Yazılım geliştirme sürecinde kod kalitesini ve güvenliğini artırmak için kullanılan yöntemlerden biri statik kod analizidir. Statik kod analizi, kodun çalıştırılmadan incelenmesi ve hataların, güvenlik açıklarının veya performans sorunlarının tespit edilmesidir. Bu makalede, statik kod analizinin ne olduğu, nasıl yapıldığı ve…
Merhaba, bu yazımda sızma testi metodolojisinin başında gelen bilgi toplama araçlarından bahsetmek istiyorum Bu yazıyı hazırlarken kendime çıkarmış olduğum notları bir araya getirerek paylaşmak istedim, hem tek konu altında birleştirmek hemde kendime depo oluşturmak maksadıyla bilgi toplama araçlarını tek başlıkda…
Dirbuster Aracı İle Dizin Taraması : Dirbuster aracımız hedef sistem üzerinde gizli dizin taraması yapıyor ve bize var olan gizli dizinleri listeliyor, sızma testlerinde çok önemli bir aşama olduğu için dirbuster önemlidir. Kullanımı kolay bir araçtır. Kali linux üzerinden hazır…
File Upload Nedir ? File upload zafiyeti, web uygulamaları üzerinde bulunan dosya yükleme kısımlarına zararlı içeriğie sahip dosyalar yükleyerek web uygulaması içerisine zararlı yazılım enjekte etmemizi sağlayan tehlikeli bir zafiyet çeşididir. Bir jpg/png uzantılı dosya yükleme kısmına bir zararlı içeriğe…
Sql injection , sql sorgu dilini kullanarak veritabanı üzerindeki bilgileri görüntüleyebildiğimiz, yeni veriler ekleyebildiğimiz ya da verileri silip değiştirebildiğimiz oldukça tehlikeli bir güvenlik açığıdır. Bu güvenlik açıklığı sayesinde sistemin veritabanın da kayıtlı eposta, kullanıcı adı, şifre eğer bir e ticaret…
File İnclusion Nedir ? “File inclusion” olarak adlandırılan bu zafiyet çeşidi sayfaya eklenen dosyaların kullanıcı girdisi ile alındığı yada herhangi bir şifreleme,filitreleme işlemi olmadan gönderilmesi sonucunda kullanıcının yetkisi olmadığı dosyaları görüntüleyebilmesini,okuyabilmesini hatta sisteme bir backdoor açabilmesini sağlayan oldukça zararlı bir…
İnsecure Dor Zafiyeti Nedir? Bu zaafiyet idor olarak nitelendirilen “insecure direct object reference” zafiyet çeşidi bir nevi request değiştirme metodolojisini uygular yani bir kullanıcının izni olmadan onun yerine veri değiştirme,okuma gibi işlemlerin yapılabildiği tehlikeli bir zafiyet türüdür. Idor zafiyeti request…
İframe Nedir ? Iframe(Inline Frame),sayfa içine farklı kaynaklar (videolar,dökümanlar vb.) yerleştirmenize olanak tanıyan bir html elementidir. Web sayfalarını tasarlarken kullanılan bir koddur.Mesela bi sayfaya girdiğiniz zamana o sayfada bazı videoların eklendiğini görebilirsiniz muhtemelen o sayfanın tasarımcısı ıframee elementi kullanarak eklemiştir.…
Html injection olarak adlandırılan bu zafiyet siteye dışarıdan herhangi bir kişinin html kodu enjekte etmesine olanak tanıyan bir güvenlik açığıdır. Bu güvenlik açığı sayesinde site ziyaretçilerinin oturum bilgileri çalınabilir,sitede bulunan sayfa yönlendirmeleri değiştirilebilir ve daha bir çok riskli gerçekleştirilebilir. Bu…
XSS İnjection Nedir ? XSS(cross site scripting),türkçe karşılığı çapraz kod çalıştırma olan bu zafiyet dinamik internet siteleri içerisine js(javascript)kodları enjekte etmemizi ve çalıştırmamızı sağlayan bir güvenlik açığıdır. Web güvenlik açıkları arasında en popüler ve en yaygın olarak bulunan zafiyettir. Geçmişte…