Web Uygulamaları Sızma Testi Türk Standardları Enstitüsü Yazılım Test ve Belgelendirme Dairesi Başkanlığı
|
|
- Aysun Erdem
- 8 yıl önce
- İzleme sayısı:
Transkript
1 Web Uygulamaları Sızma Testi Türk Standardları Enstitüsü Yazılım Test ve Belgelendirme Dairesi Başkanlığı Tarih 1
2 Sunum İçeriği Giriş Web Teknolojileri Standartları Bilgi Toplama ve Ayar Yönetimi Girdi-Çıktı Alan Tespiti ve Manipülasyon Kimlik Denetimi Yetkilendirme Oturum Yönetimi İş Mantığı Hataları 2
3 Giriş 3
4 Giriş Web Pentest Türleri Black Box White Box Gray Box 4
5 Giriş Tarama Türleri Manuel Otomatik - Ücretsiz Araçlar - Ticari Araçlar Hibrit Zafiyet Tarama Araçları Ticari olanlar Acunetix Netsparker Burp Suite Pro Ücretsiz olanlar ZAP WebScarab 5
6 Giriş Test Süreci (Test Metodolojisi) Recon. Mapping Discovery Exploit Reporting 6
7 Giriş Saldırı Yüzeyleri Sunucu Yanlış yapılandırma DOS Uygulama Login sistemi Oturum yönetim sist. Fonksiyonel bozukluklar Kullanıcı Sosyal mühendislik 7
8 Giriş Açıklık Taslakları OWASP CWE 8
9 Giriş Raporlama Bir önceki sunumda hazırlanan taslaklardan raporlama yapılır. 9
10 Teknolojiler - Standartlar 10
11 Teknolojiler - Standartlar İstemci sunucu mimarisi Web tarayıcıları html http URL, URI DOM RIA Uygulamalar 11
12 İstemci Sunucu Mimarisi 12
13 İstemci Sunucu Mimarisi 13
14 Web Tarayıcıları Chrome IE Firefox Safari Opera Yandex Browser Firebug Debugbar Firebug Cookie Manager HttpFox 14
15 HTML HTML Nedir? Hyper Text Markup Language Bir HTML dokümanına web sayfası denir. Bir HTML dokümanı HTML etiketlerinden oluşur. Her HTML etiketin bir anlamı var. 15
16 HTML HTML Dokümanları Nasıl Tarayıcıda Görünür? Tarayıcılar HTML etiketlerini göstermezler. Bu etiketleri yorumlayarak uygun içeriği gösterirler. HTML elements, tags, attributes <p>...</p> <img>...</img> <h1>...</h1> <span>...</span> <div>...</div> <head>...</head> <title>...</title> 16
17 HTML Html Sayfaları Nasıl Taşınır? html dokümanları (web sayfaları) http ile İstemci -Sunucu arasında taşınır. İstemci bir web sayfasını Sunucudan ister, Sunucu da bu sayfayı istemciye (web tarayıcısına) html dokümanı olarak gönderir. 17
18 HTML http Hyper Text Transfer Protocol http, Sunucu ve İstemci arasında verilerin taşınmasını sağlayan bir protokoldür. Burada veriden kasıt; html sayfaları, resimler, videolar gibi sunucu ve istemci arasında taşınabilecek her şeydir. https/ssl SSL ve TSL sunucu ve istemci arasında http üzerinde aktarılan verilerin şifrelenerek iletilmesini sağlayan bir protokoldür. Web uygulamalarında güvenli bağlantı için yaygın olarak SSL / TLS kullanılır. Bir http bağlantısının güvenliği SSL ile sağlanınca artık bağlantı https olarak adlandırılacaktır. 18
19 HTML http Başlıkları http başlıkları, taleplerde ve cevaplarda dönen mesajların parçalarıdır. Bir http talebinin veya cevabının nasıl yorumlanacağını belirlerler. IETF tarafından RFC içinde bir standart haline getirilmiştir. 19
20 HTML http Metotları http metotları sunucu ile istemci arasında iletilen veriler üzerinde işlem yapılmasını sağlar. GET, POST, PUT, DELETE, TRACE, OPTIONS, PATCH 20
21 HTML http İsteği (http Request) Sunucuya GET metodu ile iletilen bir istek. 21
22 HTML http İsteği (http Request) Sunucuya POST metodu ile iletilen bir istek. 22
23 HTML http Cevabı (http Response) Sunucudan gelen bir cevap ve içindeki HTML etiketleri. 23
24 HTML HTTP Bağlantılarında Araya Girme Web uygulamaları çalışırken sunucu ve istemci arasında HTTP ile sağlanan bağlantının arasına girilebilir. Bu iş için Local Proxy programları yada tarayıcı eklentileri kullanılır. Bu eğitimde Burp Suite Free uygulaması kullanılacak. 24
25 SSL/TSL Nedir? SSL ve TSL sunucu ve istemci arasında HTTP üzerinde aktarılan verilerin şifrelenerek iletilmesini sağlayan bir protokoldür. Web uygulamalarında güvenli bağlantı için yaygın olarak SSL/TLS kullanılır. Bir HTTP bağlantısının güvenliği SSL ile sağlanınca artık bağlantı HTTPS olarak adlandırılacaktır. Test süreci içinde detaylı değinilecektir. 25
26 URL Nedir? Uniform Resource Locator Genel anlamda internet ortamında, dar anlamda ise sunucuda olan bir kaynağın konumunu belirten ve karakterlerden oluşan ifadedir. Web uygulamaları için adresleme standartıdır. URI-UDI Uniform Resource Identifier Universal Document Identifier Her ikisi de URL için temel oluşturmuş isimlendirmelerdir. 26
27 URL scheme://host:port/path?parameter=value#fragment scheme host:port path?parameter=value #fragment http, https,telnet, ftp mail.google.com:80, /, /index.html, /home/default.aspx?param1=val1¶m2=val2 #anchor 27
28 Neredeyiz? Giriş Web Teknolojileri Standartları Bilgi Toplama ve Ayar Yönetimi Girdi-Çıktı Alan Tespiti ve Manipülasyon Kimlik Denetimi Yetkilendirme Oturum Yönetimi İş Mantığı Hataları 28
29 TEST SÜRECİ 29
30 Test Süreci BİLGİ TOPLAMA VE AYAR YÖNETİMİ GİRDİ-ÇIKTI ALANI TESPİTİ/MANİPÜLASYONU KİMLİK DENETİMİ YETKİLENDİRME OTURUM YÖNETİMİ İŞ MANTIĞI HATALARI 30
31 Bilgi Toplama ve Ayar Yönetimi Bilgi Toplama ve Ayar Yönetimi Server ve teknoloji bilgisi Oturum bilgisi URL bilgisi http metod bilgisi PORT VE SERVİS BİLGİSİ SSL/TLS BİLGİSİ Versiyonları Algoritmaları UYGULAMA DİZİN YAPISI YÖNETİCİ ARAYÜZÜ ERİŞİMİ MİNİMUM BİLGİ PRENSİBİ AYKIRI DURUMLAR Yardım ve hata sayfaları Unutuluş html açıklama satırları ve kullanıcı toplama YEDEKLENMİŞ VE UNUTULMUŞ DOSYALAR BİLİNEN AÇIKLIKLAR Google hacking ExploitDB 31
32 Bilgi Toplama ve Ayar Yönetimi http Başlıkları İnceleme Request başlığı 32
33 Bilgi Toplama ve Ayar Yönetimi http Başlıkları İnceleme Response başlığı 33
34 Bilgi Toplama ve Ayar Yönetimi http Başlıkları İnceleme Nikto ile yapılan bir tarama. 34
35 Bilgi Toplama ve Ayar Yönetimi SSL Denetimi SSL in ve TSL in versiyonları düşük olmamalı. SSL de en az versiyon 3.0, TSL de ise en az versiyon 1.0 olmalı. SSL ve TSL algoritmaları güçlü olmalı. Bu sertifikalar geçerli otoritelerden alınmalı. HTTPS Denetimi Uygulama hassas veri iletiyorsa bağlantı güvenliğinin sağlanması gerekir. Kullanıcı giriş bilgileri, bankacılık bilgileri vb. önemli bilgiler HTTPS gibi doğru yapılandırılmış güvenli bağlantılarla iletilmelidir. 35
