<div>Burada OWASP Toronto chapter toplantisinda bir sunum/tartismada Hailstorm kullanicilarinin konfigure edilebilme ve testleri automate etme acisindan cok memnun olduklari ortaya cikti. Daha once cok fazla dikkat etmedigim bu yazilim da favori olabilir. 
</div>
<div>&nbsp;</div>
<div>IBM Watchfire&#39;i, HP de WenInspect&#39;i satin aldi. Bakalim oyunun kurallari bundan sonra nasil degisecek.</div>
<div>&nbsp;</div>
<div>Kaan<br><br>&nbsp;</div>
<div><span class="gmail_quote">On 7/20/07, <b class="gmail_sendername">Ferruh Mavituna</b> &lt;<a href="mailto:ferruh@mavituna.com">ferruh@mavituna.com</a>&gt; wrote:</span>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">WebKing e biraz baktim ama black-box testler icin o kadar kullanisli olacagini sanmiyorum cunku guvenlikten zok kaliteye yonelmis bir yazilim gibi. Ya da bir suru kural yazmak gerekecek gibi.
<br><br>Ben daha onceden hailstrom un en kucuk paketini denemistim, pek verimli degildi acikcasi. 
<div><span class="e" id="q_113e2c5fd68674a5_1"><br><br>
<div><span class="gmail_quote">On 20/07/07, <b class="gmail_sendername">Deniz Cevik</b> &lt;<a onclick="return top.js.OpenExtLink(window,event,this)" href="mailto:Deniz.Cevik@intellect.com.tr" target="_blank">Deniz.Cevik@intellect.com.tr
</a>&gt; wrote:</span> 
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0pt 0pt 0pt 0.8ex; BORDER-LEFT: rgb(204,204,204) 1px solid">
<div lang="EN-US" vlink="blue" link="blue">
<div>
<p><font face="Arial" color="navy" size="2"><span style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">Cenzic&#39;I denemedim ama bu üçü oldukça iyi Webking&#39;I de listenize eklemenizi tavsiye ederim. Özellikle amerika pazarında etkili bir ürün olarqak gözüküyor.
</span></font></p>
<p><font face="Arial" color="navy" size="2"><span style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">&nbsp;</span></font></p>
<div>
<div style="TEXT-ALIGN: center" align="center"><font face="Times New Roman" size="3"><span style="FONT-SIZE: 12pt">
<hr align="center" width="100%" size="2">
</span></font></div>
<p><b><font face="Tahoma" size="2"><span style="FONT-WEIGHT: bold; FONT-SIZE: 10pt; FONT-FAMILY: Tahoma">From:</span></font></b><font face="Tahoma" size="2"><span style="FONT-SIZE: 10pt; FONT-FAMILY: Tahoma"> Ferruh Mavituna [mailto:
<a onclick="return top.js.OpenExtLink(window,event,this)" href="mailto:ferruh@mavituna.com" target="_blank">ferruh@mavituna.com</a>] <br><b><span style="FONT-WEIGHT: bold">Sent:</span></b> Thursday, July 19, 2007 6:31 PM<br>
<b><span style="FONT-WEIGHT: bold">To:</span></b> Enis Karaarslan; Deniz Cevik<br><b><span style="FONT-WEIGHT: bold">Cc:</span></b> <a onclick="return top.js.OpenExtLink(window,event,this)" href="mailto:owasp-turkey@lists.owasp.org" target="_blank">
owasp-turkey@lists.owasp.org</a><br><b><span style="FONT-WEIGHT: bold">Subject:</span></b> Re: [Owasp-turkey] Web Uygulamasi Guvenlik Tarayicilari</span></font></p></div>
<div><span>
<p><font face="Times New Roman" size="3"><span style="FONT-SIZE: 12pt">&nbsp;</span></font></p>
<p style="MARGIN-BOTTOM: 12pt"><font face="Times New Roman" size="3"><span style="FONT-SIZE: 12pt">Herkese selamlar,<br><br>OWASP&#39; in sayfasini kacirmisim gerci pek aktif gibi de degil, sayfayi guncellemek lazim aslinda.
<br><br>&quot;Dr. Holger Peine&quot; in o yazisini okumustum ancak bir defa daha okumak icin arayinca bulamadim, sonradan da kendi arsivlerimde bir yerde kaydettigimi buldum. Dediginiz gibi internette olmadigindan ben bu e-mail a da attachment olarak onu ekledim. 
<br><br></span></font><font face="Verdana" color="navy" size="2"><span style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Verdana">XSS ve SQL İnjection testlerinde ise False positive oranı eğer iyi ayarlanmaz ise artabiliyor. Bu ürünleri genellikle burpsuite gibi daha fazla kullanıcı etkileşimi gerektiren ürünler ile desteklemeye çalışyorum. Büyük sitelerde ise nelerin craw edileceği iyi ayarlanmaz ise gereksiz yere saatlerce tarama sürebiliyor. Bu konuda bence watchfire webinspect&#39;e gore daha iyi. En azından testin ne zaman biteceğini kestirebiliyorsunuz.
<br><br></span></font>Ozellikle crawl konusuna katiliyorum. <br><br>Milescan&#39; da listemdeydi. Acikcasi cok bir sey beklemiyorum ama bizi sasirtabilir. Typhon III bildigim kadariyla biraz eski ve uzerinde de NGS pek dusmuyor galiba o yuzden ondan da cok bir sey beklemiyorum ama bakalim. 
