11 Haziran 2017

Güvenli Yazılım Geliştirmede Cross Site Scripting (XSS) Ve AntiXSS Kütüphanesi

Bu yazıda Cross Site Scripting yani daha çok kullandığımız ismiyle XSS üzerine konuşacağız. Eski bir açıklıktır ve son Owasp Top 10'de de her zamanki gibi yerini almıştır. Kaynak kod analizlerinde veya sızma testlerinde de oldukça adını duyduğumuz bir açıklıktır. XSS, bir saldırganın kaynak kod içerisine kendi zararlı kodlarını enjekte edebilmesini neden olan bir zafiyettir. Bu zafiyeti istismar eden bir saldırganın geniş yelpazede bir zarar vermesi mümkün olabilmektedir. Üç çeşit XSS türü...
Devamını oku ...

7 Mayıs 2017

Güvenli Yazılım Geliştirmede Dosya Yükleme

Bu yazım ilk olarak BGA Security Blog'da yayınlanmıştır.   İşleyiş olarak son kullanıcıya oldukça yararlı ve günümüz dünyasında yaygınlığı olan uygulamalarda bile güvenlik açıklıkları çıkmaktadır. Bu durum yazılımcıların fonksiyonaliteyi arttırayım derken güvenliğe yeterince önem verememesinden kaynaklanabilmektedir. Bu açıklıklardan en fazla dikkat edilmesi gereken konulardan birisi olarak güvensiz upload’ı inceleyeceğiz. File upload alanları istemci tarafından sunucu...
Devamını oku ...