36 Bilgi Toplama ve Ayar Yönetimi SSL Kontrolü Sslscan 36
37 Bilgi Toplama ve Ayar Yönetimi Uygulama Dizin Yapısı Uygulamanın dizin yapısının çıkarılması gerekir. Böylece hassas verilerin saklanabileceği dizinler bulunur. Yönetici arayüzüne erişim Daha odaklı manipülasyonlar yapılır. Dizin yapısı otomatize araçlar sayesinde çıkartılır. Netsparker Accunetix Burp 37
38 Bilgi Toplama ve Ayar Yönetimi Yönetici Arayüzüne Erişim Yedeklenmiş veya Unutulmuş Dosyalar Servis ve Port Bilgileri 38
39 Minimum Bilgi Prensibi Bilgi? http başlıkları Hata sayfaları ve hata kodları Unutulmuş açıklama satırları Kullanıcı uyarı mesajları E-posta adresleri Sosyal ağlar Arama motorları 39
40 Bilgi Toplama ve Ayar Yönetimi Bilinen Açıklıklar Güvenlikçiler veya hackerlar tarafından bazı teknolojilerde veya uygulamalarda tespit edilmiş açıklıklar internette yayınlanmış olabilir. Uygulama sunucusunun, teknolojisinin ve diğer eklentilerinin bilinmesi burada işe yarar. 40
41 Bilgi Toplama ve Ayar Yönetimi Google Hacking Google Hacking, Google ın ileri arama teknikleri ve diğer servisleri kullanılarak yapılan bilgi toplama ve açıklık bulma işlemidir. Google Hacking Toolbar SearchDiggty Founstone GHDB 41
42 Bilgi Toplama ve Ayar Yönetimi Google Hacking Google Hacking, Google ın ileri arama teknikleri ve diğer servisleri kullanılarak yapılan bilgi toplama ve açıklık bulma işlemidir. Google Hacking Database(GHDB), google kullanılarak uygulamalarda ve teknolojilerde tespit edilmiş açıklıkların depolandığı veritabanıdır. Google da hedef uygulama veya teknoloji için böyle bir arama yapmak meşakkatli olacağından, bu aramaları yapan ve veritabanındaki açıklıkları deneyen otomatize araçlar kullanılır. Google Hacking Toolbar SearchDiggty Founstone GHDB 42
43 Bilgi Toplama ve Ayar Yönetimi Google Hacking İleri Arama Teknikleri intext allintext intitle allintittle link cache site related info insubject inurl allinurl author id inanchor location movie filetype phonebook 43
44 GİRDİ ÇIKTI DENETİMİ 44
45 Girdi -Çıktı Denetimi Girdi ve Çıktı Alanlarının Belirlenmesi Web uygulamalarında genelde karşılaşılan problem; veri ile zararlı kodun birbirine karışmasıdır. Yeterli denetimlerin yapılmadığı bir uygulamada girdi alanları hackerlar tarafından kötü niyetle kullanılabilir. Testlerde yeterli denetim olduğunu anlayabilmek için girdi alanlarının tespiti gerekir. Girdi alanlarını sadece bir şeyler yazacağımız text kutuları olarak görmek hatalıdır. http bağlantılarında sunucu ve istemci arasında taşınan veya taşınmayan her şeyi girdi alanı olarak görmemiz gerekir. İstemci Taraflı Sunucu Taraflı Girdi Denetimi 45
46 Girdi -Çıktı Denetimi <scrlpt> Bu listedekiler OLMASIN! Black List (Kara Liste) Negatif Denetim [a-z] Bu listedekiler OLSUN! White List (Beyaz Liste) Pozitif Denetim 46
47 Girdi -Çıktı Denetimi Çıktı Denetimi Web uygulamalarında, sadece girdi alanları değil çıktı alanları da problem oluşturabilirler. Bazı durumlarda uygulama koduna karıştırılan zararlı kodlar çıktı olarak istemciye gönderilebilir. Böyle bir durumda istemci dolaylı olarak bu zafiyetten etkilenir. Encoding/Decoding Çıktı alanlarında zararlı kodların çalışmasını engellemek amacıyla uygulanması gereken bir yöntemdir. Html Encoding URL Encoding JS Encding 47
48 Girdi -Çıktı Denetimi SOP (Same Origin Policy) Aynı Kaynak Politikası SOP, bir web uygulamasını, sayfasını oluşturan kaynakların veya uygulamanın kendisinin, başka uygulamalar tarafından kullanım kurallarını belirleyen bir standarttır. SOP, bu kontrolü sağlamak için; Protokol Alan Adı Port 48
49 Girdi -Çıktı Denetimi SOP Kuralları
50 Girdi -Çıktı Denetimi JavaScript Başlangıçta statik HTML sayfalarını görsel anlamda zenginleştirmek için kullanıldı. İlerleyen zamanlarda Sunucu ve İstemci arasındaki veri trafiğini azaltmak için kullanıldı. Günümüzde ise artık masaüstü programlarda bile kullanılacak kadar dinamik bir yapı kazandı. Bu durum; kullanıcı bilgisayarlarında, web tarayıcılarında, web uygulamalarında veya sayfalarında JavaScript kodlarının izinsiz kullanılmasının da önünü açmış oldu. 50
51 Girdi -Çıktı Denetimi Java Script Sayfa İçinde Nasıl Kullanılır? 51
52 Bilgi Toplama ve Ayar Yönetimi XSS XSS Türleri Web uygulamasını kullanan istemcilerde Javascript gibi dillerin izinsiz çalıştırılmasıdır. Reflected (Yansıtılan) XSS Stored (Persistent-Depolanmış) XSS DOM XSS 52
53 Girdi -Çıktı Denetimi Reflected XSS (Yansıtılmış XSS) Saldırgan Kurban 1. Kötü amaçla oluşturulmuş link 3. Sunucu, kurcalanmış HTML üretir ve yollar 2. Kurban, kötü amaçlı linke tıklar Sunucu 53
54 Girdi -Çıktı Denetimi Stored XSS (Depolanmış XSS) Saldırgan 1. Kurcalanmış HTML depolanır. 1. Kötü amaçla oluşturulmuş istek Kurbanlar 2. İstek 3. Kurcalanmış HTML 54
55 Girdi -Çıktı Denetimi DOM XSS Saldırgan 2. İstemci taraflı kod, çalışır. Kurban 1. Kötü amaçla oluşturulmuş link 3. Sunucu, temiz HTML üretir ve yollar 2. Kurban, kötü amaçlı linke tıklar Sunucu 55
56 Girdi -Çıktı Denetimi SQL (Structured Query Language) Veritabanı üzerinde işlem yapılmasını sağlayan bir veri işleme dilidir. ANSI tarafından standart haline getirilmiştir. Daha sonra bazı firmalarca özelleştirilmiştir. MSSQL(Transact-SQL) MySQL Oracle(ProceduralLanguage-SQL) Temel SQL komutları SELECT UPDATE DELETE INSERT 56
57 Girdi -Çıktı Denetimi SQL Injection (SQL Enjeksiyonu) Uygulamadan alınan parametrelerin doğrudan veritabanı sunucusuna gönderilmesi sonucu veritabanı üzerinde izinsiz sorgular çalıştırılabilir. Uygulama seviyesinde yeterli girdi denetimi yapılmadığında veya Veritabanı sunucusunda gelen sorguların denetimi yapılmadığında SQL-i gerçekleştirilebilir. 1. Denetim yapılmaz. 2. Veritabanında işler. Saldırgan Web Sunucu Veritabanı /urundetay.aspx?id=5 Select * from products where id=5 57
58 Girdi -Çıktı Denetimi SQL Injection (SQL Enjeksiyonu) Dinamik bir SQL sorgusu: $getid= "SELECT uname, umodelfrom urunwhere uid= 100 "; Normal bir değişken değeri: $getid= "SELECT uname, umodelfrom urunwhere uid= 100 "; Anormal bir değişken değeri: $getid= "SELECT uname, umodelfrom urunwhere uid= 100 or1=1 "; 58
