Bünyamin Demir

25Jan/110

Oracle Veritabanındaki Hassas Verilerin Güvenliği (Transparan Veri Şifreleme)

Bir önceki yazımızda trafiğin şifrelenmesi konusunu işledik. Bu sefer disk uzerinde duran verinin güvenliği konusunu ele alıyoruz. İlgili belgeyi Web Güvenliği Toğluluğu'nun "Belgeler" kısmına ekledim. Ayrıca buradan ulaşmak mümkün.

Filed under: Oracle No Comments
21Jan/110

Oracle Veritabanı Trafiğinin Şifrelenmesi

Oracle veritabanı sunucularının güvenliğinden bahsedilince malesef biraz yetim kalmış bir konudur. Açıkçası performans ve maliyet konularının bunu arka plan da bıraktığını tahmin ediyorum.  Bu döküman içerisinde Oracle veritabanı trafiğinin şifrelenmesi konusu ele alınıp, örnekler yardımıyla Oracle ASO ve SSH Tunnel araçları/yöntemleri kullanılıp, gösterilmiştir.

Aslında tez çalışmamın parçalarından biriydi.  Sadece biraz daha toparlayıp (akademik ağzın dışına çıkıp) yayınlamak istedim. Umarım faydalı olur.

Dökümanı www.webguvenligi.org'un "Belgeler" kısmında yayınlıyorum. İsteyenler buradanda erişebilir.

13Jan/110

Davshan v1.0 released

Daha önce bir blog post girmiştim.

Sonra bu projeyi niye yayınlamıyoruz diye düşünmeye başladık.  Kendimize göre bir site kurduk, bir kaç saat ayirarak bitirdik ve yayinladik.

İlerde bir gün açıklıkların videolarini da eklerim.

Filed under: Web Security No Comments
2Jan/110

Web Güvenliği E-Dergi 7. Sayı Yayında

Web Güvenliği Topluluğu olarak düzenli yayınladığımız E-Dergi projesinin 7.sayısı yayına girdi.

İlgili yazıları özetlemek gerekirse;

Bedirhan Urgun,  Anti-Crawling Teknikleri

Dr. Emin İslam  Tatlı, SAMM ile Güvenli Yazılım Geliştirme

Onur Yılmaz, WGT Capture the Flag

Canberk Bolat, PHP Kod Güvenliği ve Yanlış Bilinenler

Bünyamin Demir, WGT 2010 Değerlendirmesi ve 2011 Ajandası

Ayrıca bir de OWASP Chair olan Jeff Williams ile bir röpörtaj gerçekleştirdik.

Filed under: Web Security No Comments
11Oct/100

Özgür Uygulamalar ile Web Güvenliği

15 Ekim, Cuma günü saat 11:00-11:45 arası İstanbul Yeditepe Üni.`de düzenlenecek olan "Özgür web teknolojileri günleri 2010" etkinliğin de "Özgür Uygulamalar ile Web Güvenliği" konulu bir seminer veriyor olacağım. Katılmak isteyenleri beklerim. Detaylı bilgi için...

Filed under: Web Security No Comments
30Aug/101

Web Uygulama Güvenliği Kontrol Listesi 2010

WGT`nin bir projesi daha çıktı. Daha önce bir yazımda, web uygulama güvenliği konusunda checklist hazırlamanın zorluğundan bahsetmiştim. Fakat eğitim, seminer ve sohbetler toplantılarında herkesin "ben maddelere bakayım, ona göre sonuç üreteyim" tadında konuşmaları oldu. Bunun üzerine OWASP-TR`den arkadaşlarla "Ne yapabiliriz?" üzerine düşünmeye başlayıp, her yıl güncelleyeceğimiz bir kontrol listesi oluşturduk.

Bu kontrol listesini bir süredir hazırda tutuyorduk. E-Dergi projesinin 1. yaş günü ile paylaşalım istedik ve bu gün itibari ile herkesin kullanımına açtık. Bu yıl için temel olacak bu listeye eğer katkıda bulunmak isteyen olursa lütfen irtibata geçmeyi unutmasın. Zira birden fazla gözün bakış açısı,  çoğunlukla sezgisel olan web uygulama güvenliği kontrollerinde önemli bir rol  olacağı düşüncesindeyim.

