Tenable Security Center API Kullanımı ve Örnekleri
Bu yazımda Tenable Security Center üzerinde API kullanımı ve API ile örnek olarak neler yapılabileceğinden bahsedeceğim. İlk olarak Tenable Security Center ...
1 Posts
API
1 Posts
CI/CD
CI/CD Güvenliği
Hızlı inovasyon talebi ve çevik metodolojilerin benimsenmesi göz önüne alındığında, Sürekli Entegrasyon/Sürekli Dağıtım (CI/CD) pipeline’ları tüm DevOps süre...
2 Posts
Fortify
Statik Kod Analizi ve Yazılım Bileşen Analizi Süreçleri
Bu yazımızda, SAST (Static Application Security Testing) ve SCA (Software Composition Analysis) süreçlerinin her ikisinin de uygulama güvenliği süreçlerine e...
Statik Kod Analizi IDE Entegrasyonları
Uygulama Güvenliği süreçlerinde zafiyetleri erken aşamada tespit etmek ve önlem almak çok önemlidir. Yazılım Geliştirme Yaşam Döngüsü’nde (SDLC) ve DevSecOp...
1 Posts
Fortify IDE Extension
Statik Kod Analizi IDE Entegrasyonları
Uygulama Güvenliği süreçlerinde zafiyetleri erken aşamada tespit etmek ve önlem almak çok önemlidir. Yazılım Geliştirme Yaşam Döngüsü’nde (SDLC) ve DevSecOp...
1 Posts
Hardcoded Password
Secret Keys ve SAST: Neden Secret Key Analizi Ayrı Bir Güvenlik Katmanı Olmalı?
Giriş Günümüzde yazılım güvenliği, organizasyonların en kritik önceliklerinden biri haline gelmiştir. Birçok kurum, kaynak kodlarında güvenlik açıklarını te...
3 Posts
SAST
Secret Keys ve SAST: Neden Secret Key Analizi Ayrı Bir Güvenlik Katmanı Olmalı?
Giriş Günümüzde yazılım güvenliği, organizasyonların en kritik önceliklerinden biri haline gelmiştir. Birçok kurum, kaynak kodlarında güvenlik açıklarını te...
Statik Kod Analizi ve Yazılım Bileşen Analizi Süreçleri
Bu yazımızda, SAST (Static Application Security Testing) ve SCA (Software Composition Analysis) süreçlerinin her ikisinin de uygulama güvenliği süreçlerine e...
Statik Kod Analizi IDE Entegrasyonları
Uygulama Güvenliği süreçlerinde zafiyetleri erken aşamada tespit etmek ve önlem almak çok önemlidir. Yazılım Geliştirme Yaşam Döngüsü’nde (SDLC) ve DevSecOp...
1 Posts
SCA
Statik Kod Analizi ve Yazılım Bileşen Analizi Süreçleri
Bu yazımızda, SAST (Static Application Security Testing) ve SCA (Software Composition Analysis) süreçlerinin her ikisinin de uygulama güvenliği süreçlerine e...
1 Posts
Secret Key
Secret Keys ve SAST: Neden Secret Key Analizi Ayrı Bir Güvenlik Katmanı Olmalı?
Giriş Günümüzde yazılım güvenliği, organizasyonların en kritik önceliklerinden biri haline gelmiştir. Birçok kurum, kaynak kodlarında güvenlik açıklarını te...
1 Posts
Security Assistant
Statik Kod Analizi IDE Entegrasyonları
Uygulama Güvenliği süreçlerinde zafiyetleri erken aşamada tespit etmek ve önlem almak çok önemlidir. Yazılım Geliştirme Yaşam Döngüsü’nde (SDLC) ve DevSecOp...
1 Posts
Security Center
Tenable Security Center API Kullanımı ve Örnekleri
Bu yazımda Tenable Security Center üzerinde API kullanımı ve API ile örnek olarak neler yapılabileceğinden bahsedeceğim. İlk olarak Tenable Security Center ...
1 Posts
Sonatype
Statik Kod Analizi ve Yazılım Bileşen Analizi Süreçleri
Bu yazımızda, SAST (Static Application Security Testing) ve SCA (Software Composition Analysis) süreçlerinin her ikisinin de uygulama güvenliği süreçlerine e...
1 Posts
Tenable
Tenable Security Center API Kullanımı ve Örnekleri
Bu yazımda Tenable Security Center üzerinde API kullanımı ve API ile örnek olarak neler yapılabileceğinden bahsedeceğim. İlk olarak Tenable Security Center ...
1 Posts
Trufflehog
Secret Keys ve SAST: Neden Secret Key Analizi Ayrı Bir Güvenlik Katmanı Olmalı?
Giriş Günümüzde yazılım güvenliği, organizasyonların en kritik önceliklerinden biri haline gelmiştir. Birçok kurum, kaynak kodlarında güvenlik açıklarını te...
1 Posts
aes
Kriptografinin Temellerinden TLS Zafiyetlerine – 1: Giriş
Tarihte daha günümüz bilgisayarları icat edilmemişken; hükümdarların, askerlerin birbirine gönderdiği mektupların içeriğinin gizlenmesi amacıyla şifreleme üz...
1 Posts
anahtar değişimi
Kriptografinin Temellerinden TLS Zafiyetlerine – 2: Anahtar Değişimi
Çoğumuz Sen Ayrı Trende, Ben Ayrı Garda şarkısını duymuştur, hatta bazılarımızın favori listesindedir. Alice ayrı bir trende, Bob ayrı bir gardayken ve Eve m...