59 Girdi -Çıktı Denetimi SQL Injection (SQL Enjeksiyonu) /urundetay.aspx?id=5 Select * from products where id= 5 Ürün Detayı Laptop (Orijinal Yanıt) /urundetay.aspx?id= 5 Select * from products where id= 5 Hata Sayfası /urundetay.aspx?id= 5 UNION SELECT IF(SUBSTRING(USER(),1,4)='root',SLEEP(5),1)# Select * fromproductswhereid= 5 UNION SELECT IF(SUBSTRING(USER(),1,4)='root',SLEEP(5),1) # Ürün Detayı Laptop (Orijinal Yanıt 5 sn gecikmeli) 59
60 Girdi -Çıktı Denetimi Parametrize Sorgular string commandtext = "SELECT * FROM Customers "+ "WHERE Country=@CountryName"; SqlCommand cmd = new SqlCommand(commandText, conn); cmd.parameters.add("@countryname",countryname); string sql = string.format ("SELECT TOP {0} * FROM Products", numresults); 60
61 KİMLİK DOĞRULAMA 61
62 Kimlik Doğrulama Kullanıcı kimlik doğrulama türü Şifre politikası Giriş-Çıkış işlevi/cache yönetimi Kimlik doğrulamanın atlatılabilmesi Brute Force (Kaba Kuvvet Saldırısı) Dictionary Atack (Sözlük Saldırısı) CAPTCHA kullanım 62
63 Kimlik Doğrulama Kimlik Doğrulama Bir uygulamada Sunucunun kaynaklarını doğru kişiye açtığını bilmesi, istemcinin de doğru kaynaktan veri aldığını bilmesi için sunucu ile istemci arasında kimlik doğrulama yapılabilir. Yetersiz kimlik doğrulama işlemi kullanıcı sahteciliği, hassas verilere 3. kişilerin ulaşması gibi sonuçlar ortaya çıkartır. 63
64 Kimlik Doğrulama Basic Base64 Kodlama Kullanır. Logout Fonksiyonu yoktur. Digest Parola sunucu tarafında açık tutulur. Integrated Sadece Windows sunucu ve sistemlerinde çalışır. Parola sunucu tarafında açık tutulmaz NTLM veya Kerberos Proxy ve güvenlik duvarlarıyla uyumlu değildir. Certificate Based İki taraflı kimlik doğrulama mümkündür. Geçerli sertifikaya ihtiyaç vardır. Sertifikanın korunması gerekir. Form Based Proxy ve güvenlik duvarlarıyla uyumludur. Çok kullanıcılı uygulamalarda tercih edilir. 64
65 Kimlik Doğrulama Giriş -Çıkış İşlevi ve Cache Yönetimi El işçiliği gerektirir. Yetkilendirme gereken her sayfada Logout butonu var mı? Logout olunduğunda oturum çerezinin değeri ne oldu? Logout olduktan sonra tarayıcının «Geri» butonu yetkili sayfayı dönüyor mu? Logout için ön tanımlı bir süre var mı? Önemli http istekleri ve cevapları önbellekte (cache) tutuluyor mu? 65
66 Kimlik Doğrulama Şifre Politikaları Kurum Kullanıcı adı ve parola politikası öğrenilmeli. Uygulama teknolojilerinin ön tanımlı kullanıcı adları ve parolaları denenmeli. Yanlış yapılandırılmış HTTP başlıkları incelenmeli. Web sayfalarındaki gizli alanlara bakılmalı. Giriş-Çıkış İşlevi Uygulamanın giriş-çıkış işlevlerinin çalışması incelenmeli. Uygulama tarayıcıda Cache e izin verip vermediğine bakılmalı. 66
67 Kimlik Doğrulama Kullanıcı Adı - Parola Yönetimi Geçerli ve geçersiz kullanıcı bilgileri Hata kodları / html ve yorum satırları URL adresleri Google Kurum kullanıcı adı parola politikası Tahmin edilebilir kullanıcı bilgileri Beni Hatırla/Parola Sıfırlama Gizli Soru Kaç tane? Cevaplar tahmin edilebilir mi? En son giriş tarihi Hesap kilitleme (DOS) 67
68 Kimlik Doğrulama Brute Force (Kaba Kuvvet Saldırısı) Başlangıç karakteri Bitiş karakteri Karakter uzunluğu Dictionary Attack (Sözlük Saldırısı) Daha önce oluşturulmuş bir listedeki tüm sözcüklerin denenmesi ile yapılır. Karakter çeşitliliği 68
69 Kimlik Doğrulama 69
70 Kimlik Doğrulama CAPTCHA Kullanım Hataları Completely Automated Public Turing test to tell Computers and Humans Apart Kullanıcı girişi bulunan uygulamalarda CAPTCHA, kaba kuvvet ve sözlük saldırılarını engelleyebilir. CAPTCHA ile ilgili sorunlar; Zayıf algoritmalar Dar örnek uzay Zayıf resimler CAPTCHA tekrarlama 70
71 YETKİLENDİRME 71
72 Yetkilendirme Yetkilendirme Çeşitleri Yetki Artırımı Yetki Dışı İşlem Dizin Gezinimi 72
73 Yetkilendirme Yetkilendirme Kimliği doğrulanmış kullanıcıların uygulama üzerinde farklı hakları olabilir. 73
74 Yetkilendirme Yetkilendirme Çeşitleri IP ve sunucu ismi tabanlı URL tabanlı Uygulama tabanlı Rol tabanlı Kaynak tabanlı İzin tabanlı Hibrit 74
75 Yetkilendirme Yetki Dışı İşlem Kullanıcı 1. Kimliği denetlenir, yetkilendirilir. Web Sunucu 2. Kimliği denetlenmez, yetkisizdir. Veritabanı Saldırgan 75
76 Yetkilendirme Yetki Artırımı 2. Yetkilidir, yönetici gibi davranır. Admin Yönetici Web Sunucu Saldırgan Yatay yetki yükseltme. Kullanıcı Saldırgan 1. Yetkilidir, kullanıcı gibi davranır. Kullanıcı 76
77 Yetkilendirme Yatay ve Dikey Yetki Yükseltme Yatay yetki yükseltme Dikey yetki yükseltme <form method= POST > action= >... <input type= hidden name= login_name value= auser > <input type= hidden name= list value= FREQUENT_FLYER >... <input type= hidden name= list_admin value= F >... </form> 77
78 Yetkilendirme Yetki Dışı İşlem Uygulamanın bazı fonksiyonları çalıştırması için kullanıcıdan alınan parametreleri yetki kontrolüne tabi tutmadan işleme alması durumudur
79 Yetkilendirme Dizin Gezinimi C:\\xampp\htdocs\socialn\user\profile\photos\confirmed\IMG001.jpg /confirmed /photos /profile /user /socialn \htdocs \www \C:\ 79
80 Kimlik Doğrulama Path/Directory Traversal (Dizin Gezinimi) Dizin Gezinimi ile uygulamanın web sunucusu üzerinde çağırdığı kaynağın yolu değiştirilerek erişimi yasak olan başka kaynapın çağırılmasıdır. Zafiyet barındıran phpkodu: <?php?> $template= sayfa.php ; if (is_set($_cookie[ TEMPLATE ])) $template=$_cookie[ TEMPLATE ]; include ( /home/templates/.$template); Zararlı http isteği: http cevabı: GET /vulnerable.phphttp/1.1 Cookie:TEMPLATE=../../../../../../../etc/passwd HTTP/ OK Content-Type:text-html foot:fi3sed95ibqr6:0:1:system Operator:/:/bin/ksh daemon:*:1:1::/tmp: 80
81 OTURUM YÖNETİMİ 81
82 Yetkilendirme İstemci taraflı kontroller Sunucu taraflı kontroller Oturum başlatma ve sonlandırma Oturum Sabitleme (Session Fixation) Siteler arası istek sahteciliği (CSRF) 82
83 Oturum Yönetimi Oturum Yönetimi Web uygulamaları HTTP üzerinden haberleşirler. Fakat HTTP, istemcinin kimlik bilgisini doğruladıktan sonra istemcinin durum bilgisini (oturum bilgisini) tutmaz. Yani bir kullanıcıdan gelen iki isteğin aynı kullanıcıdan geldiğini anlayamaz. Bu nedenle istemcinin durum bilgisinin kontrol edilmesi için her istemciye özel bir değer sunucu veya geliştirici tarafından üretilir. (Session ID) Oturum Yönetimi Türleri URL taşınan oturum bilgisi Form gizli alanlarında taşınan outurum bilgisi Çerezlerde taşınan oturum bilgisi (en yaygın olanı) 83
