Owasp - En çok karşılaşılan 10 web güvenlik problemi ( 2007 güncellemesi )

Owasp -the free and open application security community- web uygulamalarında en çok karşılaşılan 10 güvenlik problemini ele almış.

İçerikte saldırı türleri, örnek saldırılar ve önlemler ele alınmış. Bu adresten word veya .PDF formatında indirip inceleyebilirsiniz.

Listede benim dikkatimi çeken nokta, "insecure cryptographic storage" bölümünde md5 ve sha1'in zayıf algoritmalar olarak tanımlanmış olması.

İlgili cümle tam olarak şöyle; " Do not use weak algorithms, such as md5, sha1 "

Mail listesinden gelen orjinal metin;

Hi there, OWASP is pleased to announce the immediate availability of the OWASP Top 10 2007 release candidate 1. You can download it in Word and PDF form here:

http://www.owasp.org/index.php/Top_10_2007
The public comments phase opens today and will continue until February 28, 2007 for all and sundry. We have collected some feedback already, which will be incorporated into RC2 - such as:

* CWE links to particular weaknesses for every section
* Links to Suhosin and HardenedPHP for one of the sections

If you have any feedback or changes, please either join the OWASP Top 10 mail list, or mail me offline if you cannot work publicly.

http://lists.owasp.org/mailman/listinfo/owasp-topten
Thanks,
Andrew van der Stock
Executive Director, OWASP

Görüşler

anonim
17 yıl önce

Sha1 i bilmem ama internette bir sürü Md5 database i bulunduğundan, yukarıda bahsedilen uyarı bence doğrudur..

Görüş belirtmek için giriş yapın...

İlgili Yazılar

.Net gelmeden wormu geldi

tongucyumruk
4 Mart 2002, 1 dakika okuma süresi

.Net platformu için yazılmış ilk worm duyuruldu. Sharpei adlı wormun bir kısmı C# ile yazılmış ve .Net framework yüklü bilgisayarları etkiliyor.

Konuyla ilgili Slashdot'ta ve CNET'te çıkan haberler

PDF Virüsü Görüldü

anonim
8 Ağustos 2001, 1 dakika okuma süresi

Adobe`nin popüler dosya formatı PDF için ilk defa virüs tesbit edildi. Bu virus PDF dosyalari içine gömülü olarak taşınıyor ve yayılıyor. Aslında bir VBS virüsü olan PDFWorm, kendisini bir PDF dosyasının içine gömerek Outlook`un adres defterinden kendisini yayıyor. Virüsün amacı yüksek düzeyde yayılmak değil, sadece olayın yapılabilirliğini kanıtlamak. Bu sebepten, mail'le gelen PDF dosyası Acrobat Reader'le açıldığında aktive olmuyor, sadece Acrobat'la açıldığında aktive oluyor.
Detaylı bilgi için:http://www.coderz.net/zulu/outlook.pdfworm.txt

%100 güvenlik mümkün değil

daegil
2 Şubat 2005, 1 dakika okuma süresi

Önemli güvenlik organizasyonlarından Information Systems Security Association'ın İngiltere şubesi, web sunucularının saldırıya uğradığını ve ana sayfanın değiştirildiğini belirtti. Yetkililere göre 2004 Aralık tarihinde ana sunucu başka bir makinaya taşındıktan ve güncellendikten sonra, bazı yamaların yüklenmesinin unutulması yüzünden böyle bir şey mümkün olabildi.

7 Ocak 2005 - 19:39 tarihinde gerçekleşen olaya dair bir web sitesinden alınan bilgiye göre eylemin sorumlusu "iskorpitx" takma isimli kötü niyetli bir bilgisayarcı. Aynı haber sitesinde yer alan ve vakayı gösteren görüntüde büyük Türk bayrakları vardı ve "HACKED By iSKORPiTX (Turkish Hacker)" yazıyordu, ardından tarayıcı kullanıcıyı yunus resimleri ile dolu bir siteye yönlendiriyordu.

Kaynak: http://news.zdnet.co.uk/0,39020330,39185308,00.htm

Phrack 58 çıktı!

sundance
28 Aralık 2001, 1 dakika okuma süresi

Internet öncesinden beri güvenlik ve iletişim ortamlarının tartışmasız bir numaralı dergisi PHRACK`in yeni sayısı çıktı.

Özellikle LoopBack bölümünde okur mektuplarına verilen cevapları okumanızı tavsiye ederim, eminim eski sayıları da teker teker elden geçirirsiniz...

Keylogger üreticisine dava... Ama neden?

tongucyumruk
19 Eylül 2007, 1 dakika okuma süresi

ABD ordusunda çalışıyorsanız, eşinize güvenmediğiniz için bilgisayarına keylogger yüklediyseniz ve boşanmanızın ardından durum ortaya çıkınca hiç tahmin etmediğiniz tazminat davası ile karşı karşıya kalırsanız ne yaparsınız?

Tabiiki her vatansever Amerikan vatandaşının yapacağını: Kanadalı şirketi dava edersiniz.