1 Posts
apisec
API Yetkilendirme Açıkları, Bulgu Tespiti ve Test Otomasyonu - Bölüm 1
Günümüzde, modern web uygulamaları büyük ölçüde API tabanlı çalışıyor ve internet trafiğinin %90’a yakın bir kısmını API trafiği oluşturuyor. Önümüzdeki manz...
4 Posts
appsec
Kriptografinin Temellerinden TLS Zafiyetlerine – 1: Giriş
Tarihte daha günümüz bilgisayarları icat edilmemişken; hükümdarların, askerlerin birbirine gönderdiği mektupların içeriğinin gizlenmesi amacıyla şifreleme üz...
CWE (Common Weakness Enumeration) Nedir?
Siber güvenlik dünyasındaki herkes CVE’nin ne olduğunu bilmektedir. CVE (Common Vulnerabilities and Exposures – Yaygın Zafiyetler ve Maruziyetler), bilgisaya...
Fortify SSC Üzerinden Bulgu Analizi
Bir sorun ortaya çıktıktan sonra alınan aksiyonlar, sorunu ortadan kaldırmaya yöneliktir. Ortaya çıkan sorunlar birtakım hasarlar bırakabilir. Sorun ortaya ç...
Uygulama Güvenliği Hype Cycle 2024 Raporu Analizi
Bu yazımızda Gartner tarafından yayınlanan Hype Cycle for Application Security, 2024 raporunu analiz edeceğiz. Yeni teknolojilerin planlanması ve devreye alı...
1 Posts
asm
External Attack Surface Management
Bu yazımızda siber güvenliğin önemli konularından External Attack Surface Management kısaca EASM’den bahsedeceğiz. Kurumların internete açık olan bileşenleri...
1 Posts
asp.net
Mass Assignment Request Parameters Bound via Input Formatter
Frameworkler, içerisindeki istek ve nesnelerin http parametrelerine otomatik olarak bağlanmasına imkan tanır. Bu imkan, yazılımcıların parametreleri ya da ob...
1 Posts
authz
API Yetkilendirme Açıkları, Bulgu Tespiti ve Test Otomasyonu - Bölüm 1
Günümüzde, modern web uygulamaları büyük ölçüde API tabanlı çalışıyor ve internet trafiğinin %90’a yakın bir kısmını API trafiği oluşturuyor. Önümüzdeki manz...
1 Posts
automaticallybind
Mass Assignment Request Parameters Bound via Input Formatter
Frameworkler, içerisindeki istek ve nesnelerin http parametrelerine otomatik olarak bağlanmasına imkan tanır. Bu imkan, yazılımcıların parametreleri ya da ob...
1 Posts
ayrık logaritma
Kriptografinin Temellerinden TLS Zafiyetlerine – 2: Anahtar Değişimi
Çoğumuz Sen Ayrı Trende, Ben Ayrı Garda şarkısını duymuştur, hatta bazılarımızın favori listesindedir. Alice ayrı bir trende, Bob ayrı bir gardayken ve Eve m...
4 Posts
azure
Fortify SCA Assesment İle Android Gradle Projesi Taramak - Azure Devops Pipeline
Selamlar, bu yazımızda Azure Devops ortamında bir Pipeline ile Java ile yazılmış bir gradle projesinin kaynak kod taramasını gerçekleştireceğiz. Bunun için A...
Azure Devops'ta Uçtan Uca Devsecops Pipeline'ı Oluşturma
Bu makalede size kapsamlı bir güvenlik pipeline sunacağım. Ürünler ve fikirler farklılık gösterse de, sonuçta benzer bir yapıyı uygulamak kuruluşunuzun altya...
Azure Agent Kurulumu ve WI Entegrasyonu
Merhaba! Bu makalede, Azure ortamında iş akışlarınızı daha verimli hale getirmek için Azure Agent’ın kurulumunu ve Azure Fortify WebInspect’in entegrasyonunu...
Azure Devops'ta Yaml Dosyaları ile Pipeline Oluşturma
Azure Devops Azure DevOps, yazılım geliştirme sürecini desteklemeyi ve bir işbirliği kültürü oluşturmayı amaçlayan bir dizi hizmet ve araçtır. Şirketler ge...
1 Posts
backporting
Backporting Geçmişe Güvenli Bir Yolculuk
Giriş Backporting, özellikle yazılım geliştirme ve siber güvenlikte, eski bir yazılım sürümüne yeni bir özellik veya güvenlik yamasının uygulanması anlamına...
1 Posts
binding
Mass Assignment Request Parameters Bound via Input Formatter
Frameworkler, içerisindeki istek ve nesnelerin http parametrelerine otomatik olarak bağlanmasına imkan tanır. Bu imkan, yazılımcıların parametreleri ya da ob...
1 Posts
brute_force
Nessus Üzerinde Hydra İle Custom Brute Force Saldırısı
Tenable Core Üzerine Hydra Kurulumu Hydrayı kurabilmemiz için Tenable Core makinamıza EPEL reposunu eklememiz gerekiyor. Öncelikle wget komutu ile Dosya ind...
1 Posts
c#
Mass Assignment Request Parameters Bound via Input Formatter
Frameworkler, içerisindeki istek ve nesnelerin http parametrelerine otomatik olarak bağlanmasına imkan tanır. Bu imkan, yazılımcıların parametreleri ya da ob...
