Burp suite ile Session ID Randomness Analizi

Merhaba

Web uygulamaları, kullanıcı adı ve parola doğrulamasını başarılı bir şekilde tamamlamış kullanıcıları tanıyabilmek adına Session adını verdiğimiz değerleri kullanmaktadır. Bu değer, kullanıcının oturum bilgilerini doğru girmesi durumunda sunucu tarafından, tahmin edilmesi imkansız olan bir anahtar (teoride) üretilerek kullanıcıya Cookie bilgisi iletilmektedir. Bu aşamadan sonra kullanıcının internet tarayıcı kendisine sunucu tarafından iletilen bu Cookie değerini, üreteceği her HTTP talebine ekler ve böylece uygulamaya kendisini tanıtmış olur.

Read more

Captchasec ile Captcha Güvenlik Testi

Merhaba

Son zamanlarda gerçekleştirdiğim güvenlik testlerinin bir çoğunda captcha mekanizmaları ile ilgili talepler karşıma çıkmakta. Gelen taleplerin arasında da en çok sorulan soru şu ki ; “Captcha’mız kırılabiliyor mu ? ”

Bu soruya doğrudan cevap vermek mümkün değil. Özellikle OWASP v4 checklist’te ki bazı adımları doğrulamak gerekmekte. Bu adımlardan bir taneside captcha olarak sorulan resmin otomatize yazılımlar ( OCR )  ile çözümlenebilme oranı ile ilgili. Her testte tek tek bu hesaplamayı yapmaktan usandım ve işi otomatize etmeye karar verdim.  Böylece captchasec doğmuş oldu.

Read more

PHP Respect Validation ile Input Validation

php

Merhaba

Uygulama güvenliğinin belkide en önemli noktası literatürde Input Validation olarak adlandırılan Girdi Doğrulama yaklaşımıdır. Girdi doğrulamalarını gerçekleştirirkende beyaz liste (whitelisting) yapılması son derece önemlidir.

Bu yazıda, geçtiğimiz günlerde karşılaştığım ve test ettiğimde oldukça başarı bulduğum bir kütüphane olan Respect Validation tanıtılacaktır.

Read more