Statik Kod Analizi ve Yazılım Bileşen Analizi Süreçleri

Bu yazımızda, SAST (Static Application Security Testing) ve SCA (Software Composition Analysis) süreçlerinin her ikisinin de uygulama güvenliği süreçlerine e...

CWE (Common Weakness Enumeration) Nedir?

Siber güvenlik dünyasındaki herkes CVE’nin ne olduğunu bilmektedir. CVE (Common Vulnerabilities and Exposures – Yaygın Zafiyetler ve Maruziyetler), bilgisaya...

API Yetkilendirme Açıkları, Bulgu Tespiti ve Test Otomasyonu - Bölüm 1

Günümüzde, modern web uygulamaları büyük ölçüde API tabanlı çalışıyor ve internet trafiğinin %90’a yakın bir kısmını API trafiği oluşturuyor. Önümüzdeki manz...

Mass Assignment Request Parameters Bound via Input Formatter

Frameworkler, içerisindeki istek ve nesnelerin http parametrelerine otomatik olarak bağlanmasına imkan tanır. Bu imkan, yazılımcıların parametreleri ya da ob...

Ulaşılabilirlik Analizi (Reachability Analysis)

Ulaşılabilirlik analizi (Reachability Analysis), güvenlik açıklarını daha iyi anlamak ve önceliklendirmek için kullanılan bir yöntemdir. SAST (Statik Uygulam...

Fortify SSC Üzerinden Bulgu Analizi

Bir sorun ortaya çıktıktan sonra alınan aksiyonlar, sorunu ortadan kaldırmaya yöneliktir. Ortaya çıkan sorunlar birtakım hasarlar bırakabilir. Sorun ortaya ç...

Uygulama Güvenliği Hype Cycle 2024 Raporu Analizi

Bu yazımızda Gartner tarafından yayınlanan Hype Cycle for Application Security, 2024 raporunu analiz edeceğiz. Yeni teknolojilerin planlanması ve devreye alı...

External Attack Surface Management

Bu yazımızda siber güvenliğin önemli konularından External Attack Surface Management kısaca EASM’den bahsedeceğiz. Kurumların internete açık olan bileşenleri...

CORS Nedir? Nasıl Konfigüre Edilmelidir?

Daha Geriye Gidelim: SOP Kökler Arası Kaynak Paylaşımı(Cross-Origin Resource Sharing - CORS) nedir, ne değildir bahsetmeden önce Aynı Kök Politikasından (Sa...

Kubernetes Security

Kubernetes kümesini güvence altına almak, modern uygulama geliştirme ve dağıtım süreçlerinde kritik bir adımdır. Bu blog yazısı, Kubernetes kümenizi güvence ...

Veri Tabanı Güvenliği

Uygulamalarda içeriklerin dinamikleştirilmesi ve kişilere özel sunumlar ve işlemler yapılabilmesi için bilindiği gibi veritabanı sistemleri kullanılmaktadır....

Software Composition Analysis (SCA)

Giriş Selamlar! Bu makalede, yazılım güvenliğinde kritik bir rol oynayan Software Composition Analysis (SCA) konusunu ele alacağız. SCA’nın artan önemiyle...

Python Projeleri İçin Açık Kaynak Araçlarla DevSecOps Pipeline Oluşturma

Bu makalede, Python projelerinde güvenliği sağlamak için açık kaynaklı araçlarla nasıl etkili bir DevSecOps pipeline oluşturabileceğinizi inceleyeceğiz. Açık...

Statik Kod Analizi IDE Entegrasyonları

Uygulama Güvenliği süreçlerinde zafiyetleri erken aşamada tespit etmek ve önlem almak çok önemlidir.  Yazılım Geliştirme Yaşam Döngüsü’nde (SDLC) ve DevSecOp...

Jenkins PipelineScript ile Fortify Scancentral Taraması Başlatmak

Selamlar, bir önceki yazımızda Fortify Assesment eklentisi ile Frestyle proje ile Fortify taraması başlatmıştık. Bu yazımızda da Jenkins üzerinden Pipeline S...

Veritabanında Kullanılan Hatalı Hash Yöntemlerinin SAST Araçlarıyla Tespiti ve Güvenli Alternatifler

Büyük veri ihlalleri ve sızıntıları gibi olaylar sıkça gündemde. Ele geçirilen parola hashleri, zayıf algoritma ve tekniklerle oluşturulduysa, saldırganlar p...

Fortify SCA Assesment İle Android Gradle Projesi Taramak - Azure Devops Pipeline

Selamlar, bu yazımızda Azure Devops ortamında bir Pipeline ile Java ile yazılmış bir gradle projesinin kaynak kod taramasını gerçekleştireceğiz. Bunun için A...