1 Posts
compliance
Compliance Taramaları ile Regülasyonlara Uyum Sürecinizi Güçlendirin
1. Compliance Nedir? Compliance, bir kuruluşun yasal düzenlemelere, sektör standartlarına ve iç politikalarına uyum sağlamasını ifade eder. Kurumlar, bu ger...
2 Posts
containersec
Python Projeleri İçin Açık Kaynak Araçlarla DevSecOps Pipeline Oluşturma
Bu makalede, Python projelerinde güvenliği sağlamak için açık kaynaklı araçlarla nasıl etkili bir DevSecOps pipeline oluşturabileceğinizi inceleyeceğiz. Açık...
Docker Güvenliği (Docker İçin En İyi Pratikler)
Docker, en yaygın kullanılan sanallaştırma ve konteynerizasyon teknolojilerinden bir tanesidir. Esasen bir platform olan Docker sayesinde, ana makineden iz...
1 Posts
cryptography
Kriptografinin Temellerinden TLS Zafiyetlerine – 1: Giriş
Tarihte daha günümüz bilgisayarları icat edilmemişken; hükümdarların, askerlerin birbirine gönderdiği mektupların içeriğinin gizlenmesi amacıyla şifreleme üz...
1 Posts
cryptology
Kriptografinin Temellerinden TLS Zafiyetlerine – 1: Giriş
Tarihte daha günümüz bilgisayarları icat edilmemişken; hükümdarların, askerlerin birbirine gönderdiği mektupların içeriğinin gizlenmesi amacıyla şifreleme üz...
1 Posts
cwe
CWE (Common Weakness Enumeration) Nedir?
Siber güvenlik dünyasındaki herkes CVE’nin ne olduğunu bilmektedir. CVE (Common Vulnerabilities and Exposures – Yaygın Zafiyetler ve Maruziyetler), bilgisaya...
2 Posts
dast
CORS Nedir? Nasıl Konfigüre Edilmelidir?
Daha Geriye Gidelim: SOP Kökler Arası Kaynak Paylaşımı(Cross-Origin Resource Sharing - CORS) nedir, ne değildir bahsetmeden önce Aynı Kök Politikasından (Sa...
Azure Agent Kurulumu ve WI Entegrasyonu
Merhaba! Bu makalede, Azure ortamında iş akışlarınızı daha verimli hale getirmek için Azure Agent’ın kurulumunu ve Azure Fortify WebInspect’in entegrasyonunu...
1 Posts
database
Veri Tabanı Güvenliği
Uygulamalarda içeriklerin dinamikleştirilmesi ve kişilere özel sunumlar ve işlemler yapılabilmesi için bilindiği gibi veritabanı sistemleri kullanılmaktadır....
1 Posts
development
CWE (Common Weakness Enumeration) Nedir?
Siber güvenlik dünyasındaki herkes CVE’nin ne olduğunu bilmektedir. CVE (Common Vulnerabilities and Exposures – Yaygın Zafiyetler ve Maruziyetler), bilgisaya...
3 Posts
devops
SSDLC Süreçlerinde Bileşen Analizi: SCA - OWASP Dependency Track ve Fortify SSC Entegrasyonu
SSDLC Süreçlerinde Bileşen Analizi: SCA - OWASP Dependency Track ve Fortify SSC Entegrasyonu Selamlar, bu yazımızda Docker ile Dependency Track kurulumunu g...
Jenkins PipelineScript ile Fortify Scancentral Taraması Başlatmak
Selamlar, bir önceki yazımızda Fortify Assesment eklentisi ile Frestyle proje ile Fortify taraması başlatmıştık. Bu yazımızda da Jenkins üzerinden Pipeline S...
Azure Devops'ta Yaml Dosyaları ile Pipeline Oluşturma
Azure Devops Azure DevOps, yazılım geliştirme sürecini desteklemeyi ve bir işbirliği kültürü oluşturmayı amaçlayan bir dizi hizmet ve araçtır. Şirketler ge...
8 Posts
devsecops
SSDLC Süreçlerinde Bileşen Analizi: SCA - OWASP Dependency Track ve Fortify SSC Entegrasyonu
SSDLC Süreçlerinde Bileşen Analizi: SCA - OWASP Dependency Track ve Fortify SSC Entegrasyonu Selamlar, bu yazımızda Docker ile Dependency Track kurulumunu g...
Software Composition Analysis (SCA)
Giriş Selamlar! Bu makalede, yazılım güvenliğinde kritik bir rol oynayan Software Composition Analysis (SCA) konusunu ele alacağız. SCA’nın artan önemiyle...
CI/CD Güvenliği
Hızlı inovasyon talebi ve çevik metodolojilerin benimsenmesi göz önüne alındığında, Sürekli Entegrasyon/Sürekli Dağıtım (CI/CD) pipeline’ları tüm DevOps süre...
Jenkins ile Fortify SCA Taraması Başlatma ve Fortify SSC’ye Yükleme
Selamlar, bu yazıda sizlere Jenkins üzerinde Fortify Assesment plugini ile built-in node agent kullanarak Static Code Analyzer (SCA) ile bir tarama başlatı...
Açık Kaynak Kod Zafiyetlerinin Devops Pipeline'ında Yönetimi ve Örnek Uygulama
Bu makalede zafiyetli Apache Struts kütüphanesi içeren örnek bir java projesini, bir SCA (Software Composition Analysis) ürünü olan Sonatype Nexus Lifecycle ...
DevSecOps Güvenlik Kavram ve Teknolojileri
Günümüzde pek çok firma, yazılım geliştirme ve altyapı operasyonlarının birarada ve eşgüdüm halinde yürütülmesini sağlayan DevOps mimarisine geçiş yapmıştır ...