En çok zorlandığım kısım: Açıkçası maddeleri sıralamak çok zor değil. Hatta bir kaç arkadaş ile nerdeyse %90 kadarını bir kalemde listeyebiliyorsunuz. Fakat bu kontollerin karakteristik özelliklerini belirlemeye çalıştığınızda (kategori, seviye, sorumlu v.b.)  gerçekten biraz dikkatli olmak gerekiyor.  Bu tarz çalışmalarda bulunacak arkadaşlara da bir temel (taslak) olacağını ümit ediyorum.

Çalışmaya katkıda bulunanları listeleyerek hepsine teşekkür etmek istiyorum.

Bedirhan Urgun [bedirhan.urgun@gmail.com]
Bünyamin Demir [bunyamindemir~gmail.com]
Onur Yılmaz [contact~onuryilmaz.info]
Kubilay Onur Güngör [ko.gungor~gmail.com]
A.Kadir Altan [kadiraltan~hotmail.com]
Volkan Altan [volkanaltan~gmail.com]
Muharrem Aydın [thsunamy~gmail.com]
Canberk Bolat [canberk.bolat~gmail.com]

Filed under: Web Security 1 Comment
30Aug/100

Web Güvenliği E-Dergi Bir Yaşında!

Bir yıl önce başladığımız "Web Güvenliği E-Dergi" projesi 6. sayısı ile bir yaşını doldurdu.  Öncelikle, tüm sayılar için desteğini esirgemeyen arkadaşlarıma teşekkür ederim.

Gelecek yıllarda da bu dergi çalışmasını devam ettirmek istiyoruz. Fakat bir öz eleştiri yapmak gerekirse, açıkçası "web uygulama güvenliği" eksenli yazılar yazmak çok kolay olmuyor. Zira ilk akla gelenleri kağıda dökmeye başlayınca, internet aleminde mükerrer bir sürü yazı oluşacağı kaygısı doğuyor. Hadi farklı birşey yazalım dediğimizde de, bunu "Temel web güvenliği bilgisi olmayan birine nasıl aktarırız?" problemi doğuyor.

Umarım gelecek sayılar için hem konuk yazar için gelecek talepler fazlalaşır, hemde okunmak istenene konular hakkında talepler. Açıkçası bu fikre çok sıcağım ama geri bildirim konusunda (özellikle talep ve katılım) az diyebilirim.

Yine de bir yıldır bizi takip eden okurlara teşekkür ederim. Umarım diğer yıllarda daha zengin içerikle görücüye çıkarız :).

Filed under: Web Security No Comments
14Jun/100

my Oracle Database Security thesis

I just finish my thesis about “Oracle Database Security”. Really, it took lots of time for me. Because when you have a job, the master degree could be hard for you. if you have time, you can do what you want. You just need a plan :).

I read many books about database security in last 6 months. I want to thanks for more usefull information from Ron Ben Natan`s book ( How To Secure Oracle 10g and 11G) and many other database security guys.

After my thesis, i was think about most critical database security problems  and i decide to prepare top 5.

  1. Unpatched databases
  2. Default, blank username&password
  3. Misconfiguration
  4. Unencrypted sensitive data at rest or transit
  5. Privilege escalation

Please be carefull for these topic. Because if you have not a policy for that i think you have a problem on your Oracle database system.

Filed under: Oracle No Comments
25May/100

OWASP-Turkey Chapter Football Activity

Who wants to play football with OWASP-Turkey chapter guys. :) We will do second football activity after lots of mails. I think turkish security guys like football  more than web app security :). I will take lots of photo and will add on blog.

For news: http://www.webguvenligi.org/haberler/owasp-tr-sahaya-iniyor-2.html

Play a game!

Filed under: Life No Comments
24May/100

Web Application Pentest Eğitimi 26 Haziran 2010

26 Haziran tarihin de yeni bir "web application pentest" konulu eğitim açılmıştır. İlgili arkadaşları eğitime beklerim.

Gelecek kişilerin temel HTML, SQL, Javascript, HTTP protokolü gibi bilgileri bilmesini önemle rica ediyorum. En azından bilenler de tekrar etse çok güzel olur.

Filed under: Web Security No Comments