır. Zafiyet bilgileri tablo 1. de gösterilmiştir. Tablo 1. Giriş sayfası SQL injection zafiyet bilgileri URL HTTP Talep Türü POST Payload ” or 2=2;– Parametre b_musterino Zafiyetin istismarı aşağıda adım adım anlatılmıştır. 1) Gi...
Tablo 1. Captcha URL URL Tablo 1. de belirtilen adreste 3 kez yanlış giriş denemesinde bulunulduğunda, brute force saldırısını engellemek için captcha çıkmaktadır. Fakat mobil cihazla girildiğinde captcha çıkmamaktadır. Tarayıcıda user-agent bilgisi değiştirilerek, mobil cihaz gibi siteye giriş yapı...
Bilişim sistemleri hayatın her alanında olduğu gibi suç ve suçlu karşımıza çıkmaktadır. Teknoloji çağında gerçekleştirilen olayların aydınlatılmasında anahtar bileşen olarak konumlandırılan bilişim sistemleri doğru ve tarafsız analiz edildiğinde suçluya ait normal yollardan bulunamaycak deliller sun...
Oracle form, Oracle veritabanı ile etkileşimli ekranlar oluşturabilen Oracle Fusion Middleware’in bir eklentisidir. Oracle Report ise Oracle form’un raporlama aracıdır. Bu yazıda Oracle Report üzerindeki açıklığın nasıl istismar edileceği anlatılmıştır. Saldırgan IP’si: 6.6.6.51 Hedef Oracle Repor I...
CGI(Common Gateway Interface) web sayfaları ve web uygulamalarına dinamik içerik üretmek için kullanılan standart bir yöntemdir. Bu yöntem sistem üzerinde bash komutlarının çalıştırılabilmesine de olanak sağlamaktadır. Bash kabuğu üzerinde farkedilen bir güvenlik açığı sayesinde ise bu avantajlı dur...