Azure Devops'ta Uçtan Uca Devsecops Pipeline'ı Oluşturma
Bu makalede size kapsamlı bir güvenlik pipeline sunacağım. Ürünler ve fikirler farklılık gösterse de, sonuçta benzer bir yapıyı uygulamak kuruluşunuzun altya...
Azure Agent Kurulumu ve WI Entegrasyonu
Merhaba! Bu makalede, Azure ortamında iş akışlarınızı daha verimli hale getirmek için Azure Agent’ın kurulumunu ve Azure Fortify WebInspect’in entegrasyonunu...
1 Posts
diffie hellman
Kriptografinin Temellerinden TLS Zafiyetlerine – 2: Anahtar Değişimi
Çoğumuz Sen Ayrı Trende, Ben Ayrı Garda şarkısını duymuştur, hatta bazılarımızın favori listesindedir. Alice ayrı bir trende, Bob ayrı bir gardayken ve Eve m...
1 Posts
discrete logarithm
Kriptografinin Temellerinden TLS Zafiyetlerine – 2: Anahtar Değişimi
Çoğumuz Sen Ayrı Trende, Ben Ayrı Garda şarkısını duymuştur, hatta bazılarımızın favori listesindedir. Alice ayrı bir trende, Bob ayrı bir gardayken ve Eve m...
1 Posts
dotnet
SAST Taramalarının Derleme Araçlarına Entegrasyonu
SAST taramalarının DevOps akışına entegrasyonu sürecinde, derleme bağımlılıklarının sağlanması önemli konulardan biridir. Derleme bağımlılıklarının başka bir...
1 Posts
easm
External Attack Surface Management
Bu yazımızda siber güvenliğin önemli konularından External Attack Surface Management kısaca EASM’den bahsedeceğiz. Kurumların internete açık olan bileşenleri...
1 Posts
encryption
Kriptografinin Temellerinden TLS Zafiyetlerine – 1: Giriş
Tarihte daha günümüz bilgisayarları icat edilmemişken; hükümdarların, askerlerin birbirine gönderdiği mektupların içeriğinin gizlenmesi amacıyla şifreleme üz...
1 Posts
file_upload
Dosya Yükleme Fonksiyonu Güvenliği
Uygulamalarda dosya yükleme özelliği sayesinde bir çok evrak, resim, video hatta uygulama bileşenleri, uzantılar gibi dosyaların yüklenmesi uygulamaların hem...
10 Posts
fortify
OpenText Scancentral Mimarisinin Avantajları
Uygulama güvenliği süreçlerinde güvenli bir pipeline oluşturmanın yolu, pipeline adımlarında gerekli güvenlik testlerinin düzgün bir şekilde yapılmasıdır. Bu...
Fortify Static Code Analyzer Performans Analizi
Selamlar, bu yazımızda Fortify Static Code Analyzer’ın performansını etkileyen parametreleri ve tarama sonuçlarını birlikte analiz edeceğiz. Ortamlarınızdaki...
Mass Assignment Request Parameters Bound via Input Formatter
Frameworkler, içerisindeki istek ve nesnelerin http parametrelerine otomatik olarak bağlanmasına imkan tanır. Bu imkan, yazılımcıların parametreleri ya da ob...
Fortify SSC Üzerinden Bulgu Analizi
Bir sorun ortaya çıktıktan sonra alınan aksiyonlar, sorunu ortadan kaldırmaya yöneliktir. Ortaya çıkan sorunlar birtakım hasarlar bırakabilir. Sorun ortaya ç...
Veri Tabanı Güvenliği
Uygulamalarda içeriklerin dinamikleştirilmesi ve kişilere özel sunumlar ve işlemler yapılabilmesi için bilindiği gibi veritabanı sistemleri kullanılmaktadır....
Jenkins PipelineScript ile Fortify Scancentral Taraması Başlatmak
Selamlar, bir önceki yazımızda Fortify Assesment eklentisi ile Frestyle proje ile Fortify taraması başlatmıştık. Bu yazımızda da Jenkins üzerinden Pipeline S...
Veritabanında Kullanılan Hatalı Hash Yöntemlerinin SAST Araçlarıyla Tespiti ve Güvenli Alternatifler
Büyük veri ihlalleri ve sızıntıları gibi olaylar sıkça gündemde. Ele geçirilen parola hashleri, zayıf algoritma ve tekniklerle oluşturulduysa, saldırganlar p...
Fortify SCA Assesment İle Android Gradle Projesi Taramak - Azure Devops Pipeline
Selamlar, bu yazımızda Azure Devops ortamında bir Pipeline ile Java ile yazılmış bir gradle projesinin kaynak kod taramasını gerçekleştireceğiz. Bunun için A...
Jenkins ile Fortify SCA Taraması Başlatma ve Fortify SSC’ye Yükleme
Selamlar, bu yazıda sizlere Jenkins üzerinde Fortify Assesment plugini ile built-in node agent kullanarak Static Code Analyzer (SCA) ile bir tarama başlatı...
Memory'de Açık Olarak Görünen Kritik Bilgiler ve SAST Araçlarıyla Tespiti
Bu yazıda, bir uygulamanın çalışması sırasında memory’ye yazdığı kritik bilgilerin nasıl dump edilebileceğini ve bu tür zafiyetlerin bir SAST (Static Applica...
