PCI DSS (Ödeme Kartı Endüstrisi Veri Güvenliği Standardı), ödeme kartı endüstrisinin veri güvenliği standardıdır. Başka bir deyişle, bir hizmetin kart numarası, son kullanma tarihi ve CVV kodu gibi bilgileri bir şekilde kontrol etmesi durumunda karşılaması gereken kriterlerin bir listesini içeren dokümantasyondur.
PCI DSS Nedir ve Uyumluluk Nasıl Kontrol Edilir? Read More »
Darknet” veya “Deep Web” olarak adlandırılan karanlık web içeriği arama motorları tarafından dizine eklenmeyen ve oraya normal bir tarayıcıdan ulaşılamayan internet bölgesidir. Deep web, normal İnternet’ten onlarca kat daha büyüktür. Dark web, her bir kullanıcının kimliğinin yetkililerden ve kanun uygulayıcı kurumlardan gizlendiği özel bir site kümesidir.
Deep Web Tehditleri ve Korunma Yolları Read More »
Bu yayın bağlamında hassas veriler, güvenliği PCI DSS + GDPR gereksinimleri tarafından düzenlenen verilerdir (kart ve kişisel veriler gibi). Bu tür veriler prensipte gerekli midir yoksa anonim hale getirilebilir mi? Bu ciltte kritik verileri depolamak gerçekten gerekli mi?
Güvenlik standartlarının gerekliliklerini dikkate alan yazılım tasarımı Read More »
Ağ bağlantısı güvenliği her zaman önemli olmuştur. Her biri kendi güvenlik açıklarına ve bunlarla başa çıkma yöntemlerine sahip çeşitli oturum yönetimi yöntemleri vardır. Bu yazıda OWASP top 10 listesinde yer alan Broken Authentication (Bozuk Kimlik Doğrulama ve Oturum Yönetimi) zafiyetine göz atacağız. Yaygın oturum saldırıları Kimlik doğrulama belirteçleri hem ön uçta hem de arka uçta depolanır
Broken Authentication (Bozuk Kimlik Doğrulama ve Oturum Yönetimi) zafiyeti Read More »
Ağ Algılama ve Yanıt sistemleri (NDR -Network Detection Response) Kötü amaçlı etkinlikleri algılamak ve yanıtlamak için ağınızı ve Bulut Trafiğinizi derinlemesine incelemeye fırsat tanır.
NDR (Network Detection Response) Read More »
OWASP(Open Web Application Security Project), Web uygulamaları için en tehlikeli 10 saldırı vektörünün bir listesini oluşturmuştur, bu liste OWASP TOP-10 olarak adlandırılır ve bazı insanlara çok pahalıya mal olabilecek, iş itibarını zedeleyebilecek, hatta iş kaybı meydana getirecek en tehlikeli güvenlik açıklarını içerir. Owasp Top 10 Saldırı vektörlerini incelemeye Sensitive Data Exposure (Kritik verilerin güvensizliği) ile devam ediyoruz.
OWASP TOP-10 listesinden Sensitive Data Exposure Read More »
Eksik İşlev Seviyesi Erişim Kontrolü (Missing Function Level Access Control) Bu güvenlik açığının özü, adından da anlaşılacağı gibi, istenen nesneye uygun erişimin doğrulanmamasıdır. Uygulamanın mevcut kullanıcısı olabilecek bir saldırgan bunu kullanarak, ayrıcalıkları artırabilir ve kısıtlı işlevlere erişebilir. Örneğin, yönetici düzeyindeki kısıtlı özellikler genellikle bu saldırının hedefidir. Çoğu web uygulaması, verileri kullanıcı arayüzünde görüntülemeden önce izinleri kontrol
Missing Function Level Access Control Read More »
Injection zafiyetleri genellikle kullanıcıdan alınan, kontrol edilmeyen ya da önlem alınmayan verilerin komut olarak çalıştırılması ya da sorguya dahil edilmesi yüzünden oluşan zafiyetlerdir. İstatistiklere göre, şirketlerin % 28’i bu zafiyete maruz kalmaktadır. Bu güvenlik açığı aşağıdaki saldırı vektörlerine bölünmüştür: SQL, LDAP, XPath sorguları aracılığıyla enjeksiyon İşletim Sistemlerindeki komutlarla enjeksiyon XML ayrıştırma yoluyla enjeksiyon SMTP başlıkları
Owasp Top 10: Injection Zafiyeti Read More »
Dağıtık hizmet reddi saldırıları veya kısaca DDoS, yaygınlaşarak dünya çapında Internet güvenliği için büyük bir baş ağrısı haline geldi. Bu nedenle, bir web sitesini DDoS saldırılarına karşı koruma, bugün ek bir seçenek değil, kesinti süresinden, büyük kayıplardan ve zarar görmekten kaçınmak isteyenler için bir ön şart halini almıştır. DDoS nedir? Dağıtılmış Hizmet Reddi, bir bilgi
DDoS Saldırıları ve Korunma Yöntemleri Read More »
DDoS Çalışma mekanizmasıTüm web sunucularının, eşzamanlı olarak işleyebilecekleri istek sayısı konusunda kendi sınırları vardır. Ağı ve sunucuyu bağlayan kanalın bant genişliği için de bir sınırı vardır. Saldırganlar, bu kısıtlamaları aşmak için, botnet veya “zombi ağı” adı verilen kötü amaçlı yazılım içeren bir bilgisayar ağı oluşturur. Bir botnet oluşturmak için siber suçlular Truva atını e-posta, sosyal ağlar
DDoS Çalışma Mekanizması ve Saldırıları Türleri Read More »
