Owasp - En çok karşılaşılan 10 web güvenlik problemi ( 2007 güncellemesi )

0
Yns_
Owasp -the free and open application security community- web uygulamalarında en çok karşılaşılan 10 güvenlik problemini ele almış.

İçerikte saldırı türleri, örnek saldırılar ve önlemler ele alınmış. Bu adresten word veya .PDF formatında indirip inceleyebilirsiniz.
Listede benim dikkatimi çeken nokta, "insecure cryptographic storage" bölümünde md5 ve sha1'in zayıf algoritmalar olarak tanımlanmış olması.

İlgili cümle tam olarak şöyle; " Do not use weak algorithms, such as md5, sha1 "

Mail listesinden gelen orjinal metin;

Hi there, OWASP is pleased to announce the immediate availability of the OWASP Top 10 2007 release candidate 1. You can download it in Word and PDF form here:

http://www.owasp.org/index.php/Top_10_2007
The public comments phase opens today and will continue until February 28, 2007 for all and sundry. We have collected some feedback already, which will be incorporated into RC2 - such as:

* CWE links to particular weaknesses for every section
* Links to Suhosin and HardenedPHP for one of the sections

If you have any feedback or changes, please either join the OWASP Top 10 mail list, or mail me offline if you cannot work publicly.

http://lists.owasp.org/mailman/listinfo/owasp-topten
Thanks,
Andrew van der Stock
Executive Director, OWASP

Görüşler

0
anonim
Sha1 i bilmem ama internette bir sürü Md5 database i bulunduğundan, yukarıda bahsedilen uyarı bence doğrudur..
Görüş belirtmek için giriş yapın...

İlgili Yazılar

Güvenlik, Paranoya ve ICAT

FZ

Eğer bilgisayar kullanıyorsanız ve güvenlik kavramı size basit bir kelimeden daha fazlasını ifade ediyorsa o halde biraz sonra bahsedeceğim siteye bakmak zorundasınız!

ICAT Metabase isimli bu Internet sitesi en son 2 Ağustos 2001 tarihinde güncellenmiş olup bilgisayar yazılımları ve donanımları ile ilgili 2680 kadar "zayıf, saldırılabilir" noktanın çok detaylı ve spesifik kategorilendirilmiş bir veritabanını içeriyor.

Eşeği Kafese Sokmak

tongucyumruk

Tamam kabul ediyorum biraz saçma bir başlık oldu ama Türkçe yazınca böyle bir hal aldı. Aslında konuya uygun bir başlık. Konumuz Linux altındaki en popüler P2P dosya paylaşım programı mlDonkey'i chroot ortamında çalıştırarak sistemimizi güvenceye almak...

ShmooCon'06 Hacker toplantısı sona erdi!

sundance

13-15 Ocak arası Washington DC'de düzenlenen hacker toplantısı ShmooCon oldukça hareketli geçmiş. Insecure.org'dan meşhur Fyodor'un Nmap'le Playboy.com'da pr0n aradığı sunumdan SimpleNomad'ın Windows yüklü makinalara wireless üzerinden erişilmesini sağlayan hack'ine kadar oldukça ilginç toplantılara sahne olmuş. Cisco VPN Conc.'larla ilgili bir sıfır gün açığının bile yayınlandığı etkinliği izleyip haberdar eden Emre Sağlam (a.k.a. Conan)'a teşekkürler.

Yeni bir solucan: W32.Sasser.B.Worm

larweda

Aylar önce ortalığı kasıp kavuran Blaster solucanı gibi yeni bir solucan daha duyuruldu: W32.Sasser.B.Worm
Bu solucan Windows NT4SP6A, W2KSP2 ve 2003 Server sürümündeki işletim sistemleri üzerinde etkili oluyor ve LSASS (NT LM Security Support Provider) üzerinden bulaşarak ağdaki rastgele IP'li makinalara kendisini bulaştırıyor. Microsoft'un bu konudaki güvenlik makalesi ve uygulanması gereken yamalar burada. Konuyla ilgili Symantec'in ve McAfee'nin duyuruları da buralarda: Symantec ve McAfee. Hem Symantec hem McAfee bu virüsün bulaşmış olduğu sistemleri temizlemek için araçlar da sunuyorlar.
Tam da MEB ve Steve Ballmer haberinini üzerine pek de güzel denk geldi bu haber doğrusu ;)

En İyi 75 Güvenlik Aracı

FZ

Fyodor´un Mayıs ayında nmap-hackers e-posta listesinde 1854 üye üzerinden gerçekleştirdiği ayrıntılı anketin sonucunda en çok kullanılan 75 güvenlik aracı tespit edildi. Güvenlikle ilgilenen ya da ilgilenmeyi düşünen herkesin bu listedeki yazılımları (en azından 10-15 tanesini) incelemesinde fayda var.