Bilgi Güvenliği Rehberi
Kullanıcı girişi
Gezinti
En son ağ günlüğü gönderileri
- Firefox 3.5 : Dünyanın en popüler web tarayıcısı
- NoSQL ve cloud veritabanlarının geleceği
- McAfee'den yeni bir rapor: Mapping the Mal Web
- Banka Internet şubelerinde tek kullanımlık şifre zorunlu hale geliyor!
- Apple güvenlik güncellemeleri
- Google'dan DNS hizmeti
- Sevgililer Günü için çıkacak virüslere dikkat
- Firefox 3.0.6 çıktı
- UYDUNET Kullanıcıları Paylaştığınız Dosyalara Dikkat Edin !!!
- iWork09 virüsünü bulma ve silme
Güvenlik Uzmanlarının Test Keçisi, WebGoat 5.1!
June 9, 2008 yazan homeros
Web Goat Nedir?
WebGoat OWASP (Open Web Application Security Project) tarafından geliştirilen , kastılı olarak yüzlerce açık içeren J2EE platformunda yazılmış olan, web uygulamarındaki açıkları kendi kendize öğrenebileceğiniz güvenlik test yazılımıdır. Yazılımın odak noktasında web uygulamaları yer almaktadır. Çeşitli kategorileride ki dersler ile güvenlik uzmanlarına yada web uygulaması geliştirenlere; ilgili açığı anlayabilme, çözebilme ve exploit edebilme yetenekleri kazandırmak amacındadır.
Örnek olarak SQLInjection açığı kullanarak sahte kredi kartı bilgileri ile alışveriş yapmanız istenmektedir. Bu aşamada sistemdeki form bilgilerini SQLInjection yöntemi ile atlatıp exploit edebilmeniz gerekmektedir. Eğer başarıya ulaşırsanız bir sonraki teste yönlendirilmekte ve her geçtiğiniz test için puan almaktasınız.
WebGoat içerisinde yer alan testlerini tamamı başarı ile tamamlayan kişiler bu konuda ciddi bir deyeim ve bilgi birikimine sahip olmuş olcağından ilerde yapacağı denetimlerde, uygulamalarda güvenlik risklerinide minimum düzeyde tutabilmeyi hedeflemiş olacaktır.
Temel olarak aşağıdaki konularda ( her geçen gün artan açıklara paralel olarak güncellenmektedir) testler içermektedir :
· Cross Site Scripting
· Access Control
· Thread Safety
· Hidden Form Field Manipulation
· Parameter Manipulation
· Weak Session Cookies
· Blind SQL Injection
· Numeric SQL Injection
· String SQL Injection
· Web Services
· Fail Open Authentication
· Dangers of HTML Comments
WebGoat’ı Kimler Kullanabilir ?
Öncelikle web tabanlı uygulama geliştirenler, web tabanlı yazılım güvenliği ile uğraşanlar, kendi sitesini kurup yönetenler, sistem güvenlik uzmanları veya bu konuya ilgi duyan ve temel düzeyde bilgisi olan herkes WebGoat’ı kurup testleri çözebilir.
WebGoat’a Kendimizde Dersler Ekleyebilir miyiz?
Evet WebGoat’ın böyle bir desteği var. OWASP’ın sitesinde nasıl ders yazılacağı ile ilgili detaylı dokümanlara ulaşabilirsiniz.
Nereden İndirebilirim?
Kurulum dosyasını Google Code arşivinden :
http://code.google.com/p/webgoat/downloads/list
Detaylı bilgiler ve orijinal sitesi :
http://www.owasp.org/index.php/Category:OWASP_WebGoat_Project
Aşağıda WebGoat ile ilgili bir kaç resim görebilirsiniz. Bir sonraki yazımıda WebGoat problemlerinin çözümlerine yer vereceğim.
XSS Yöntemi ile bir Phising Saldırısı Yapmamız Bekleniyor :
ByPass yöntemi ile Alt dizin erişimleri yapmamız isteniyor :
Session HiJacking yöntemi :
Saygılarımla,
Permalink
- homeros ağ günlüğü
- Yorum göndermek için giriş yapın veya kayıt olun
Ara
Kimler yeni
Sophos - En Son Çıkan Virüsler
İçerik paylaşımı
Son yorumlar
8 hafta 5 gün önce
10 hafta 1 gün önce
12 hafta 3 gün önce
12 hafta 3 gün önce
15 hafta 1 gün önce
15 hafta 2 gün önce
18 hafta 12 saat önce
19 hafta 1 gün önce
21 hafta 20 saat önce
21 hafta 21 saat önce