Güvenlik uzmanı olarak çalışıyor olmanın getirdiği en güzel artılardan bir tanesi şüphesiz hemen hemen her ekip ile içli dışlı oluyor olmaktır. Güvenlik denetimi sonrası tespit edilen bulgular nedeniyle başta yazılım geliştiriciler olmak üzere orta ve alt katman sorumluluları, veri tabanı yöneticileri ve analistler ile sayısız kez çalışma imkanım oldu. Bir uygulamanın düzgün ve güvenli çalışması için teoride bir arada, gerçekte ise birbirinden tamamiyle uç noktalarda çalışan bu ekipler temeli ortak olan güvenlik zafiyetleri ile baş etmeye çalışırlar. Bu yazıda dile getireceğim hususlar ve yaşanmış tecrübeler de tam olarak bununla ilgili olacak.
Application Security
Tuleap 8.18 <= SQLi And Several XSS Analysis
Tuleap is a full free Open Source Suite for Application Lifecycle Management. Traditional development, Requirement Management, Agile Development, IT Service management… Tuleap makes software projects more productive, collaborative and industrialised.
Low Severity | WordPress <= 4.6.1 Stored XSS Via Theme File
Initial report has been shared with security@wordpress.org at 8 Sep 2016 (a month ago) and haven’t received any response from WP team.
Kişisel Web Alt Yapılarında Composer’ın Tehlikeleri
Gününümüzde geliştirilen herhangi bir projede paket yöneticisinin olmayışı pek kabul edilebilir bir şey değildir. Her şeyi sıfırdan yazmak yerine, topluluk içerisindeki gurular tarafından geliştirilmiş modülleri/iş paketlerini projeniz içerisinde kullanmak ve anlık olarak yönetebilmek son derece elzem bir konudur. Bu süreci PHP dünyasında çözen yaklaşım ise composer‘dir.