84 Oturum Yönetimi Oturum Yönetimi Ne/Neden/Nasıl? Kullanıcı Web Sunucu 84
85 Oturum Yönetimi Unpredic table Time- Start Time-End Length SessionID Secure Transpor t Random Unique ASP.NET_SessionId=5gura4554gaayp55gca4qp45; 85
86 Oturum Yönetimi 1 Gizli alanlar 2 HTTP Başlıkları 3 URL bilgisi 4 Çerezlerin içeriği 5 SessionID özellikleri 86
87 Oturum Yönetimi Oturum Bilgisi Özellikleri Oturum Bilgisi Nitelikleri Uniqueness Randomness Length Unpredictible Expire Date Secure Transport Secure HttpOnly Domain Path Expires Set-Cookie: JSESSIONID=0023ghTq4Lh0za2mrkk45-yWb7:-3; domain=profiles.socialn.com; path=/myprofile/; Secure; HttpOnly; 87
88 Oturum Yönetimi Session Fixation (Oturum Sabitleme) 1. Uygulamaya erişir. Saldırgan 5. Aldığı oturum bilgisiyle uygulamaya girer. 2. Oturum bilgisi alır. 3. Oturum bilgisi içeren bağlantıyı kullanıcıya gönderir. Web Sunucu Kullanıcı 4. Oturum bilgisini kullandırır. Uygulama, kullanıcı giriş yaptıktan sonra oturum bilgisini değiştirmediği durumlarda bu saldırı ortaya çıkmaktadır. Uygulamanın saldırgana verdiği oturum bilgisiyle, saldırgan kullanıcıyı uygulamaya girmeye zorlayabilir. 88
89 Oturum Yönetimi CSRF (Siteler Arası İstek Sahteciliği) 2. Tarayıcının başka bir tabında kötü amaçlı sayfayı açar Güvensiz Uygulama 3. Kötü amaçlı isteği bilmeden yollar. Web Sunucu Kullanıcı 1. Uygulamaya girer ve oturum bilgisi alır. Etkileşim halindedir. 89
90 Bilgi Toplama ve Ayar Yönetimi Bilinen Açıklıklar ve ExploitDB Güvenlikçiler veya hackerlar tarafından bazı teknolojilerde veya uygulamalarda tespit edilmiş açıklıklar internette yayınlanmış olabilir. Uygulama sunucusunun, teknolojisinin ve diğer eklentilerinin bilinmesi burada işe yarar. 90
91 91
Tanımı 46 2-4-6 Problemi 46 Şüpheci Yaklaşım 47 Tamsayı Taşması (Integer Overflow) 47 Tamsayı Taşması Java Uygulaması 48
1 Yazılım Güvenliği 2 Yazılım Güvenliği Olgunluk Modelleri 4 OpenSAMM 6 Tehdit Modelleme 7 Güvenli Kod Denetimi 8 Statik Kod Analizi 9 Sızma Testleri-Pentest 10 13 Ne Kadar Karmaşık Olabilir ki? 14 HTML
DetaylıWeb Uygulama Güvenliği Kontrol Listesi 2010
Web Uygulama Güvenliği Kontrol Listesi 2010 1 www.webguvenligi.org Web uygulama güvenliği kontrol listesi 2010, OWASP-Türkiye ve Web Güvenliği Topluluğu tarafından güvenli web uygulamalarında aktif olması
DetaylıVERİ GÜVENLİĞİ. Web Uygulamaları Güvenliği. Özer Çelik Matematik-Bilgisayar Bölümü
VERİ GÜVENLİĞİ Web Uygulamaları Güvenliği Özer Çelik Matematik-Bilgisayar Bölümü Http nedir? HTTP (İngilizce Hypertext Transfer Protocol, Türkçe Hiper Metin Transfer Protokolü) bir kaynaktan dağıtılan
DetaylıÖRÜN (WEB) GÜVENLİĞİ. Hazırlayan: Arda Balkanay 704041003
ÖRÜN (WEB) GÜVENLİĞİ Hazırlayan: Arda Balkanay 704041003 Taslak Giriş WEB Nasıl Çalışır Hedef WEB Güvenlik Açıkları / Uygulama Problemleri Tehditler Sonuç Giriş WWW World Wide Web İnternet servislerini
DetaylıBTP 207 İNTERNET PROGRAMCILIĞI I. Ders 1
BTP 207 İNTERNET PROGRAMCILIĞI I Ders 1 2 Dersi Veren: Doç.Dr. Nuray At Mühendislik Fakültesi, Elektrik-Elektronik Müh. Bölümü, EEM213 e-mail: nat@anadolu.edu.tr Kaynaklar: 1. E. Yaşar, T. Özseven, İnternet
DetaylıCSRF (XSRF, Cross Site Request Forgery Cross Site Reference Forgery ) Nedir? Nasıl Kullanılır? ve Nasıl Korunulur?
CSRF (XSRF, Cross Site Request Forgery Cross Site Reference Forgery ) Nedir? Nasıl Kullanılır? ve Nasıl Korunulur? CSRF (XSRF, Cross Site Request Forgery Cross Site Reference Forgery ) Nedir? Başlamadan
DetaylıHTTP. (Hyper Text Transfer Protocol)
HTTP (Hyper Text Transfer Protocol) Http, bir kaynaktan dağıtılan ve ortak kullanıma açık olan hiperortam bilgi sistemleri için uygulama seviyesinde bir iletişim kuralıdır (http://tr.wikipedia.org/wiki/http).
DetaylıGüvenlik Java ve Web Uygulama Güvenliği
Güvenlik Java ve Web Uygulama Güvenliği Melih Sakarya www.melihsakarya.com melih.sakarya@gmail.com www.mergecons.com Olası Açıklar Donanımsal açıklar Sistemsel Açıklar Yazılımsal Açıklar Sosyal Mühendislik
DetaylıWeb Uygulama Pentest Eğitimi
Web Uygulama Pentest Eğitimi Konu: Girdi Denetimi @2014 Örnek Eğitim Notu bilgi@bga.com.tr Girdi Denetimi Uygulama kullanmadan önce bütün güvensiz verilerin doğru bir şekilde denetlenmesidir. Bir çok saldırı
DetaylıWeb Tasarımının Temelleri
1. Hafta Web Tasarımının Temelleri Öğr. Gör. Murat YAZICI www.muratyazici.com Artvin Çoruh Üniversitesi, Artvin Meslek Yüksekokulu www.artvin.edu.tr Temel Kavramlar İnternet HTML WWW HTTP, HTTPS FTP Web
Detaylı(Bilgisayar ağlarının birbirine bağlanarak büyük bir ağ oluşturmasıdır)
İnternet ve WWW İnternet Dünyadaki en büyük bilgisayar ağı, (Bilgisayar ağlarının birbirine bağlanarak büyük bir ağ oluşturmasıdır) İnternet teki web site sayısının yüksek bir hızla artması ve beraberinde
DetaylıDünyanın bilgisine açılan pencere... Ya da sadece yeni çağın eğlencesi...
Dünyanın bilgisine açılan pencere... Ya da sadece yeni çağın eğlencesi... Bilgisayar Ağı (Network) Nedir? Bir ana bilgisayarın denetiminde birbirlerine bağlı olarak çalışan bilgisayarların oluşturduğu
DetaylıAMAÇLAR: GÜVENLİK TESTLERİNDE BİLGİ TOPLAMA: AKTİF BİLGİ TOPLAMA
HAFTA: 11.1 AMAÇLAR: GÜVENLİK TESTLERİNDE BİLGİ TOPLAMA: AKTİF BİLGİ TOPLAMA 1- Aktif Bilgi Toplama Hedef ile iletişime geçilerek olabildiğince fazla ve işe yarayan bilgi edinilmeye çalışılır. DNS Protokolü
DetaylıWeb Application Penetration Test Report
Web Application Penetration Test Report Sızma testleri (Pentest) ve zayıflık tarama (Vulnerability Assessment) birbirine benzeyen iki aşamadan oluşur. Zayıflık tarama hedef sistemdeki güvenlik açıklıklarının
DetaylıMedula Eczane Stok Bilgileri Web Servisleri Kullanım Kılavuzu
T.C. SOSYAL GÜVENLİK KURUMU Medula Eczane Stok Bilgileri Web Servisleri Kullanım Kılavuzu 29 ARALIK 2016 Amaç Eczanelerin sorgulanan güne ait olan reçete ilaç bilgilerinin istemci tarafına gönderilmesi.