2 Posts
gitlab
Python Projeleri İçin Açık Kaynak Araçlarla DevSecOps Pipeline Oluşturma
Bu makalede, Python projelerinde güvenliği sağlamak için açık kaynaklı araçlarla nasıl etkili bir DevSecOps pipeline oluşturabileceğinizi inceleyeceğiz. Açık...
Açık Kaynak Kod Zafiyetlerinin Devops Pipeline'ında Yönetimi ve Örnek Uygulama
Bu makalede zafiyetli Apache Struts kütüphanesi içeren örnek bir java projesini, bir SCA (Software Composition Analysis) ürünü olan Sonatype Nexus Lifecycle ...
1 Posts
hardcoded passsword
Secret Security - DevSecOps Pipeline'ı Güvende Tutun!
Github, GitLab ve BitBucket gibi kod depolama platformları yazılım geliştirme süreçlerimizin olmazsa olmaz bir parçası. Git versiyon kontrol sistemini kullan...
1 Posts
hash
Veritabanında Kullanılan Hatalı Hash Yöntemlerinin SAST Araçlarıyla Tespiti ve Güvenli Alternatifler
Büyük veri ihlalleri ve sızıntıları gibi olaylar sıkça gündemde. Ele geçirilen parola hashleri, zayıf algoritma ve tekniklerle oluşturulduysa, saldırganlar p...
2 Posts
hype-cycle
Ulaşılabilirlik Analizi (Reachability Analysis)
Ulaşılabilirlik analizi (Reachability Analysis), güvenlik açıklarını daha iyi anlamak ve önceliklendirmek için kullanılan bir yöntemdir. SAST (Statik Uygulam...
Uygulama Güvenliği Hype Cycle 2024 Raporu Analizi
Bu yazımızda Gartner tarafından yayınlanan Hype Cycle for Application Security, 2024 raporunu analiz edeceğiz. Yeni teknolojilerin planlanması ve devreye alı...
1 Posts
injection
Girdi Doğrulama (Input Validation)
Teknolojinin hem inovasyonu hem de kolaylığı beslediği günümüzün hızla gelişen dijital ortamında, dijital varlıklarımızın güvenliğini sağlamak kritik bir end...
1 Posts
invicti
CORS Nedir? Nasıl Konfigüre Edilmelidir?
Daha Geriye Gidelim: SOP Kökler Arası Kaynak Paylaşımı(Cross-Origin Resource Sharing - CORS) nedir, ne değildir bahsetmeden önce Aynı Kök Politikasından (Sa...
1 Posts
java
Ulaşılabilirlik Analizi (Reachability Analysis)
Ulaşılabilirlik analizi (Reachability Analysis), güvenlik açıklarını daha iyi anlamak ve önceliklendirmek için kullanılan bir yöntemdir. SAST (Statik Uygulam...
2 Posts
jenkins
Jenkins PipelineScript ile Fortify Scancentral Taraması Başlatmak
Selamlar, bir önceki yazımızda Fortify Assesment eklentisi ile Frestyle proje ile Fortify taraması başlatmıştık. Bu yazımızda da Jenkins üzerinden Pipeline S...
Jenkins ile Fortify SCA Taraması Başlatma ve Fortify SSC’ye Yükleme
Selamlar, bu yazıda sizlere Jenkins üzerinde Fortify Assesment plugini ile built-in node agent kullanarak Static Code Analyzer (SCA) ile bir tarama başlatı...
1 Posts
jwt
JWT nedir?
JWT nedir? JWT (JSON Web Token), web uygulamalarında güvenli bilgi alışverişi sağlamak için kullanılan, JSON tabanlı ve RFC7519 standardına dayalı bir token...
1 Posts
key exchange
Kriptografinin Temellerinden TLS Zafiyetlerine – 2: Anahtar Değişimi
Çoğumuz Sen Ayrı Trende, Ben Ayrı Garda şarkısını duymuştur, hatta bazılarımızın favori listesindedir. Alice ayrı bir trende, Bob ayrı bir gardayken ve Eve m...
2 Posts
kriptografi
Kriptografinin Temellerinden TLS Zafiyetlerine – 1: Giriş
Tarihte daha günümüz bilgisayarları icat edilmemişken; hükümdarların, askerlerin birbirine gönderdiği mektupların içeriğinin gizlenmesi amacıyla şifreleme üz...
Veritabanında Kullanılan Hatalı Hash Yöntemlerinin SAST Araçlarıyla Tespiti ve Güvenli Alternatifler
Büyük veri ihlalleri ve sızıntıları gibi olaylar sıkça gündemde. Ele geçirilen parola hashleri, zayıf algoritma ve tekniklerle oluşturulduysa, saldırganlar p...
1 Posts
kriptoloji
Kriptografinin Temellerinden TLS Zafiyetlerine – 1: Giriş
Tarihte daha günümüz bilgisayarları icat edilmemişken; hükümdarların, askerlerin birbirine gönderdiği mektupların içeriğinin gizlenmesi amacıyla şifreleme üz...
1 Posts
kubernetes
Kubernetes Security
Kubernetes kümesini güvence altına almak, modern uygulama geliştirme ve dağıtım süreçlerinde kritik bir adımdır. Bu blog yazısı, Kubernetes kümenizi güvence ...
1 Posts
lisans
Açık Kaynak Lisansları - Geliştirme Sürecindeki Etkileri ve Tespiti
Açık kaynak lisanslama, yazılım dünyasında yeni bir trend gibi görünse de aslında ilk yazılım lisanslama modeli olarak ortaya çıktı. 1960’ların sonunda AT&am...
