• Buradasın

    Yazılım Güvenliği

    Özetteki ilgi çekici içerikler

    • Tool West Time Freeze Kırma Rehberi

      Bu video, Alperen Kırıcı tarafından sunulan bir eğitim içeriğidir. Alperen, Tool West Time Freeze programının nasıl kırılacağını anlatmaktadır. Videoda, Tool West Time Freeze'nin C sürücüsünü koruyan bir deep freeze programı olduğu açıklanmaktadır. Alperen, programın şifresini bilmeden nasıl kırılacağını iki farklı yöntemle göstermektedir. İlk yöntem, eski sürümlerde (2014-2015) programın yeniden kurulması ve şifre değiştirme işlemidir. İkinci yöntem ise 2016 sürümünde programın kurulumu sırasında şifre değiştirme ve kurulum sonrası programın silinmesidir. Video, programın koruma mekanizmasının zayıf olduğunu vurgulayarak sonlanmaktadır.

      • youtube.com

    • Android Telefonlara Casus Uygulama Kurulumu

      Bu video, Android telefonlara nasıl casus uygulama kurulduğunu adım adım gösteren bir eğitim içeriğidir. Video, ücretli satılan yasal bir casus uygulamanın nasıl kurulduğunu ve telefon üzerindeki yetkileri nasıl talep ettiğini detaylı şekilde anlatmaktadır. İçerikte, zararlı yazılımları tespit etme özelliğinin kapatılması, afk uzantılı casus yazılımın indirilmesi, sistem ayarları, telefon rehberi, GPS, arama yapma, arama geçmişi, dosyalar ve aramalar gibi yetkilerin talep edilmesi ve ayarlanması gösterilmektedir. Ayrıca, bu tür saldırılardan korunmanın yolu olarak saldırganların izlediği yolları bilerek durumun farkında olmanın önemi vurgulanmaktadır.

      • youtube.com

    • CSRF Zafiyeti ve Önleme Yöntemi Eğitimi

      Bu video, yazılım güvenliği serisinin bir parçası olup, bir eğitmen tarafından CSRF (Cross-Site Request Forgery) zafiyeti hakkında bilgi veren bir eğitim içeriğidir. Videoda, Expote TV üzerinde yayınlanan Simple CRM 30 adlı bir uygulamadaki CSRF zafiyeti incelenmektedir. Eğitmen önce zafiyetin nasıl sömürüldüğünü göstererek, saldırganın kurban kişinin profil bilgilerini nasıl değiştirebileceğini uygulamalı olarak anlatır. Ardından, bu zafiyeti önlemek için CSRF token yöntemi kullanarak nasıl kod yazılacağını adım adım gösterir. Video, zafiyetin nasıl tespit edildiğini, nasıl sömürüldüğünü ve nasıl önlenildiğini gösteren bir konsept sunmaktadır.

      • youtube.com

    • Siber Güvenlik Hakkında Bilgilendirme

      Bu videoda Sibel adlı bir kişi siber güvenlik konusunu anlatmaktadır. Video, siber güvenlikin ne olduğunu açıklayarak başlıyor ve günümüzde teknolojinin gelişmesiyle birlikte en önemli mesleklerden biri haline geldiğini belirtiyor. Ayrıca siber güvenlik uzmanlarının yıllık ortalama 90 bin dolar ile 150 bin dolar arasında maaş aldıklarını paylaşıyor.

      • youtube.com

    • Keylogger Hakkında Bilgilendirme ve Korunma Yöntemleri

      Bu video, keylogger yazılımları hakkında bilgilendirici bir eğitim içeriğidir. Video, keyloggerların ne olduğunu açıklayarak başlıyor ve ardından bilgisayarda keylogger bulunup bulunmadığını anlamak için dört farklı yöntem sunuyor. Son bölümde ise keylogger'dan korunmak için alınması gereken önlemler anlatılıyor. Bu video, bilgisayar güvenliği konusunda bilgi edinmek isteyenler için faydalı olabilir.

      • youtube.com

    • HTTP Request Smuggling Güvenlik Açığı Eğitimi

      Bu video, bir eğitmen tarafından sunulan teknik bir eğitim içeriğidir. Eğitmen, HTTP protokolünde yaşanan request smuggling (HTTP istek karıştırma) güvenlik açığını detaylı şekilde anlatmaktadır. Video, HTTP protokolünün yapısını, request smuggling zafiyetinin nasıl çalıştığını ve HTTP 1.1 ile HTTP 2.0 arasındaki farkları açıklamaktadır. Eğitmen, load balancer ve app server arasındaki protokol dönüşümünü, transfer encoding ve content length header'larının önemini ve bu zafiyet sayesinde nasıl güvenlik açığı yaratılabileceğini anlatmaktadır. Videoda ayrıca Netflix örneği üzerinden request injection ve redirection zafiyetleri, HTTP 2'den HTTP 1'e downgrade yapıldığında oluşan zafiyetler ve TCP session'ları üzerinde durulmaktadır. Eğitmen, konuyu teorik olarak anlattıktan sonra, bir sonraki yayında uygulamalı olarak ele alacaklarını belirtmektedir.

