Web servis kodlaniyorsa yapacak çok şey var ancak sadece kullanıcı ise ssl arkasına alınmış ve kullanıcı yetkilendirmesi olan servis talep etmekten başka pek de bir şey kalmıyor. Kullanıcı yetkilendirmesi derin bir konu. Statik ip adresinden tutun, çipli kart okuyucuya, sertifikadan tutun, kullanıcı adı doğrulamaya kadar onlarca yetkilendirme sistemi mevcut.
Saygılarımla, Yalçın Görmez +90 545 853 66 77 +90 555 853 66 77 +90 850 304 56 77 16 May 2017 ÖS 4:47 tarihinde "ebubekir bastama" < [email protected]> yazdı: Arkadaşlar Web Servisler ne kadar güvenli olsada kodlayıcısının mantık vb. hatalar yapmasıyla büyük hatalar doğurabiliyor.Bu konuda bir çok firmanın aslında web servislerin okadarda güvenli olmadığını firmalara testlerim'de bildirdim.Eğer kodlamada doğru düzgün kodlanmamışsa düşük seviyeli kullanıcı tüm database'i çekebilir... ------------------------------ *Gönderen:* Ömer Faruk Acar <[email protected]> adına Liste < [email protected]> *Gönderildi:* 16 Mayıs 2017 Salı 13:16 *Kime:* [email protected] *Konu:* Re: [NetsecTR] Web Service Security (WS Security ) Merhaba, aşağıda 2012 yılında yazmış olduğum bir yazıdan alıntı olarak sorunuza cevap olabilecek kısmı paylaşıyorum. Web servisleri konusunda dünya genelinde kabul görmüş organizasyonlar listelenecek olursa; - *OASIS* (The Organization for the Advancement of Structured Information Standards) - *W3C* (The World Wide Web Consortium) - *WS-I* (The Web Services Interopability Organization) - *IETF* (The Internet Engineering Task Force) Bu organizasyonlar ve bu katmanda ürün piyasaya süren *(IBM,Oracle – BEA, Microsoft, Software Ag, v.s.)* şirketler tarafından Şekil -1 deki standartlar belirlenerek güvenli bir şekilde entegrasyonun sağlanması amaçlanmaktadır. [image: 1.png] Şekil -1. Web Servis Güvenlik Standartları Bu standartlar genel olarak WS-Security standartları olarak adlandırılır. Farklı web servis üreticileri için aralarında paylaşımın güvenli şekilde sağlanmasında da *“WS-Federation”* standartları benimsenmiştir. 15 Mayıs 2017 12:43 tarihinde Vahit GUMUS <[email protected]> yazdı: > Merhabalar, > > > > Bazı yüklenici firmalarla web servis üzerinden data transferleri > yapılıyor. Bu trafiğin güvenliğini sağlamak için hangi standartlara > uymalarını zorunlu tutmalıyız? > > > > Teşekkürler. > > > > > > > > Bu elektronik posta ve onunla iletilen butun dosyalar sadece gondericisi > tarafindan almasi amaclanan yetkili gercek ya da tuzel kisinin kullanimi > icindir.Eger soz konusu yetkili alici degilseniz bu elektronik postanin > icerigini aciklamaniz, kopyalamaniz, yonlendirmeniz ve kullanmaniz > kesinlikle yasaktir ve bu elektronik postayi derhal silmeniz gerekmektedir. > Turk Eximbank bu mesajin icerdigi bilgilerin dogrulugu veya eksiksiz oldugu > konusunda herhangi bir garanti vermemektedir. Bu nedenle bu bilgilerin ne > sekilde olursa olsun iceriginden,iletilmesinden, alinmasindan ve > saklanmasindan sorumlu degildir. Bu mesajdaki gorusler yalnizca gonderen > kisiye aittir ve Turk Eximbank'in goruslerini yansitmayabilir. Bu e-posta > bilinen butun bilgisayar viruslerine karsi taranmistir. Ancak yollayici, bu > e-posta mesajinin - virus koruma sistemleri ile kontrol ediliyor olsa bile > - virus icermedigini garanti etmez ve meydana gelebilecek zararlardan > dogacak hicbir sorumlulugu kabul etmez. > > This e-mail and any files transmitted with it are confidential and > intended solely for the use of the individual or entity to whom they are > addressed. If you are not the intended recipient you are hereby notified > that any dissemination, forwarding, copying or use of any of the > information is strictly prohibited, and the e-mail should immediately be > deleted. Turk Eximbank makes no warranty as to the accuracy or completeness > of any information contained in this message and hereby excludes any > liability of any kind for the information contained therein or for the > information transmission, reception, storage or use of such in any way > whatsoever. The opinions expressed in this message belong to sender alone > and may not necessarily reflect the opinions. > > ------------------------------------------------- > BGA Wiki - Penetration Test Wiki > > http://wiki.bgasecurity.com/Kategori:Pentest > > ------------------------------------------------- > ------------------------------------------------- BGA Wiki - Penetration Test Wiki http://wiki.bgasecurity.com/Kategori:Pentest -------------------------------------------------
------------------------------------------------- BGA Wiki - Penetration Test Wiki http://wiki.bgasecurity.com/Kategori:Pentest -------------------------------------------------
