Arkadaşlar Web Servisler ne kadar güvenli olsada kodlayıcısının mantık vb. hatalar yapmasıyla büyük hatalar doğurabiliyor.Bu konuda bir çok firmanın aslında web servislerin okadarda güvenli olmadığını firmalara testlerim'de bildirdim.Eğer kodlamada doğru düzgün kodlanmamışsa düşük seviyeli kullanıcı tüm database'i çekebilir...
________________________________ Gönderen: Ömer Faruk Acar <[email protected]> adına Liste <[email protected]> Gönderildi: 16 Mayıs 2017 Salı 13:16 Kime: [email protected] Konu: Re: [NetsecTR] Web Service Security (WS Security ) Merhaba, aşağıda 2012 yılında yazmış olduğum bir yazıdan alıntı olarak sorunuza cevap olabilecek kısmı paylaşıyorum. Web servisleri konusunda dünya genelinde kabul görmüş organizasyonlar listelenecek olursa; * OASIS (The Organization for the Advancement of Structured Information Standards) * W3C (The World Wide Web Consortium) * WS-I (The Web Services Interopability Organization) * IETF (The Internet Engineering Task Force) Bu organizasyonlar ve bu katmanda ürün piyasaya süren (IBM,Oracle – BEA, Microsoft, Software Ag, v.s.) şirketler tarafından Şekil -1 deki standartlar belirlenerek güvenli bir şekilde entegrasyonun sağlanması amaçlanmaktadır. [1.png] Şekil -1. Web Servis Güvenlik Standartları Bu standartlar genel olarak WS-Security standartları olarak adlandırılır. Farklı web servis üreticileri için aralarında paylaşımın güvenli şekilde sağlanmasında da “WS-Federation” standartları benimsenmiştir. 15 Mayıs 2017 12:43 tarihinde Vahit GUMUS <[email protected]<mailto:[email protected]>> yazdı: Merhabalar, Bazı yüklenici firmalarla web servis üzerinden data transferleri yapılıyor. Bu trafiğin güvenliğini sağlamak için hangi standartlara uymalarını zorunlu tutmalıyız? Teşekkürler. Bu elektronik posta ve onunla iletilen butun dosyalar sadece gondericisi tarafindan almasi amaclanan yetkili gercek ya da tuzel kisinin kullanimi icindir.Eger soz konusu yetkili alici degilseniz bu elektronik postanin icerigini aciklamaniz, kopyalamaniz, yonlendirmeniz ve kullanmaniz kesinlikle yasaktir ve bu elektronik postayi derhal silmeniz gerekmektedir. Turk Eximbank bu mesajin icerdigi bilgilerin dogrulugu veya eksiksiz oldugu konusunda herhangi bir garanti vermemektedir. Bu nedenle bu bilgilerin ne sekilde olursa olsun iceriginden,iletilmesinden, alinmasindan ve saklanmasindan sorumlu degildir. Bu mesajdaki gorusler yalnizca gonderen kisiye aittir ve Turk Eximbank'in goruslerini yansitmayabilir. Bu e-posta bilinen butun bilgisayar viruslerine karsi taranmistir. Ancak yollayici, bu e-posta mesajinin - virus koruma sistemleri ile kontrol ediliyor olsa bile - virus icermedigini garanti etmez ve meydana gelebilecek zararlardan dogacak hicbir sorumlulugu kabul etmez. This e-mail and any files transmitted with it are confidential and intended solely for the use of the individual or entity to whom they are addressed. If you are not the intended recipient you are hereby notified that any dissemination, forwarding, copying or use of any of the information is strictly prohibited, and the e-mail should immediately be deleted. Turk Eximbank makes no warranty as to the accuracy or completeness of any information contained in this message and hereby excludes any liability of any kind for the information contained therein or for the information transmission, reception, storage or use of such in any way whatsoever. The opinions expressed in this message belong to sender alone and may not necessarily reflect the opinions. ------------------------------------------------- BGA Wiki - Penetration Test Wiki http://wiki.bgasecurity.com/Kategori:Pentest -------------------------------------------------
------------------------------------------------- BGA Wiki - Penetration Test Wiki http://wiki.bgasecurity.com/Kategori:Pentest -------------------------------------------------