      • youtube.com

    • CTF (Capture the Flag) Eğitim Videosu

      Bu video, bir eğitmen tarafından sunulan CTF (Capture the Flag) konulu bir eğitim içeriğidir. Eğitmen, CTF'nin ne olduğunu ve farklı türlerini anlatmaktadır. Video, CTF'nin "bayrağı yakala" anlamına geldiği bilgisiyle başlayıp, farklı CTF türlerini (web, mobil, kripto, forex, exploit, binary, information) detaylı şekilde açıklamaktadır. Ayrıca, bir CTF oyununda izlenmesi gereken adımlar (bilgi toplama, zafiyet taraması, bağlantı kurma, yetki yükseltme) ve kullanılan araçlar (netcat, cron) hakkında bilgiler verilmektedir. Video, CTF platformlarının nasıl kullanılacağı ve başlangıç seviyesindeki kullanıcılar için öneriler içermektedir. Son olarak, CTF'nin yasal sınırlamaları ve güvenlik riskleri hakkında uyarılar yapılmaktadır.

      • youtube.com

    • Canlı Yayında Ortam Dinlemesi

      CNN Türk'teki "724" programında Erhan Karadağ ve Yavuz Oğhan, bir uzmanla birlikte canlı yayında ortam dinlemesi yapıyorlar. Programda, bir telefon yazılımı sayesinde hedef telefonun çalmadan açılması ve bulunduğu ortamın dinlenmesi gösteriliyor. Videoda, yazılımın nasıl çalıştığı, hedef telefonun çalmadan açılması, ortam dinlemesi yapma özelliği ve görüşme bildirim özelliği detaylı olarak anlatılıyor. Uzman, bu yazılımın yasadışı olduğunu ancak aile bireylerini dinlemek için kullanılabileceğini belirtiyor. Program sonunda, bu tür yazılımlardan korunmanın en iyi yolu konuşmamak veya işaretlerle anlaşma yapmak olduğu tavsiye ediliyor.

      • youtube.com

    • Kolon Bazında Güvenlik Uygulaması Eğitim Videosu

      Bu video, bir yazılım uygulamasının kolon bazında güvenlik özellikleri hakkında eğitim içeriğidir. Video, kullanıcıların belirli veri girişlerini kısıtlamak için kullanabilecekleri bir sistem tanıtmaktadır. Video, kolon bazında güvenlik uygulamasının nasıl kullanılacağını adım adım anlatmaktadır. Önce uygulamanın temel yapılandırması ve parametreleri açıklanmakta, ardından kullanıcılar, kısıt kapsamı, veritabanı nesnesi, saha adı ve kısıtlama ifadeleri gibi temel bileşenler tanımlanmaktadır. Son bölümde ise farklı kullanım örnekleri sunulmaktadır: cari hesap kayıtları, satış faturası tipli belgeler, iş emri girişleri ve müşteri sipariş belgeleri için çeşitli güvenlik kısıtlamaları gösterilmektedir.

      • youtube.com

    • DevSecOps Giriş Eğitimi

      Bu video, uygulama güvenliği konusunda tecrübeli bir eğitimci tarafından sunulan yaklaşık iki saatlik bir DevSecOps giriş eğitimidir. Eğitimci, yıllardır uygulama güvenliği alanında çalışmaktadır. Video, uygulama güvenliği ve yazılım geliştirme süreçlerinin zaman içindeki değişimlerini anlatarak başlıyor, ardından DevOps sürecinde güvenlikçilerin rolünü, kod güvenliği, GitHub özellikleri, statik ve dinamik kod analizi araçlarını, otomatik tarama sistemlerini ve uygulama güvenlik süreçlerini detaylı şekilde ele alıyor. İçerik, semantik analiz araçları, pull request analizleri, CI/CD pipeline entegrasyonları ve canlı ortamda güvenlik önlemleri gibi konuları kapsamaktadır. Eğitim, kod içinde sensitive verilerin saklanmaması, GitHub Dependabot, Semgrep, CodeQL gibi araçların kullanımı, Docker ve Kubernetes ile otomatik tarama sistemlerinin kurulumu, Cloudflare ve WAF gibi güvenlik çözümleri ve developerların güvenlik eğitiminin önemi gibi pratik bilgiler sunmaktadır. Ayrıca, credencial stuffing ataklarından korunma, pentest, bug bounty programları ve zaafiyet tespit teknikleri de videoda ele alınan konular arasındadır.

      • youtube.com

    • Donanım Bana Kaldırma Hakkında Bilgilendirme

      Bu video, bir içerik üreticisinin donanım bana kaldırma konusunda bilgilendirme yaptığı bir eğitim içeriğidir. Videoda donanım bana kavramı açıklanarak, bu banın anakarta, işlemciye veya ekran kartına atılan ve değiştirilmediği sürece kaldırılamayan bir ban olduğu belirtiliyor. İçerik üreticisi, donanım bana kaldırma programlarının genellikle kısa süreli (3-4 gün) çalıştığını, oyun yapımcıları tarafından tespit edildiğinde fixlendiğini ve bu nedenle sınırsız kullanılamayacağını vurguluyor. Ayrıca, bazı kişilerin bu programları yalan veya sahte olarak nitelendirmesinin mantıksız olduğunu, bunların sadece anlık çözüm sunabileceğini açıklıyor.