1 Posts
massassignment
Mass Assignment Request Parameters Bound via Input Formatter
Frameworkler, içerisindeki istek ve nesnelerin http parametrelerine otomatik olarak bağlanmasına imkan tanır. Bu imkan, yazılımcıların parametreleri ya da ob...
1 Posts
maven
SAST Taramalarının Derleme Araçlarına Entegrasyonu
SAST taramalarının DevOps akışına entegrasyonu sürecinde, derleme bağımlılıklarının sağlanması önemli konulardan biridir. Derleme bağımlılıklarının başka bir...
1 Posts
memory
Memory'de Açık Olarak Görünen Kritik Bilgiler ve SAST Araçlarıyla Tespiti
Bu yazıda, bir uygulamanın çalışması sırasında memory’ye yazdığı kritik bilgilerin nasıl dump edilebileceğini ve bu tür zafiyetlerin bir SAST (Static Applica...
1 Posts
modulo
Kriptografinin Temellerinden TLS Zafiyetlerine – 2: Anahtar Değişimi
Çoğumuz Sen Ayrı Trende, Ben Ayrı Garda şarkısını duymuştur, hatta bazılarımızın favori listesindedir. Alice ayrı bir trende, Bob ayrı bir gardayken ve Eve m...
1 Posts
msbuild
SAST Taramalarının Derleme Araçlarına Entegrasyonu
SAST taramalarının DevOps akışına entegrasyonu sürecinde, derleme bağımlılıklarının sağlanması önemli konulardan biridir. Derleme bağımlılıklarının başka bir...
1 Posts
mssql
Veri Tabanı Güvenliği
Uygulamalarda içeriklerin dinamikleştirilmesi ve kişilere özel sunumlar ve işlemler yapılabilmesi için bilindiği gibi veritabanı sistemleri kullanılmaktadır....
1 Posts
mysql
Veri Tabanı Güvenliği
Uygulamalarda içeriklerin dinamikleştirilmesi ve kişilere özel sunumlar ve işlemler yapılabilmesi için bilindiği gibi veritabanı sistemleri kullanılmaktadır....
1 Posts
nessus
Nessus Üzerinde Hydra İle Custom Brute Force Saldırısı
Tenable Core Üzerine Hydra Kurulumu Hydrayı kurabilmemiz için Tenable Core makinamıza EPEL reposunu eklememiz gerekiyor. Öncelikle wget komutu ile Dosya ind...
1 Posts
noname
API Yetkilendirme Açıkları, Bulgu Tespiti ve Test Otomasyonu - Bölüm 1
Günümüzde, modern web uygulamaları büyük ölçüde API tabanlı çalışıyor ve internet trafiğinin %90’a yakın bir kısmını API trafiği oluşturuyor. Önümüzdeki manz...
1 Posts
opensource
Açık Kaynak Lisansları - Geliştirme Sürecindeki Etkileri ve Tespiti
Açık kaynak lisanslama, yazılım dünyasında yeni bir trend gibi görünse de aslında ilk yazılım lisanslama modeli olarak ortaya çıktı. 1960’ların sonunda AT&am...
2 Posts
oss
Software Composition Analysis (SCA)
Giriş Selamlar! Bu makalede, yazılım güvenliğinde kritik bir rol oynayan Software Composition Analysis (SCA) konusunu ele alacağız. SCA’nın artan önemiyle...
Python Projeleri İçin Açık Kaynak Araçlarla DevSecOps Pipeline Oluşturma
Bu makalede, Python projelerinde güvenliği sağlamak için açık kaynaklı araçlarla nasıl etkili bir DevSecOps pipeline oluşturabileceğinizi inceleyeceğiz. Açık...
4 Posts
owasp
Dosya Yükleme Fonksiyonu Güvenliği
Uygulamalarda dosya yükleme özelliği sayesinde bir çok evrak, resim, video hatta uygulama bileşenleri, uzantılar gibi dosyaların yüklenmesi uygulamaların hem...
Girdi Doğrulama (Input Validation)
Teknolojinin hem inovasyonu hem de kolaylığı beslediği günümüzün hızla gelişen dijital ortamında, dijital varlıklarımızın güvenliğini sağlamak kritik bir end...
Tehdit Modelleme
Giriş Günümüzde dijital ortamların hızla gelişmesiyle birlikte, uygulama güvenliği giderek daha fazla önem kazanmaktadır. Tehdit modelleme, bu bağlamda, yaz...
Docker Güvenliği (Docker İçin En İyi Pratikler)
Docker, en yaygın kullanılan sanallaştırma ve konteynerizasyon teknolojilerinden bir tanesidir. Esasen bir platform olan Docker sayesinde, ana makineden iz...
1 Posts
pipeline
Jenkins PipelineScript ile Fortify Scancentral Taraması Başlatmak
Selamlar, bir önceki yazımızda Fortify Assesment eklentisi ile Frestyle proje ile Fortify taraması başlatmıştık. Bu yazımızda da Jenkins üzerinden Pipeline S...
1 Posts
postgresql
Veri Tabanı Güvenliği
Uygulamalarda içeriklerin dinamikleştirilmesi ve kişilere özel sunumlar ve işlemler yapılabilmesi için bilindiği gibi veritabanı sistemleri kullanılmaktadır....
1 Posts
python
Python Projeleri İçin Açık Kaynak Araçlarla DevSecOps Pipeline Oluşturma
Bu makalede, Python projelerinde güvenliği sağlamak için açık kaynaklı araçlarla nasıl etkili bir DevSecOps pipeline oluşturabileceğinizi inceleyeceğiz. Açık...