DetaylıÜlkemizdeki Üniversite Web Sayfalarının Siber Güvenlik Açısından Hızlı Bir Değerlendirmesi
Ülkemizdeki Üniversite Web Sayfalarının Siber Güvenlik Açısından Hızlı Bir Değerlendirmesi Kadriye HUYSAL ÖZGÖÇMEN kkhuysal[at]gmail.com Baran ÇELİK baran.celik[at]gmail.com Halil Özgür BAKTIR ozgur.baktir[at]gmail.com
DetaylıGoogle Hacking. Gelişmiş Google Operatörleri
Ön Söz Bilgisayar korsanları, önemli bilgiler içeren web uygulamalarına arama motorları sayesinde kolayca erişebiliyorlar. Hedeflenen anahtar kelimeler ile web sitelerinden önemli bilgiyi almak saniyeler
DetaylıSelective Framebusting
Selective Framebusting Seçiçi Çerçeveleme Engelleme Sema Arık, TurkcellTeknoloji, sema.arik@turkcellteknoloji.com.tr Bedirhan Urgun, Web Güvenlik Topluluğu, urgunb@hotmail.com Giriş PCI DSS Requirements
DetaylıÖğr. Gör. Serkan AKSU http://www.serkanaksu.net. http://www.serkanaksu.net/ 1
Öğr. Gör. Serkan AKSU http://www.serkanaksu.net http://www.serkanaksu.net/ 1 JavaScript JavaScript Nedir? Nestcape firması tarafından C dilinden esinlenerek yazılmış, Netscape Navigator 2.0 ile birlikte
DetaylıYAZILIM GÜVENLİĞİ POLİTİKASI 1/6. Doküman No : Yayınlandığı Tarih: Revizyon No: 00
1/6 1. AMAÇ: Bu doküman İstanbul Üniversitesinde geliştirilmiş ve geliştirilmekte olan tüm uygulamalarında yazılımın her türlü güvenliğinin sağlanması amacıyla tüm yazılım geliştiriciler, veri tabanı ve
DetaylıDünyanın bilgisine açılan pencere... Ya da sadece yeni çağın eğlencesi...
Dünyanın bilgisine açılan pencere... Ya da sadece yeni çağın eğlencesi... Bilgisayar Ağı (Network) Nedir? Bir ana bilgisayarın denetiminde birbirlerine bağlı olarak çalışan bilgisayarların oluşturduğu
DetaylıWeb Güvenliği Topluluğu webguvenligi.org Web Uygulama Güvenliği Kontrol Listesi 2012
Web Güvenliği Topluluğu webguvenligi.org Web Uygulama Güvenliği Kontrol Listesi 2012 Web Uygulama Güvenliği Kontrol Listesi, web uygulamalarında bilgi güvenliği açısından gerçekleştirilmesi, aktif olması
DetaylıVeritabanı Sızma Testleri Türk Standardları Enstitüsü Yazılım Test ve Belgelendirme Dairesi Başkanlığı
Veritabanı Sızma Testleri Türk Standardları Enstitüsü Yazılım Test ve Belgelendirme Dairesi Başkanlığı Tarih 1 Veritabanı Sızma Testleri Veritabanı sistemleri kritik sistemlerdir. Testler sonucunda elde
DetaylıWEB SUNUCU GÜVENLİĞİ: Web Siteleri Neden Hacklenir?
WEB SUNUCU GÜVENLİĞİ: Web Siteleri Neden Hacklenir? Gereksiz yedek dosyaları Default ayarlarla gelen konfigürasyon dosyaları Yetkisi tam olarak verilmiş dosyalar ya da dosya izni kontrolü yapılmadan sunucuda
DetaylıBATMAN ÜNİVERSİTESİ KÜTÜPHANE VERİTABANLARINA KAMPÜS DIŞINDAN ERİŞİM REHBERİ
BATMAN ÜNİVERSİTESİ KÜTÜPHANE VERİTABANLARINA KAMPÜS DIŞINDAN ERİŞİM REHBERİ Batman Üniversitesi Kütüphanesi veritabanlarına kampüs dışından erişebilmek için Üniversitemiz Bilgi İşlem Daire Başkanlığı
DetaylıWeb 2.0 Güvenliği @2014 Örnek Eğitim Notu bilgi@bga.com.tr
Web 2.0 Güvenliği @2014 Örnek Eğitim Notu bilgi@bga.com.tr Javascript 1995 Netscape, Brendan Eich tarafından geliştirildi. Dinamik olmasının yanında en önemli iki özelliği; Lambda Closure Javascript -
DetaylıWEB TASARIMININ TEMELLERİ
WEB TASARIMININ TEMELLERİ Öğr. Gör. M. Mutlu YAPICI Ankara Üniversitesi Elmadağ Meslek Yüksekokulu Ders İzlencesi Hafta Modüller/İçerik/Konular 1. Hafta İnternet ve WEB Tanımları Html Temel Etiketleri
DetaylıYeni Nesil Ağ Güvenliği
Yeni Nesil Ağ Güvenliği Ders 6 Mehmet Demirci 1 Bugün Taşıma katmanı güvenliği (TLS, SSL) İnternet katmanı güvenliği (IPSec) Kablosuz bağlantı güvenliği Güvenlik duvarları 2 SSL/TLS SSL ilk olarak Netscape
DetaylıYAZILIM GÜVENLİK TESTLERİ. H A L D U N T E R A M A N h a l d u n t e r a m a g m a i l. c o m
YAZILIM GÜVENLİK TESTLERİ H A L D U N T E R A M A N h a l d u n t e r a m a n @ g m a i l. c o m TEST NEDİR? Test, bir sistemi manuel veya otomatik yollarla deneyerek veya değerlendirerek, belirlenmiş
DetaylıİSMET AKTAR ANADOLU TEKNİK LİSESİ BİLİŞİM TEKNOLOJİLERİ ALANI WEB PROGRAMCILIĞI DALI
İSMET AKTAR ANADOLU TEKNİK LİSESİ BİLİŞİM TEKNOLOJİLERİ ALANI WEB PROGRAMCILIĞI DALI WEB TASARIMI VE PROGRAMLAMA DERSİ TEMEL KAVRAMLAR Bilişim Teknolojileri Web Tasarımı ve Programlama Dersi Durhan GABRALI
DetaylıBilgi ve Olay Yönetim Sistemi
1 Bilgi ve Olay Yönetim Sistemi Kurulum Kılavuzu Nisan 2016 Versiyon Sürüm 2.1.3 2 İçindekiler Bilgi ve Olay Yönetim Sistemi... 1 1. Sistem Gereksinimleri... 3 2. Kurulum... 3 3. Lisanslama... 10 4. Windows
DetaylıPHP I PHP I. E. Fatih Yetkin. 26 Eylül 2011
PHP I E. Fatih Yetkin 26 Eylül 2011 Outline Temel Tanımlar HTML e Giriş PHP ye Giriş MySQL ve PHP Temel Tanımlar Web Sunucu Nedir? Teknik detaylar bir kenara bırakılacak olursa, hazırlanan web sayfasını
DetaylıXSS Exploitation via CHEF
XSS Exploitation via CHEF Evren Yalçın SignalSec Corp. www.signalsec.com GİRİŞ Xss zafiyetlerini exploit ederken genelde Beef(The Browser Exploitation Framework) aracı kullanılmaktadır. Fakat ek araçlar
Detaylı1 WEB GÜVENLIĞINE GIRIŞ
İÇİNDEKİLER VII İÇİNDEKİLER 1 WEB GÜVENLIĞINE GIRIŞ 1 Hack & Hacker Kavramları 3 Siyah Şapkalı Hacker lar 4 Beyaz Şapkalı Hacker lar 4 Gri Şapkalı Hacker lar 4 CEH (Certified Ethical Hacking) 5 En Büyük
DetaylıHer Yönüyle SQL Enjeksiyonu. OWASP-Türkiye Bünyamin Demir
Her Yönüyle SQL Enjeksiyonu OWASP-Türkiye Bünyamin Demir Bünyamin Demir ( @bunyamindemir ) OWASP Türkiye Bölüm Lideri Founder & CTO @ Enforsec Ltd. Sızma Testleri Uzmanı Web, Mobil, Network, SCADA, Wireless,
Detaylı8. HAFTA KBT204 İNTERNET PROGRAMCILIĞI II. Öğr.Gör. Hakan YILMAZ. hakanyilmaz@karabuk.edu.tr
8. HAFTA KBT204 İNTERNET PROGRAMCILIĞI II Öğr.Gör. Hakan YILMAZ hakanyilmaz@karabuk.edu.tr Karabük Üniversitesi Uzaktan Eğitim Uygulama ve Araştırma Merkezi 2 İçindekiler QUERYSTRING KOLEKSIYONU... 3 FORM
DetaylıYZM 3215 İleri Web Programlama
YZM 3215 İleri Web Programlama Yrd. Doç. Dr. Deniz KILINÇ Celal Bayar Üniversitesi Hasan Ferdi Turgutlu Teknoloji Fakültesi Yazılım Mühendisliği 1 BÖLÜM - 1 İleri Web Programlamaya Giriş Bu bölümde; Temel
DetaylıİNTERNET HAFTA 02 TEMEL BİLGİ TEKNOLOJİSİ KULLANIMI. Öğr. Gör. GÜLTEKİN BÜYÜKŞENGÜR. SAPANCA Meslek Yüksekokulu
İNTERNET HAFTA 02 TEMEL BİLGİ TEKNOLOJİSİ KULLANIMI Öğr. Gör. GÜLTEKİN BÜYÜKŞENGÜR SAPANCA Meslek Yüksekokulu İnternet, bilgisayarların ve bilgisayar sistemlerinin birbirine bağlı olduğu, sürekli büyüyen
DetaylıInternet Programming II. Elbistan Meslek Yüksek Okulu Bahar Yarıyılı
Internet Programming II Elbistan Meslek Yüksek Okulu 2015 2016 Bahar Yarıyılı Öğr. Gör. Murat KEÇECĠOĞLU 23 May. 2016 Form Form İşlemleri Tarayıcıdan bilgi alarak işlem gerçekleştirme FORM elemanları yardımıyla
DetaylıWeb Uygulama Güvenliğinde Doğru Bilinen Yanlışlar!