      • youtube.com

    • Bylock Tespit Değerlendirme Tutanağı Hakkında Bilgilendirme

      Bu video, konuşmacının Bylock tespit değerlendirme tutanağı hakkında bilgi verdiği bir eğitim içeriğidir. Konuşmacı, yazılımcı olduğunu belirterek teknik bilgiler paylaşmaktadır. Video, Bylock tespit değerlendirme tutanağının doğruluğunu sorgulayan dört temel durumu açıklamaktadır: IP numaraları arasındaki uyumsuzluklar, tarih farklılıkları, saat farklılıkları ve lok dökümündeki giriş hareketleri. Konuşmacı, bu dört durumun tespit değerlendirme tutanağının uydurma olduğunu gösterdiğini ve 2018/87 esas 2018/1462 soru kararında belirtilen eşleştirme koşullarının doğru olması durumunda kişinin Bylock kullanıcısı olarak değerlendirilebileceğini vurgulamaktadır. Ayrıca MIT raporu ile resmi atanmış bilirkişi raporu arasındaki çelişkiler de ele alınmaktadır.

      • youtube.com

    • Loglama Güvenliği: Login Injection ve Cheatsheet

      Bu video, bir eğitim dersi formatında sunulmuş olup, konuşmacı loglama güvenliği konusunda bilgi vermektedir. Video, loglama güvenliği kapsamında login injection ve cheatsheet konularını ele almaktadır. Konuşmacı önce login injection'in ne olduğunu açıklayıp, bunu nasıl engelleyebileceğimizi (input validation, problemli karakterleri etkisiz hale getirme, output encode etme, database longlama) anlatmaktadır. Ardından OBS'ın loglama önerileri üzerinden hangi eventlerin loglanması gerektiğini ve hangilerinin (password, session, database connection string'leri) loglanmaması gerektiğini açıklamaktadır. Son olarak, örnek kodlar üzerinden login injection'in nasıl yapıldığını ve bunun nasıl çözülebileceğini göstermektedir.

      • youtube.com

    • İkinci El Cihaz Alırken Dikkat Edilmesi Gerekenler

      Bu video, bir vatandaş tarafından yapılan kısa bir uyarı içeriğidir. Konuşmacı, ikinci el cihaz alırken dikkat edilmesi gereken önemli bir konuyu paylaşıyor. Videoda, ikinci el cihaz alırken kapalı kutu cihaz tercih edilmesi veya alınan cihazların orijinal yazılımının atılması gerektiği vurgulanıyor. Konuşmacı, bu cihazların üzerinde zararlı yazılımlar (Bylock gibi) barındırabileceğini ve bu nedenle terör örgütüne yardım edilebileceğini belirtiyor. Ayrıca, gençlerin bu konuda bilinçsiz alımlar yaptığını ve bu konuda halkın bilinçlendirilmesi gerektiğini ifade ediyor.

      • youtube.com

    • Oyun Crack Sorunu Hakkında Sohbet

      Bu video, iki kişi arasında geçen kısa bir sohbet formatındadır. Konuşmacılardan biri "abi" olarak hitap edilen kişi, diğer konuşmacı ise "Mis Pisagor" olarak tanıtılmaktadır. Videoda, Codex, Skidro gibi yapımların neden crack oyunlardan dolayı önüne geçilemediği konusu ele alınmaktadır. Konuşmacı, güvenlik sistemlerinin insan tarafından yazıldığını ve aynı şekilde insan tarafından çözülebileceğini açıklamaktadır. Denuvo gibi güvenlik sistemlerinin bile zamanla çözüldüğü ve yeni güvenlik sistemlerinin üç günde yeni bir tane çıkacağı, ilk çıkan oyunların iki-üç ay çıkmayacağı, sonra diğerlerinin hızlıca çıkacağı belirtilmektedir.

      • youtube.com

    • Statik Kod Analizi Hakkında Eğitim Videosu

      Bu video, statik kod analizi konusunda bilgilendirici bir eğitim içeriğidir. Video, statik kod analizinin ne olduğunu açıklayarak başlıyor ve bu test yönteminin uygulama sızma testleri bağlamında whitebox testi olarak değerlendirildiğini belirtiyor. Ardından statik kod analizinin dinamik pen testlere göre avantajları detaylı şekilde anlatılıyor. Son bölümde ise statik kod analizinde tespit edilebilecek güvenlik açıkları (hard code erişim bilgileri, hata ele alma kodlarının eksikliği, debugloglama bölümlerinin kalması, kullanıcı parolaların açık olarak saklanması) ve veri validasyonunun önemi örneklerle açıklanıyor.

      • youtube.com
  • Yazeka sinir ağı makaleleri veya videoları özetliyor