XML harici varlık enjeksiyonu (XXE olarak da bilinir), bir saldırganın bir uygulamanın XML verilerini işlemesine müdahale etmesine olanak tanıyan bir web güvenlik açığıdır. Genellikle bir saldırganın uygulama sunucusu dosya sistemindeki dosyaları görüntülemesine ve uygulamanın kendisinin erişebildiği herhangi bir arka uç veya harici sistemle etkileşimde bulunmasına izin verir. Bazı durumlarda, bir saldırgan, sunucu tarafı istek sahteciliği (SSRF) […]
Bozuk kimlik doğrulama, saldırganların çevrimiçi meşru kullanıcıları taklit etmek için yararlandıkları çeşitli güvenlik açıkları için kullanılan genel bir terimdir. Genel olarak, bozuk kimlik doğrulama, iki alandaki zayıflıkları ifade eder: oturum yönetimi ve kimlik bilgisi yönetimi. Her ikisi de bozuk kimlik doğrulama olarak sınıflandırılır. Çünkü saldırganlar kullanıcı kılığına girmek için caddeleri kullanabilir: ele geçirilmiş oturum kimlikleri […]
Bug Bounty Nedir? Bug Bounty, farklı kurum ve kuruluşların, yazılımlarında bulunan zafiyetlerin tespitini, testini yaptırmak ve bunların sonucunda ortaya çıkan zafiyetlerin giderilmesi amacı ile başlattığı ödüllü siber güvenlik programlarıdır. Bug Bounty programlarına katılıp yazılımsal zafiyetleri test edip bunları raporlayan kişilere ise Bug Hunter(Ödül Avcısı) denir. Ülkemizde pek yaygın olmasada aslında bir çok yabancı ülkede, bir […]
CWE-89 SQL Injection CWE-89 SQL Injection, bir SQL sorgusunda kullanılan özel öğelerin yanlış nötrleştirilmesinden kaynaklanan bir zayıflıktır. SQL enjeksiyonunun temel biçimi, SQL komutlarını oluşturmak için kullanılan değişkenlere saldırgan tarafından kontrol edilen verilerin doğrudan eklenmesini açıklar. Sonuç olarak, bir saldırgan dizeyi kalıcı olarak sonlandırarak, yeni komutlar ekleyerek vs. orijinal sorguyu kurcalayabilir. CWE-89 SQL Injection Etkisi Saldırgan, […]