CI/CD Güvenliği

Hızlı inovasyon talebi ve çevik metodolojilerin benimsenmesi göz önüne alındığında, Sürekli Entegrasyon/Sürekli Dağıtım (CI/CD) pipeline’ları tüm DevOps süre...

Jenkins ile Fortify SCA Taraması Başlatma ve Fortify SSC’ye Yükleme

Selamlar, bu yazıda sizlere Jenkins üzerinde Fortify Assesment plugini ile built-in node agent kullanarak Static Code Analyzer (SCA) ile bir tarama başlatı...

Memory'de Açık Olarak Görünen Kritik Bilgiler ve SAST Araçlarıyla Tespiti

Bu yazıda, bir uygulamanın çalışması sırasında memory’ye yazdığı kritik bilgilerin nasıl dump edilebileceğini ve bu tür zafiyetlerin bir SAST (Static Applica...

Açık Kaynak Kod Zafiyetlerinin Devops Pipeline'ında Yönetimi ve Örnek Uygulama

Bu makalede zafiyetli Apache Struts kütüphanesi içeren örnek bir java projesini, bir SCA (Software Composition Analysis) ürünü olan Sonatype Nexus Lifecycle ...

DevSecOps Güvenlik Kavram ve Teknolojileri

Günümüzde pek çok firma, yazılım geliştirme ve altyapı operasyonlarının birarada ve eşgüdüm halinde yürütülmesini sağlayan DevOps mimarisine geçiş yapmıştır ...

Dosya Yükleme Fonksiyonu Güvenliği

Uygulamalarda dosya yükleme özelliği sayesinde bir çok evrak, resim, video hatta uygulama bileşenleri, uzantılar gibi dosyaların yüklenmesi uygulamaların hem...

Girdi Doğrulama (Input Validation)

Teknolojinin hem inovasyonu hem de kolaylığı beslediği günümüzün hızla gelişen dijital ortamında, dijital varlıklarımızın güvenliğini sağlamak kritik bir end...

Tehdit Modelleme

Giriş Günümüzde dijital ortamların hızla gelişmesiyle birlikte, uygulama güvenliği giderek daha fazla önem kazanmaktadır. Tehdit modelleme, bu bağlamda, yaz...

Nessus Üzerinde Hydra İle Custom Brute Force Saldırısı

Tenable Core Üzerine Hydra Kurulumu Hydrayı kurabilmemiz için Tenable Core makinamıza EPEL reposunu eklememiz gerekiyor. Öncelikle wget komutu ile Dosya ind...

Azure Devops'ta Uçtan Uca Devsecops Pipeline'ı Oluşturma

Bu makalede size kapsamlı bir güvenlik pipeline sunacağım. Ürünler ve fikirler farklılık gösterse de, sonuçta benzer bir yapıyı uygulamak kuruluşunuzun altya...

Azure Agent Kurulumu ve WI Entegrasyonu

Merhaba! Bu makalede, Azure ortamında iş akışlarınızı daha verimli hale getirmek için Azure Agent’ın kurulumunu ve Azure Fortify WebInspect’in entegrasyonunu...

Azure Devops'ta Yaml Dosyaları ile Pipeline Oluşturma

Azure Devops Azure DevOps, yazılım geliştirme sürecini desteklemeyi ve  bir işbirliği kültürü oluşturmayı amaçlayan bir dizi hizmet ve araçtır. Şirketler ge...

Docker Güvenliği (Docker İçin En İyi Pratikler)

Docker, en yaygın kullanılan sanallaştırma ve konteynerizasyon teknolojilerinden bir tanesidir. Esasen bir platform olan Docker sayesinde, ana makineden iz...

Statik Kod Analizi ve Yazılım Bileşen Analizi Süreçleri

Bu yazımızda, SAST (Static Application Security Testing) ve SCA (Software Com...

CWE (Common Weakness Enumeration) Nedir?

Siber güvenlik dünyasındaki herkes CVE’nin ne olduğunu bilmektedir. CVE (Comm...

API Yetkilendirme Açıkları, Bulgu Tespiti ve Test Otomasyonu - Bölüm 1

Günümüzde, modern web uygulamaları büyük ölçüde API tabanlı çalışıyor ve inte...

Mass Assignment Request Parameters Bound via Input Formatter

Frameworkler, içerisindeki istek ve nesnelerin http parametrelerine otomatik ...

Ulaşılabilirlik Analizi (Reachability Analysis)

Ulaşılabilirlik analizi (Reachability Analysis), güvenlik açıklarını daha iyi...

Fortify SSC Üzerinden Bulgu Analizi

Bir sorun ortaya çıktıktan sonra alınan aksiyonlar, sorunu ortadan kaldırmaya...

Uygulama Güvenliği Hype Cycle 2024 Raporu Analizi

Bu yazımızda Gartner tarafından yayınlanan Hype Cycle for Application Securit...