1 Posts
salt
Veritabanında Kullanılan Hatalı Hash Yöntemlerinin SAST Araçlarıyla Tespiti ve Güvenli Alternatifler
Büyük veri ihlalleri ve sızıntıları gibi olaylar sıkça gündemde. Ele geçirilen parola hashleri, zayıf algoritma ve tekniklerle oluşturulduysa, saldırganlar p...
10 Posts
sast
OpenText Scancentral Mimarisinin Avantajları
Uygulama güvenliği süreçlerinde güvenli bir pipeline oluşturmanın yolu, pipeline adımlarında gerekli güvenlik testlerinin düzgün bir şekilde yapılmasıdır. Bu...
SAST Taramalarının Derleme Araçlarına Entegrasyonu
SAST taramalarının DevOps akışına entegrasyonu sürecinde, derleme bağımlılıklarının sağlanması önemli konulardan biridir. Derleme bağımlılıklarının başka bir...
Secret Security - DevSecOps Pipeline'ı Güvende Tutun!
Github, GitLab ve BitBucket gibi kod depolama platformları yazılım geliştirme süreçlerimizin olmazsa olmaz bir parçası. Git versiyon kontrol sistemini kullan...
CWE (Common Weakness Enumeration) Nedir?
Siber güvenlik dünyasındaki herkes CVE’nin ne olduğunu bilmektedir. CVE (Common Vulnerabilities and Exposures – Yaygın Zafiyetler ve Maruziyetler), bilgisaya...
Mass Assignment Request Parameters Bound via Input Formatter
Frameworkler, içerisindeki istek ve nesnelerin http parametrelerine otomatik olarak bağlanmasına imkan tanır. Bu imkan, yazılımcıların parametreleri ya da ob...
Fortify SSC Üzerinden Bulgu Analizi
Bir sorun ortaya çıktıktan sonra alınan aksiyonlar, sorunu ortadan kaldırmaya yöneliktir. Ortaya çıkan sorunlar birtakım hasarlar bırakabilir. Sorun ortaya ç...
Veri Tabanı Güvenliği
Uygulamalarda içeriklerin dinamikleştirilmesi ve kişilere özel sunumlar ve işlemler yapılabilmesi için bilindiği gibi veritabanı sistemleri kullanılmaktadır....
Python Projeleri İçin Açık Kaynak Araçlarla DevSecOps Pipeline Oluşturma
Bu makalede, Python projelerinde güvenliği sağlamak için açık kaynaklı araçlarla nasıl etkili bir DevSecOps pipeline oluşturabileceğinizi inceleyeceğiz. Açık...
Veritabanında Kullanılan Hatalı Hash Yöntemlerinin SAST Araçlarıyla Tespiti ve Güvenli Alternatifler
Büyük veri ihlalleri ve sızıntıları gibi olaylar sıkça gündemde. Ele geçirilen parola hashleri, zayıf algoritma ve tekniklerle oluşturulduysa, saldırganlar p...
Memory'de Açık Olarak Görünen Kritik Bilgiler ve SAST Araçlarıyla Tespiti
Bu yazıda, bir uygulamanın çalışması sırasında memory’ye yazdığı kritik bilgilerin nasıl dump edilebileceğini ve bu tür zafiyetlerin bir SAST (Static Applica...
7 Posts
sca
Açık Kaynak Lisansları - Geliştirme Sürecindeki Etkileri ve Tespiti
Açık kaynak lisanslama, yazılım dünyasında yeni bir trend gibi görünse de aslında ilk yazılım lisanslama modeli olarak ortaya çıktı. 1960’ların sonunda AT&am...
Fortify Static Code Analyzer Performans Analizi
Selamlar, bu yazımızda Fortify Static Code Analyzer’ın performansını etkileyen parametreleri ve tarama sonuçlarını birlikte analiz edeceğiz. Ortamlarınızdaki...
SSDLC Süreçlerinde Bileşen Analizi: SCA - OWASP Dependency Track ve Fortify SSC Entegrasyonu
SSDLC Süreçlerinde Bileşen Analizi: SCA - OWASP Dependency Track ve Fortify SSC Entegrasyonu Selamlar, bu yazımızda Docker ile Dependency Track kurulumunu g...
Ulaşılabilirlik Analizi (Reachability Analysis)
Ulaşılabilirlik analizi (Reachability Analysis), güvenlik açıklarını daha iyi anlamak ve önceliklendirmek için kullanılan bir yöntemdir. SAST (Statik Uygulam...
Software Composition Analysis (SCA)
Giriş Selamlar! Bu makalede, yazılım güvenliğinde kritik bir rol oynayan Software Composition Analysis (SCA) konusunu ele alacağız. SCA’nın artan önemiyle...
Python Projeleri İçin Açık Kaynak Araçlarla DevSecOps Pipeline Oluşturma
Bu makalede, Python projelerinde güvenliği sağlamak için açık kaynaklı araçlarla nasıl etkili bir DevSecOps pipeline oluşturabileceğinizi inceleyeceğiz. Açık...
Açık Kaynak Kod Zafiyetlerinin Devops Pipeline'ında Yönetimi ve Örnek Uygulama
Bu makalede zafiyetli Apache Struts kütüphanesi içeren örnek bir java projesini, bir SCA (Software Composition Analysis) ürünü olan Sonatype Nexus Lifecycle ...