Web Uygulama Güvenliğinde Doğru Bilinen Yanlışlar! Deniz Çevik Güvenlik Testleri Yöneticisi deniz.cevik@biznet.com.tr Gündem Kısaca Biznet Web Uygulama Mimarisine Kısa Bir Bakış Uygulama Güvenliği Sağlamada
DetaylıASP.NET 1. DURUM YÖNETİMİ. BLM 318 e-ticaret ve Uyg. Durum Yönetimi Nedir? Durum Yönetimi: Karșılaștırma İÇERİK. Sunucu-taraflı Durum Yönetimi
Nedir? olmadan Login.aspx Bilgilerinizi giriniz Durum Yönetimi İle Login.aspx Bilgilerinizi giriniz Adınız Adınız Pınar Pınar Soyadınız Soyadınız Onay Durdu Onay Durdu Gönder Gönder ASP.NET - 1 sayfa.aspx
DetaylıInternet: Tarihçe ve Kavramlar
Internet: Tarihçe ve Kavramlar Umut Al umutal@hacettepe.edu.tr Internet in Tarihçesi 1945 Vannevar Bush memex 1962 Licklider (MIT) Galaktik Ağ 1969 DARPA ARPANET 1972 İlk e-posta 1983 TCP-IP 1991 Gopher,
DetaylıOrtamınızda A.D. veya LDAP sistemi var ise aşağıdaki linkten KoruMail LDAP-AD isimli dokümanı inceleyebilirsiniz.
KoruMail, kullanıcı doğrulama işlemi için herhangi bir dizin sunucu (MS Active Directory, Novell edirectory, Sun Directory Server, OpenLDAP) olmadığı durumlarda kullanıcıları dizin sunucu yerine, MySQL
DetaylıBölüm 10: PHP ile Veritabanı Uygulamaları
Bölüm 10: PHP ile Veritabanı Uygulamaları -231- Öğr.Gör. Serkan DİŞLİTAŞ 10.1. PHP PHP, platformdan bağımsız sunucu taraflı çalışan betik bir web programlama dilidir. PHP programlama dili ile MySQL, MSSQL,
DetaylıKaynak Kod Güvenliği Bir Güvensiz API Örneği
Kaynak Kod Güvenliği Bir Güvensiz API Örneği Bedirhan Urgun, Ağustos 2010, WGT E-Dergi 6. Sayı Bu yazıda Tomcat J2EE kısmi uygulama sunucusunda bulunan bir güvenlik açığına, güvenlik probleminin kaynağına
DetaylıBurp Suite ile Deneme - Yanılma Denetimi
Burp Suite ile Deneme - Yanılma Denetimi Bedirhan Urgun, Şubat 2010, WGT E-Dergi 4. Sayı Geçerli hesapların bulunması için kullanılan teknikler (Kaba kuvvet veya sözlük tabanlı saldırılar), tarama yöntemleri
DetaylıİNTERNET PROGRAMLAMA II. Tanımlar
İNTERNET PROGRAMLAMA II Tanımlar WWW( World Wide Web) Dünya üzerindeki bütün bilgisayarların bağlı olduğu bir ağdır. Çoğunlukla Web olarak adlandırılır. Web üzerindeki bilgisayarlar standart protokolleri
DetaylıBÖLÜM 8. Bilişim Sistemleri Güvenliği. Doç. Dr. Serkan ADA
BÖLÜM 8 Bilişim Sistemleri Güvenliği Doç. Dr. Serkan ADA Bilişim Sistemleri Güvenlik Açıkları Güvenlik bilişim sistemlerine yönelik yetkisiz erişimi, değiştirmeyi, hırsızlığı veya fiziksel hasarları engellemek
DetaylıW3af ile Web Uygulama Güvenlik Testleri
W3af ile Web Uygulama Güvenlik Testleri Birkaç tıkla web sayfalarının, veritabanlarının hacklenebildiği, bir komutla kablosuz ağ şifrelerin kırıldığı günleri yaşıyoruz. Çok değil birkaç yıl öncesi sadece
DetaylıGoogle Search API ile ajax arama
Google Search API ile ajax arama 14 Ağustos Salı 12 http://mfyz.com/google-search-api-ile-ajax-arama Eğer bir kaynak arıyorsanız, indexlerin güncelliği, genişliği gibi nedenlerden dolayı, diğer arama motorları
Detaylı<html> <head> <title>sayfa Başlığı</title> </head> <body> Bu benim ilk sayfam <b>bu metin koyu</b> </body> </html>
HTML'e Giriş 1. HTML dosyası nedir? HTML'in açılımı Hyper Text Markup Language (Bunun tam Türkçe'si bulunmamakla beraber "çok yere açılan metin" denebilir. Bir HTML dosyası bir text dosyası olmakla beraber
DetaylıState Yönetimi. Bir web sayfası ile sunucu arasındaki etkileşim ;
State Yönetimi State Yönetimi Web Page sınıflarının nesneleri, sayfa sunucu tarafına her defasında gönderildiğinde oluşturulur. Böyle bir durum sayfada kullanıcının girmiş olduğu ve sayfa ile ilişkili
DetaylıBLIND SQL INJECTION SALDIRILARI
SALDIRILARI Emre Karadeniz OSCP İçindekiler BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri I. Blind SQL Injection (Content Based)... 2 II. Blind SQL Injection (Content-Based) Örneği... 3 III. Blind
DetaylıHtml temelleri. Ders 4
Html temelleri Ders 4 1 Giriş World Wide Web (Kısaca web) uygun protokoller kullanarak haberleşen yazılımların çalıştırıldığı internet üzerindeki sistemlerin bir koleksiyonudur. Çoğu sistem gününüzde en
DetaylıVERİ MADENCİLİĞİ (Web Madenciliği)
VERİ MADENCİLİĞİ (Web Madenciliği) Yrd.Doç.Dr. Kadriye ERGÜN kergun@balikesir.edu.tr Kaynak: M. Ali Akcayol, Gazi Üniversitesi, Bilgisayar Mühendisliği Bölümü Ders Notları İçerik İnternet World Wide Web
DetaylıAktif Dizin Logon/Logoff Script Ayarları Versiyon 0.0.1. http://support.labrisnetworks.com/index.php?/knowledgebase/list
Aktif Dizin Logon/Logoff Script Ayarları Versiyon 0.0.1 http://support.labrisnetworks.com/index.php?/knowledgebase/list Genel Bakış Labris ürünlerinin Aktif Dizin ile entegrasyonu yapılarak Güvenlik Duvarı,
DetaylıWebSiteDefender ile Web Uygulama Güvenliği
WebSiteDefender ile Web Uygulama Güvenliği Merhabalar. Bu makalemizde, Acunetix firması tarafından web uygulama güvenliği ve kötü amaçlı yazılımlardan korunmak için hazırlanmış olan Web Site Defender ı
DetaylıVeri Tabanı-I 1.Hafta
Veri Tabanı-I 1.Hafta 2010-2011 Bahar Dönemi Mehmet Akif Ersoy Üniversitesi Meslek Yüksekokulu Burdur 2011 Muhammer İLKUÇAR 1 Veri ve Veri Tabanı Nedir? Veri Bir anlamı olan ve kaydedilebilen
DetaylıBasit bir web uygulaması
AJAX Ahmet Demirelli ahmetdemirelli@sabanciuniv.edu SCJP 5.0, SCWCD 1.4 Sabancı Üniversitesi Bilişim Teknolojileri Yüksek Lisans Programı 3/20/2007 Sabanci University 1 Ajanda Neden AJAX ihtiyacı AJAX
DetaylıProFTPD FTP Sunucusu. Devrim GÜNDÜZ. TR.NET Sistem Destek Uzmanı. devrim@gunduz.org
