Owasp - En çok karşılaşılan 10 web güvenlik problemi ( 2007 güncellemesi )

0
Yns_
Owasp -the free and open application security community- web uygulamalarında en çok karşılaşılan 10 güvenlik problemini ele almış.

İçerikte saldırı türleri, örnek saldırılar ve önlemler ele alınmış. Bu adresten word veya .PDF formatında indirip inceleyebilirsiniz.
Listede benim dikkatimi çeken nokta, "insecure cryptographic storage" bölümünde md5 ve sha1'in zayıf algoritmalar olarak tanımlanmış olması.

İlgili cümle tam olarak şöyle; " Do not use weak algorithms, such as md5, sha1 "

Mail listesinden gelen orjinal metin;

Hi there, OWASP is pleased to announce the immediate availability of the OWASP Top 10 2007 release candidate 1. You can download it in Word and PDF form here:

http://www.owasp.org/index.php/Top_10_2007
The public comments phase opens today and will continue until February 28, 2007 for all and sundry. We have collected some feedback already, which will be incorporated into RC2 - such as:

* CWE links to particular weaknesses for every section
* Links to Suhosin and HardenedPHP for one of the sections

If you have any feedback or changes, please either join the OWASP Top 10 mail list, or mail me offline if you cannot work publicly.

http://lists.owasp.org/mailman/listinfo/owasp-topten
Thanks,
Andrew van der Stock
Executive Director, OWASP

Görüşler

0
anonim
Sha1 i bilmem ama internette bir sürü Md5 database i bulunduğundan, yukarıda bahsedilen uyarı bence doğrudur..
Görüş belirtmek için giriş yapın...

İlgili Yazılar

ATM PINlerine Karşı Yeni Bir Saldırı Şekli

FZ

Bankaların otomatik para çekme makinaları olarak kullandığımız ATM'lere karşı Decimalisation Table Attacks for PIN Cracking isimli bir saldırı yöntemi geliştirilmiş durumda.

Gelmeyin Microsoft`un Üstüne :)

sundance

Love Bug, Kournikova gibi virus/worm saldırılarından illalah diyen Amerikan Hava Kuvvetleri, Microsoft`un hazırladığı Outlook Security Patch`e resmi olarak gülmek için bir rapor hazırlıyor!!!

Bilindiği üzere yollanan e-maildaki Visual Basic kodunun çalıştırılması sayesinde yayılan bu virüsleri durdurmak için Microsoft bu tür kodların çalışmasına izin vermesi için kullanıcının onaylayacağı bir window çıkartma yolunu seçmişti.

GNU/Linux için NX yaması

anonim

Zdnet'in haberine göre Redhat ve İntel özellikle virüs ve solucanlara karşı etkili olacağı düşünülen NX (not execute) teknolojisini destekleyen bir Linux yaması yazılım yayınladılar. Microsoft'un bu desteği service pack2 ile birlikte bu yılın üçüncü çeyreğinde vermesi umuluyor. Linus Torvalds'ın bu teknolojiye olumsuz yaklaşmadığı da yine aynı makalede yer alıyor.

Windows Durmuyor

anonim

Windows´ta güvenlik açığı başlıklı haberlerden sıkıldınız mı bilmiyorum ama Windows da durmuyor ki. Yine kritik bir güvenlik açığı üstelik ie kullanmıyor olmanızda sizi kurtaramıyor. Microsoft Windows 98, Microsoft Windows 98 Second Edition, Microsoft Windows Me, Microsoft Windows NT 4.0, Microsoft Windows NT 4.0 Terminal Server Edition, Microsoft Windows 2000 işletim sistemlerinde etkili bu açık sayesinde crackerımızın web sitesini ziyaret ederseniz oluşan açık yüzünden cracker o an kayıtlı olan kullanıcının yetkilerine sahip oluyor. Admin yetkileride buna dahil. Ayrıntılı bilgi ve yama için: Bu adrese

Türk Telekom´u da hack´lediler

anonim

www.ttrehber.gov.tr Digital-Angels tarafından hacklendi.
Digital-angels grubu, www.ttrehber.gov.tr`nin yerine konulan sayfada web adreslerini yazmışlar, ki bu da dikkatsizlik olarak algılanabilir, belki whois bilgisinden geçerli bir isim çıkmaz ama ödeme şeklinden kredi kartı yada banka havalesi araştırması sonucu o arkadaşları yakında mahkemede görebiliriz.

www.ttrehber.gov.tr`nin değişmiş halinin görüntüsü için:
http://users.vr9.com/digitalangels/telekom.jpg


Editörün notu: www.ttrehber.gov.tr adresi, saldırıdan kısa süre sonra kurtarıldı, bizim farkedebildiğimiz, site sadece birkaç saat kadar kapalı kaldı.