Nikto, web sunucuları üzerinde bulunabilecek güvenlik açığına sahip CGI dosyalarını, güvenlik problemi yaratabilecek diğer zararlı dosya ve konfigürasyonları vb. problemleri tespit etmeye yarayan, açık kaynak kodlu bir web güvenlik tarayıcısıdır.
Uzun bir süredir 1.x serisinde devam eden Nikto'nun 2.00 sürümü duyuruldu.

Nikto 2, eski sürümüne ek olarak şu özellikleri barındırıyor:

XSS'i (Cross Site Scripting), web tarayıcısı gibi bir istemcinin bir web uygulamasına güveninden yararlanmak olarak düşünebiliriz. Peki bir uygulamanın bir kullanıcıya olan güveni de exploit edilebilir mi?

Giriş
Arka-planda Oracle veritabanı kullanan çoğu uygulama geliştiricisi SQL Injectioni saldırıları riskini hafife alıyor. Yaptığımız  web uygulama denetimlerinde çoğü web uygulama geliştiricisinin SQL Injection saldırılarının risklerini ve bu tip saldırıları engellemede kullanılan basit teknikleri tam olarak anlamadığını gördük.

Merhaba bilişim ve İnternet güvenliği tutkunları,
Web Güvenlik Topluluğu ve OWASP-Türkiye olarak kısa bir aradan sonra yine bir "Web Güvenliği Günleri" etkinliği ile karşınızdayız.
ULAK-CSIRT’ın desteği ve katkıları ile 26 Kasım 2007 tarihinde Ege Üniversitesi’nde "Web Güvenliği Günleri - İzmir" adı altında
bir etkinlik gerçekleştireceğiz. Gerçekleşecek olan etkinlikte, web güvenliğine ilgisi olan herkes, güvenlik uzmanları ile bir araya gelme fırsatını yakalayacaklar.

Bilişim ve İnternet Güvenliği Tutkunlarına Merhaba,
Web Güvenlik Topluluğu ve OWASP-Türkiye olarak kısa bir aradan sonra yine bir "Web Güvenliği Günleri" etkinliği ile karşınızdayız.
Geçtiğimiz Temmuz ayında İstanbul’da düzenlediğimiz ilk "Web Güvenliği Günleri"’den sonra, sıradaki etkinliğimizi Ankara’da

Web sitenizi ve uygulamalarınızı SQL Enjeksiyoni saldırılarından korumak 3 bölümlük bir işlemden oluşur:

1. Sitenizin, SQL Enjeksiyon ve diğer açıklara karşı tam bir güvenlik denetiminin yapılması ile güvenliğinizin mevcut halinin analiz edilmesi.
2. Web uygulamalarının ve BT altyapısının diğer tüm bileşenlerinin steril olması için en uygun kodlama standartlarının / tekniklerinin kullanılması.
3. Web bileşenlerindeki her değişiklik veya eklemeden sonra düzenli web güvenlik denetimi uygulanması.

Bir SQL Injectioni saldırısı istemci tarafından uygulamaya SQL sorgusu ekleme veya "enjekte" etme ile gerçekleşir. Başarılı bir SQL Injection saldırısı veritabanından önemli bilgilerin okunabilmesi ile, değiştirilebilmesi ile (Insert/Update/Delete), veritabanında yönetici işlemleri yapılabilmesiyle (Veritabanı sunucusunun kapatılması gibi) veya bazı durumlar işletim sistemi komutları çalıştırılabilmesi ile sonuçlanabilir.

Problemin Tanımı
SQL Injection saldırıları aşağıdaki gibi 3 sınıfa ayrılabilir:

Özet:
Aşağıdaki makale SQL sorgusu ekleme/değiştirme (SQL Injectioni) saldırıları konusuna yeni başlayanlar için, kullanım ve korunma hakkında bilgiler içermektedir.
Makale SK (sk at scan-associates.net) tarafından hazırlanmıştır.

Detay:
1.0 Giriş