Devrim GÜNDÜZ TR.NET Sistem Destek Uzmanı devrim@gunduz.org http://seminer.linux.org.tr http://belgeler.linux.org.tr http://lkd.belgeler.org http://www.linux.org.tr/belgeler.php http://www.gunduz.org/belgeler.php
Detaylı9. HAFTA KBT204 İNTERNET PROGRAMCILIĞI II. Öğr.Gör. Hakan YILMAZ. hakanyilmaz@karabuk.edu.tr
9. HAFTA KBT204 İNTERNET PROGRAMCILIĞI II Öğr.Gör. Hakan YILMAZ hakanyilmaz@karabuk.edu.tr Karabük Üniversitesi Uzaktan Eğitim Uygulama ve Araştırma Merkezi 2 İçindekiler Request Nesnesinin Özellikleri
DetaylıOturum Başlatma Protokolü ve Uygulamaları
Karadeniz Teknik Üniversitesi Bilgisayar Mühendisliği Bölümü Bilgisayar Ağları Laboratuvarı Oturum Başlatma Protokolü ve Uygulamaları SIP Nedir? SIP ( S ession I nitiation P rotocol - Oturum Başlatma Protokolü),
DetaylıKurulum 14 FTP ye Bağlanmak ve Dosyaları Atmak 14 Veritabanı Oluşturulması ve Bağlanıp Kurulumun Tamamlanması 15
vii 1 İçerik Yönetim Sistemi Nedir? 2 WordPress Nedir? 2 WordPress Kısa Tarihi 3 WordPress Gücünü Nereden Alıyor? 3 WordPress ile Neler Yapabiliriz? 4 Kişisel Blog 4 Kurumsal Blog 4 Kurumsal Site 4 Tanıtım
DetaylıBİLGİSAYAR VE AĞ GÜVENLİĞİ ÖĞR. GÖR. MUSTAFA ÇETİNKAYA DERS 2 > AĞ VE UYGULAMA GÜVENLİĞİ
BİLGİSAYAR VE AĞ GÜVENLİĞİ BUG RESEARCHER. BUG-BÖCEK SİSTEM ZAYIFLIKLARI RESEARCHER-ARAŞTIRMACI SİSTEM ZAYIFLIKLARINI BULMA WEB UYGULAMALARINDA HATA ARAR SAYFA > 1 BUG RESEARCHER. İYİ NİYETLİ SİSTEM AÇIKLARININ
DetaylıBİH 605 Bilgi Teknolojisi Bahar Dönemi 2015
BİH 605 Bilgi Teknolojisi Bahar Dönemi 2015 Ders- 13 World Wide Web (WWW) Yrd. Doç. Dr. Burcu Can Buğlalılar Bilgisayar Mühendisliği Bölümü Bilgisayar Katmanları İçerik World Wide Web (WWW) Anlık Mesajlaşma
DetaylıInternet Programming II. Elbistan Meslek Yüksek Okulu 2014 2015 Bahar Yarıyılı
Internet Programming II Elbistan Meslek Yüksek Okulu 2014 2015 Bahar Yarıyılı Öğr. Gör. Murat KEÇECĠOĞLU 11-14 May. 2014 Form Form İşlemleri Tarayıcıdan bilgi alarak işlem gerçekleştirme FORM elemanları
DetaylıDSİ kapsamında oluşturulan dağınık durumdaki verilerinin düzenlenmesi, yeniden tasarlanarak tek bir coğrafi veri tabanı ortamında toplanması,
Projenin Amacı DSİ Genel Müdürlüğünde, Bölge Vaziyet Planı çalışmaları kapsamında üretilen ve mevcut DSİ faaliyetlerini içeren CBS veri setleri ile CBS Veritabanının incelenerek yine mevcut CBS donanım,
DetaylıBMT 202 Web Tasarımı Bahar Dönemi. Yük. Müh. Köksal GÜNDOĞDU 1
BMT 202 Web Tasarımı 2016 2017 Bahar Dönemi Yük. Müh. Köksal GÜNDOĞDU 1 Elektrik Elektronik ve Bilgisayar Yük. Müh. Köksal Gündoğdu http://www.ekargemuhendislik.com/k.gundogdu.html Ödevler, duyurular,
DetaylıYÖNETİM SAYFALARI İÇERİĞİ
YÖNETİM SAYFALARI İÇERİĞİ Ayarlar İletişim bilgileri düzenleme silme Sosyal medya linklerini ekleme logo düzenleme Size özel etiket girme silme düzenleme Site başlığı ekleme düzenleme silme Copyright düzenleme
DetaylıUfuk Üniversitesi Kütüphanesi Kütüphane Kaynaklarına Erişim Bilgileri
İçindekiler Proxy... 3 Windows Proxy Ayarlama... 4 İnternet Explorer Web Tarayıcıda Proxy Ayarlama - Windows... 4 Chrome Web Tarayıcıda Proxy Ayarlama - Windows... 8 Mozilla Firefox Web Tarayıcıda Proxy
Detaylıİstemci Tabanlı Saldırı Türleri. Ozan UÇAR ozan.ucar@bga.com.tr
İstemci Tabanlı Saldırı Türleri Ozan UÇAR ozan.ucar@bga.com.tr Kayseri 2012 Konuşmacı Hakkında Kıdemli Bilgi Güvenliği Danışmanı ve Eğitmen Bilgi Güvenliği AKADEMİSİ () PenetraPon Tester Blog Yazarı blog.bga.com.tr
Detaylı05 - Veritabanı Sızma Testleri
BGM 531 - Sızma Testleri ve Güvenlik Denetlemeleri Bilgi Güvenliği Mühendisliği Yüksek Lisans Programı Dr. Ferhat Özgür Çatak ozgur.catak@tubitak.gov.tr İstanbul Şehir Üniversitesi 2018 - Güz İçindekiler
DetaylıWeb Formlar ve Sayfalar Arasında Bilgi Gönderme. BATML İnternet Programcılığı 1
Web Formlar ve Sayfalar Arasında Bilgi Gönderme BATML İnternet Programcılığı 1 Bazı web sitelerinde sayfalar arasında bilgi veya değişken göndermek gerekebilir. Gönderilen bu bilgi kullanıcı adı ve şifre
DetaylıPac Dosyası İle Proxy Kullanmak
Pac Dosyası İle Proxy Kullanmak Websense Web Security Gateway V7.X Sürüm Yükseltme Pac Dosyası İle Proxy Kullanmak Amaç Bu dökümanda, Pac dosyası ile istemcilerin nasıl proxy kullanabileceği anlatılacaktır.
DetaylıBilgi ve Olay Yönetim Sistemi
1 Bilgi ve Olay Yönetim Sistemi Kurulum Kılavuzu Ağustos 2017 Versiyon Sürüm 2.2.5 2 İçindekiler Bilgi ve Olay Yönetim Sistemi... 1 1. Sistem Gereksinimleri... 3 2. Kurulum... 3 3. Lisanslama... 7 4. Windows
DetaylıMetin Text Kutuları. Metin kutusu oluşturmak için <input> tagı kullanılır.
Form İşlemleri Form Nedir? Şu ana kadar öğrendiğimiz konularda hep ziyaretçilere veri göstermeye veya bilgi vermeye çalıştık. Gerek metinlerle, gerekse liste veya resimlerle ziyaretçilere bilgi sunmayı
DetaylıBIL411 - BİLGİSAYAR AĞLARI LABORATUVARI
BIL411 - BİLGİSAYAR AĞLARI LABORATUVARI ITS-101A INTERNET EĞİTİM SİSTEMİ TCP/IP THE DOMAIN NAME SYSTEM (ALAN ADI SİSTEMİ) İstanbul Ticaret Üniversitesi Bilgisayar Mühendisliği Bölümü Araş. Gör. Can EYÜPOĞLU
DetaylıOturum Öncesi Tanımlı Oturum Kimliği Çerezi Açığı Gökhan
Oturum Öncesi Tanımlı Oturum Kimliği Çerezi Açığı Gökhan Muharremoğlu Oturum Öncesi Tanımlı Oturum Kimliği Çerezi Açığı Oturum öncesi tanımlı oturum kimliği çerezi açığı, az bilinen ve dünya genelinde
DetaylıBilgisayar Programcılığı Uzaktan Eğitim Programı. e-bilg 121 AĞ TEKNOLOJİLERİNİN TEMELLERİ Öğr. Gör. Bekir Güler E-mail: bguler@fatih.edu.
