RIPSTech Ile PHP Bug Hunting Serüveni – 1

php

RIPS özellikle güvenlik araştırmacıları tarafından bilinen popüler bir araç. Month of PHP Security altında 2010 yılından ilk defa yayınlanan RIPS, uzun bir süre açık kaynak kod olarak devam etti. En son version 0.55 olarak açık kaynak kodlu versiyonu yayınlandı. Şu anda ise https://www.ripstech.com/ adresinden, ücretli bir ürün olarak, “bir çok” yeni özellikle harekete geçti.

Uzun süredir geliştirilmesine devam edilen bu araç, aslında temel bir ihtiyaçtan birazda hobi olarak başlayan bir serüvenden geçerek bu noktaya vardı. Temelde 15 farklı tipte zafiyeti kaynak kod üzerinde Token-based adı verilen bir yaklaşım ile tespit etmekteydi. En temel problemlerinden birisi OOP desteği olmayan bu versiyon, temel anlamda fonksiyon bazlı kontrollerden öteye geçmemekteydi. Bu haliyle bilde oldukça iş gördüğüne inandığım bu araç RIPS Technology ile yeni versiyona kavuştu. Yeni versiyonun özelliklerini yakından analiz edelim.

Read more

Yubico Ile Kişisel Uygulamalarınızda 2 Aşamalı Doğrulama Entegrasyonu

Geçtiğimiz günlerde blogum için kullandığım WordPress’ten vazgeçtiğimi, Laravel ile kişisel bir blog yazmaya başladığımı şu yazıda dile getirmiştim. Şimdi ise Yubico’dan ve geliştirdiğiniz projelere nasıl entegre edebileceğinizden bahsedeceğim.

Aslında Yubico’nun nasıl kullanılacağını adım adım detaylıca Türkçe anlatan bir medium.com serisi var. Arda Kılıçdağı tarafından kaleme alınmış olan seri, yubico’yu nelerle birlikte nasıl kullanabilirim ? sorusuna çok güzel cevap veriyor.

Read more

Copy/Paste Programcılığın Yazılım Güvenliğine Etkisi

Merhaba,

Geçtiğimiz günlerde netsec mail listesine Mert Sarıca tarafından bir mail gönderilmişti. Mail şu şekilde başlamaktaydı,

2009 yılında “Bilgi güçtür ve paylaşıldıkça artar” mottosuyla oluşturduğum…

Bu cümle bireysel bilgi gelişimi adına çok önemli bir ifade. Benim de 2005 yılında başlayan siber güvenlik alanına olan ilgim bu motta üzerine kurulmuştu. Bilgi güçtü, ve paylaştıkça artıyordu. Sadece siber güvenlik alanı değil, özellikle bilgisayar programcılığı üzerinde de son derece etkisi olan bu motto, günümüzün belkide en önemli platformu olan stackoverflow.com sitesini kurdu.

Read more

Chrome 45+ Yeni Özelliği Subresource Integrity ve Avantajları

Merhaba

Uzun zamandır “Acaba nasıl çözümlenebilir bu iş ?” diye düşündüğüm bir problem vardı. CDN Security. Yani javascript, css gibi statik kaynakların güvenliği. Uygulamalarımızın kendisini, yani backend sistemlerimizi son derece yüksek titiz şekilde güvenlik önemleri ile donatabiliyoruz. Bir çok kurum penetrasyon testi, kaynak kod analizi, WAF korumaları gibi süreçleri oturtmuş durumda. Ama web uygulamaları sadece ve sadece back-end sistemlerden ibaret değiller. Uygulamalarımızın kullanıcıları da uygulamaların kendileri kadar önemli. En nihayetinde var oluş nedeni kullanıcılar olan bir uygulamanın güvenlik endişleri arasında “client-site security” ‘nin olmaması mümkün değildir.

Read more