Pentest Günlükleri
Sızma testi ya da Pentest; bir hacker gözüyle sistemlerin güvenliğini taramak, zafiyetleri mümkünse sömürerek tespit etmek ve tüm bulguları bir Sonuç Raporuyla sunmak, kurum tarafından zafiyetler kapatınca bunun doğrulamasını yapmak...
Benim Geçiş Sertifikam Var
Yazılım geliştiricilerin muhakkak ki “Güvenli Yazılım Geliştirme” eğitimi almaları gerektiğini düşünüyorum. Bu eğitim baştan sona uygulamalı olmalı ve özellikle temel düzeyde de olsa bir hacker tarafından hangi web zafiyetlerinin nasıl...
Kimlik Kartını Çalmak
Bayram olması çoğu iş alanı için dinlenme zamanı, bazı özel ve hassas müşterilerimiz için test edilebilme zamanı, dolayısıyla bizim için de çalışma zamanı. Bu yüzden temel ziyaretler dışında sürekli pentest...
Vizeli Geçiş
Kurumsal bir web portalının yazılımını yapıyorum. Giriş için resmî yetkiyle oAuth üzerinden oturum açma yeteneği mevcut. Bu durumda neler yapabileceğimi düşünüyorum ve aklıma 3 farklı senaryo geliyor: Yetkili hesaptan girişin...
Kendiliğinden Kurulan Veri Tabanları
Bugün nispeten büyük bir ağın pentestini yapıyoruz. Tüm sistemler yeni ve sorumlu arkadaşlar oldukça ilgili olduğu için çok bariz zafiyetler bulmuyoruz. Yine de ağ blokları içindeki veri tabanlarını ilgili portları...
Mektup Kime Gidecek
Web portal pentestlerinde çokça karşılaştığımız zafiyet yüzeylerinden bir tanesi ise mesajlaşma özelliği oluyor. Genelde yazılımcılar işlevsel düşündükleri için bir saldırganın sahte mesaj atmak isteyebileceğini hesaba katmıyorlar. Testini yaptığım portalde “Bize...