Bilgisayar Programcılığı Uzaktan Eğitim Programı e-bilg 121 AĞ TEKNOLOJİLERİNİN TEMELLERİ Öğr. Gör. Bekir Güler E-mail: bguler@fatih.edu.tr Hafta 2. Uygulama (Application) katmanı 2.1 Ağ uygulamalarının
DetaylıVeritabanı Dersi. Teoriden Pratiğe. Çağıltay N.E., Tokdemir G. Veritabanı Sistemleri Dersi -Bölüm XXV: Web'den Erişim Çağıltay, N., Tokdemir, G.
Veritabanı Dersi Teoriden Pratiğe Çağıltay N.E., Tokdemir G. Veritabanı Sistemleri Dersi -Bölüm XXV: Web'den Erişim Çağıltay, N., Tokdemir, G. BÖLÜM 25 Web den Erişim Ortak Geçit Arayüzü Bazı Web Kavramları
DetaylıSpring Security Framework Harezmi Bilişim Çözümleri
Spring Security Framework Harezmi Bilişim Çözümleri www.java-egitimleri.com 1 Ajanda Güvenlik İhtiyaçlarına Genel Bakış Spring Security Nedir? & Özellikleri Neden Spring Security? Spring Security Yapıtaşları
DetaylıWeb Uygulamaları Güvenlik Denetimi. Fatih Özavcı
Web Uygulamaları Güvenlik Denetimi Fatih Özavcı Web Uygulamalarının Güvenlik Sorunları Web temelli yazılım geliştirme, hızlı ve sonuca yönelik yapılmaktadır; güvenlik kriterleri genelde göz ardı edilmektedir.
DetaylıT.C.SOSYAL GÜVENLİK KURUMU. Genel Sağlık Sigortası Medula Optik E-rapor Web Servisleri Kullanım Kılavuzu
T.C.SOSYAL GÜVENLİK KURUMU Genel Sağlık Sigortası Medula Optik E-rapor Web Servisleri Kullanım Kılavuzu 15.06.2015 Sayfa 1 İÇİNDEKİLER GİRİŞ...3 1 GENEL BİLGİLER...3 1.1SÜREÇ AÇIKLAMALARI....3 1.2AMAÇ....4
DetaylıİNTERNET EXPLORER AYARLARI 1. Başlat-Ayarlar-Denetim Masası menüsünden "İnternet Özellikleri" (Seçenekleri)'ni seçiniz. Resim. 1
A.K.Ü VERİTABANLARINA UZAKTAN ERİŞİM AYARLARI Araştırmacılar, kampüs dışından erişim için kullanıcı adı ve parola doğrulaması ile Üniversitemiz sistemi üzerinden Kütüphane veri tabanlarını kullanabilmektedir.
DetaylıHTML & CSS. Öğr.Gör. M.Ersin AKAY
HTML & CSS Öğr.Gör. M.Ersin AKAY Neler Öğreneceğiz? HTML işaretleme dili CSS stil şablonları HTML Hyper Text Markup Language HTML de Neler Öğreneceğiz? Html işaretleme dili temel yapısı ve kavramları Html
DetaylıVET ON KULLANIM KLAVUZU
VET ON KULLANIM KLAVUZU TEMEL KULLANIM BİLGİLERİ Sürüm: Ön İzleme.1 Not: Ön İzleme sürümü için oluşturulmuş dokümandır. Release sürüm notlarını içermez. Zaman içerisinde klavuz içerisinde yer alan bilgiler
DetaylıAHTAPOT Merkezi Güvenlik Duvarı Yönetim Sistemi Kontrol Paneli
AHTAPOT Merkezi Güvenlik Duvarı Yönetim Sistemi Kontrol Paneli Bu dökümanda, Ahtapot bütünleşik güvenlik yönetim sisteminde kullanılan Merkezi Güvenlik Duvarı Yönetim Sistemi uygulamasının yapılandırması,
DetaylıAğ Yönetiminin Fonksiyonel Mimarisi
Bölüm 7 Ağ Yönetimi Ağ Yönetiminin Fonksiyonel Mimarisi a) Performans (Performance) Yönetimi b) Sistem Ayarları (Configuration) Yönetimi c) Hesap (Account) t)yönetimi i d) Hata (Fault) Yönetimi e) Güvenlik
DetaylıLIBPXY SERVİSİNİN KULLANIMI
LIBPXY SERVİSİNİN KULLANIMI Giriş LIBPXY servisi, Kütüphane ve Dokümantasyon Daire Başkanlığımızın WEB üzerinden kampüslerimiz içerisinde kullanılması amacı ile üye olduğu elektronik kaynaklara, akademik
DetaylıElektronik Dergi ve Veri Tabanlarına Kampus Dışından Erişim
Elektronik Dergi ve Veri Tabanlarına Kampus Dışından Erişim Üniversitemiz Kütüphanesinin abone olduğu süreli yayınların elektronik versiyonlarına ve lisanslı veritabanlarına erişim firmalar ile yapılan
DetaylıWEB UYGULAMA GÜVENLİĞİ HAKKINDA. Mesut Güngör İzmir Yüksek Teknoloji Enstitüsü Bilgi İşlem Daire Başkanlığı
WEB UYGULAMA GÜVENLİĞİ HAKKINDA Mesut Güngör İzmir Yüksek Teknoloji Enstitüsü Bilgi İşlem Daire Başkanlığı İçindekiler Bilinen en popüler web uygulama atakları Güvenli yazılım geliştirme Prosedürler Bilinen
DetaylıÜst Düzey Programlama
Üst Düzey Programlama Struts Framework Üst Düzey Programlama-ders08/ 1 JSP MODEL 1 ve MODEL 2 Mimarileri Bu mimariler bir web uygulaması geliştirilirken kullanılan yöntemlerdir. Bu yöntemler arasındaki
DetaylıİNTERNET TABANLI TEST HAZIRLAMA VE DEĞERLENDİRME PROGRAMLAMA ARAYÜZÜ
İNTERNET TABANLI TEST HAZIRLAMA VE DEĞERLENDİRME PROGRAMLAMA ARAYÜZÜ Öğr Grv. M. Emin MUTLU (Açıköğretim Fakültesi) Arş. Grv. Ruşen YILMAZ (Açıköğretim Fakültesi) Prof. Dr. B. Fethi ŞENİŞ (İşletme Fakültesi)
DetaylıWeb Madenciliği (Web Mining)
Web Madenciliği (Web Mining) Hazırlayan: M. Ali Akcayol Gazi Üniversitesi Bilgisayar Mühendisliği Bölümü Genel bilgiler Değerlendirme Arasınav : 25% Ödevler : 15% Final Projesi : 30% Final Sınavı : 30%
DetaylıKurumsal Kimlik Yönetimi ve Güçlü Kimlik Doğrulama. Yılmaz Çankaya
Kurumsal Kimlik Yönetimi ve Güçlü Kimlik Doğrulama Yılmaz Çankaya Mart, 2010 Kimlik Yönetimi Kaynak (Resource) Uygulamaları oluşturan ve kullanılması hedeflenen bütün yetki seviyelerinin kontrolünü sağlayabilecek
DetaylıELEKTRONİK SAĞLIK KAYITLARI GÜVENLİĞİNDE IEEE 802.1x STANDARDININ KULLANILMASI
ELEKTRONİK SAĞLIK KAYITLARI GÜVENLİĞİNDE IEEE 802.1x STANDARDININ KULLANILMASI *Meriç ÇETİN **Murat AYDOS *Pamukkale Üniversitesi Bilgisayar Mühendisliği Bölümü **TÜBİTAK Ulusal E-imza Sempozyumu 7-8 Aralık
DetaylıAğ Sızma Testleri ve 2. Katman Saldırıları Türk Standardları Enstitüsü Yazılım Test ve Belgelendirme Dairesi Başkanlığı
Ağ Sızma Testleri ve 2. Katman Saldırıları Türk Standardları Enstitüsü Yazılım Test ve Belgelendirme Dairesi Başkanlığı Tarih 1 İçerik TCP/IP Temelleri Ağı Dinleme MAC Adres Tablosu Doldurma ARP Zehirlemesi
DetaylıFortiMail Gateway Modunda Kurulum. v4.00-build0245-2011/08
FortiMail Gateway Modunda Kurulum v4.00-build0245-2011/08 0 FortiMail Kurulumu Gateway Modunda Kurulum Datasheet FortiMail - Gateway Modunda Kurulum Şemada görüldüğü gibi FortiMail 10.10.10.20 IP adresi
Detaylı