2 Posts
scancentral
OpenText Scancentral Mimarisinin Avantajları
Uygulama güvenliği süreçlerinde güvenli bir pipeline oluşturmanın yolu, pipeline adımlarında gerekli güvenlik testlerinin düzgün bir şekilde yapılmasıdır. Bu...
Jenkins PipelineScript ile Fortify Scancentral Taraması Başlatmak
Selamlar, bir önceki yazımızda Fortify Assesment eklentisi ile Frestyle proje ile Fortify taraması başlatmıştık. Bu yazımızda da Jenkins üzerinden Pipeline S...
1 Posts
secret
Secret Security - DevSecOps Pipeline'ı Güvende Tutun!
Github, GitLab ve BitBucket gibi kod depolama platformları yazılım geliştirme süreçlerimizin olmazsa olmaz bir parçası. Git versiyon kontrol sistemini kullan...
1 Posts
secure code
Secret Security - DevSecOps Pipeline'ı Güvende Tutun!
Github, GitLab ve BitBucket gibi kod depolama platformları yazılım geliştirme süreçlerimizin olmazsa olmaz bir parçası. Git versiyon kontrol sistemini kullan...
2 Posts
security
Kubernetes Security
Kubernetes kümesini güvence altına almak, modern uygulama geliştirme ve dağıtım süreçlerinde kritik bir adımdır. Bu blog yazısı, Kubernetes kümenizi güvence ...
Veri Tabanı Güvenliği
Uygulamalarda içeriklerin dinamikleştirilmesi ve kişilere özel sunumlar ve işlemler yapılabilmesi için bilindiği gibi veritabanı sistemleri kullanılmaktadır....
1 Posts
sla
Zafiyet Yönetimi Sürecinde SLA Takibine Farklı Bir Yaklaşım
Zafiyet Yönetimi sürecinde zafiyetlerin eksiksiz bir şekilde tespit edilebilmesi çok önemlidir. Tespit edilen zafiyetlerin kapatılması konusu ise, en az tesp...
1 Posts
software
CWE (Common Weakness Enumeration) Nedir?
Siber güvenlik dünyasındaki herkes CVE’nin ne olduğunu bilmektedir. CVE (Common Vulnerabilities and Exposures – Yaygın Zafiyetler ve Maruziyetler), bilgisaya...
1 Posts
sonatype
Açık Kaynak Kod Zafiyetlerinin Devops Pipeline'ında Yönetimi ve Örnek Uygulama
Bu makalede zafiyetli Apache Struts kütüphanesi içeren örnek bir java projesini, bir SCA (Software Composition Analysis) ürünü olan Sonatype Nexus Lifecycle ...
1 Posts
sql
Veri Tabanı Güvenliği
Uygulamalarda içeriklerin dinamikleştirilmesi ve kişilere özel sunumlar ve işlemler yapılabilmesi için bilindiği gibi veritabanı sistemleri kullanılmaktadır....
1 Posts
ssdlc
SSDLC Süreçlerinde Bileşen Analizi: SCA - OWASP Dependency Track ve Fortify SSC Entegrasyonu
SSDLC Süreçlerinde Bileşen Analizi: SCA - OWASP Dependency Track ve Fortify SSC Entegrasyonu Selamlar, bu yazımızda Docker ile Dependency Track kurulumunu g...
1 Posts
tehdit_modelleme
Tehdit Modelleme
Giriş Günümüzde dijital ortamların hızla gelişmesiyle birlikte, uygulama güvenliği giderek daha fazla önem kazanmaktadır. Tehdit modelleme, bu bağlamda, yaz...
1 Posts
tenable
Zafiyet Yönetimi Sürecinde SLA Takibine Farklı Bir Yaklaşım
Zafiyet Yönetimi sürecinde zafiyetlerin eksiksiz bir şekilde tespit edilebilmesi çok önemlidir. Tespit edilen zafiyetlerin kapatılması konusu ise, en az tesp...
1 Posts
tenable sc
Kriptografinin Temellerinden TLS Zafiyetlerine – 2: Anahtar Değişimi
Çoğumuz Sen Ayrı Trende, Ben Ayrı Garda şarkısını duymuştur, hatta bazılarımızın favori listesindedir. Alice ayrı bir trende, Bob ayrı bir gardayken ve Eve m...
1 Posts
tenable.sc
Compliance Taramaları ile Regülasyonlara Uyum Sürecinizi Güçlendirin
1. Compliance Nedir? Compliance, bir kuruluşun yasal düzenlemelere, sektör standartlarına ve iç politikalarına uyum sağlamasını ifade eder. Kurumlar, bu ger...
1 Posts
vulman
Nessus Üzerinde Hydra İle Custom Brute Force Saldırısı
Tenable Core Üzerine Hydra Kurulumu Hydrayı kurabilmemiz için Tenable Core makinamıza EPEL reposunu eklememiz gerekiyor. Öncelikle wget komutu ile Dosya ind...
1 Posts
web
CORS Nedir? Nasıl Konfigüre Edilmelidir?
Daha Geriye Gidelim: SOP Kökler Arası Kaynak Paylaşımı(Cross-Origin Resource Sharing - CORS) nedir, ne değildir bahsetmeden önce Aynı Kök Politikasından (Sa...
1 Posts
zaafiyet yönetimi
Zafiyet Yönetimi Sürecinde SLA Takibine Farklı Bir Yaklaşım
Zafiyet Yönetimi sürecinde zafiyetlerin eksiksiz bir şekilde tespit edilebilmesi çok önemlidir. Tespit edilen zafiyetlerin kapatılması konusu ise, en az tesp...