<br><br>Su an listemde su yazilimlar var,</p>
<ul type="disc">
<li><b><font face="Times New Roman" size="3"><span style="FONT-WEIGHT: bold; FONT-SIZE: 12pt">WebInspect 7</span></font></b> 
<li><b><font face="Times New Roman" size="3"><span style="FONT-WEIGHT: bold; FONT-SIZE: 12pt">Acunetix</span></font></b> 
<li><b><font face="Times New Roman" size="3"><span style="FONT-WEIGHT: bold; FONT-SIZE: 12pt">AppScan</span></font></b> 
<li><font face="Times New Roman" size="3"><span style="FONT-SIZE: 12pt">Nstealth</span></font> 
<li><font face="Times New Roman" size="3"><span style="FONT-SIZE: 12pt">Typhon III</span></font> 
<li><b><font face="Times New Roman" size="3"><span style="FONT-WEIGHT: bold; FONT-SIZE: 12pt">HailStorm Pro</span></font></b> </li></li></li></li></li></li></ul>
<p style="MARGIN-BOTTOM: 12pt"><font face="Times New Roman" size="3"><span style="FONT-SIZE: 12pt">Kalin yazdiklarim daha umutlu olduklarim, onlarin haricinde pek umudum olmasa da gene de denemeye calisacagim.<br><br>Herhalde yukaridaki harici bunlara rakip olabilecek kacirdigimiz bir yazilim yok. 
</span></font></p>
<div>
<p><span><font face="Times New Roman" size="3"><span style="FONT-SIZE: 12pt">On 12/07/07, <b><span style="FONT-WEIGHT: bold">Enis Karaarslan</span></b> &lt;<a onclick="return top.js.OpenExtLink(window,event,this)" href="mailto:enis.karaarslan@ege.edu.tr" target="_blank">
enis.karaarslan@ege.edu.tr</a>&gt; wrote:</span></font></span></p>
<p style="MARGIN-BOTTOM: 12pt"><font face="Times New Roman" size="3"><span style="FONT-SIZE: 12pt">selamlar,<br><br>Ben Acunetix gibi çeşitli black box vulnerability texting programlarını<br>denedim. Ama bunlar hakkında detaylı bir inceleme için
<br>Dr. Holger Peine&#39;in çok kapsamlı bir araştırması var, onu tavsiye edebilirim <br><br>2006, Security Test Tools for Web Applications, IESE Report-Nr. 048.06/D, A<br>Fraunhofer IESE Publication,<br><br>Gerçi<br><a onclick="return top.js.OpenExtLink(window,event,this)" href="http://www.iese.fraunhofer.de/download/Security-Checker-Tools-for-Web-Applications.pdf" target="_blank">
http://www.iese.fraunhofer.de/download/Security-Checker-Tools-for-Web-Applications.pdf </a><br>çalışmıyor ama istenirse ortak bi alana koyabiliriz.<br><br>Bunun yanı sıra, Owasp&#39;ın bu tür tool&#39;ları inceleyen alt grupları var- Ferruh 
<br>Bey biliyordur gerçi ama bilmeyenler için:<br><a onclick="return top.js.OpenExtLink(window,event,this)" href="http://www.owasp.org/index.php/Category:OWASP_Tools_Project" target="_blank">http://www.owasp.org/index.php/Category:OWASP_Tools_Project
</a><br><br>incelenebilecek ilginc bir benchmark icin: <br><a onclick="return top.js.OpenExtLink(window,event,this)" href="http://www.virtualforge.de/whitepapers/web_scanner_benchmark.pdf" target="_blank">http://www.virtualforge.de/whitepapers/web_scanner_benchmark.pdf
</a><br><br>Enis Karaarslan<br><br>On Thursday 12 July 2007 00:15:24 Ferruh Mavituna wrote: <br>&gt; Selamlar,<br>&gt;<br>&gt; Farkli web uygulamasi guvenlik tarayicilari hakkinda kucuk bir arastirma<br>&gt; yapiyor ve tabiri caizse kendime gore en iyisini bulmaya calisiyorum. Web
<br>&gt; Inspect harici kullandiginiz ya da daha onceden kullanma sansina sahip <br>&gt; oldugunuz tarayicilar hangileri, ne kadar memnun kaldiniz ? Zayif kalan<br>&gt; yanlari neydi?<br>&gt;<br>&gt; Ve genel fikirleriniz nelerdir? Ya da piyasaya yeni giren guzel yazilimlar
<br>&gt; var mi ?<br>&gt;<br>&gt; Benim 1 yil once kadarki testlerimde ben en cok Acunetix ile Web Inspect i<br>&gt; begenmistim. Bunun harici piyasada bir cok yazilim. Hailstorm, Appscan,<br>&gt; Nstealth hatta maxpatrol (network temelli ama web kismi da var) hemen 
<br>&gt; aklima gelenler.<br>&gt;<br>&gt; Kisisel testlerimden sonra notlarimi da tekrar burada kisa sekilde<br>&gt; yayinlamaya calisacagim.<br>&gt;<br>&gt;<br>&gt;<br>&gt; Tesekkurler,<br><br><br><br>--<br>-------------------------- 
<br>Enis Karaarslan<br>Ege Üniversitesi<br>Kampüs Network Yöneticisi<br>--------------------------</span></font></p></div>
<p><font face="Times New Roman" size="3"><span style="FONT-SIZE: 12pt"><br><br clear="all"><br>-- <br>Ferruh Mavituna<br><a onclick="return top.js.OpenExtLink(window,event,this)" href="http://ferruh.mavituna.com/" target="_blank">
http://ferruh.mavituna.com </a></span></font></p></span></div></div></div></blockquote></div><br><br clear="all"><br>-- <br>Ferruh Mavituna<br><a onclick="return top.js.OpenExtLink(window,event,this)" href="http://ferruh.mavituna.com/" target="_blank">
http://ferruh.mavituna.com</a> </span></div><br>_______________________________________________<br>Owasp-turkey mailing list<br><a onclick="return top.js.OpenExtLink(window,event,this)" href="mailto:Owasp-turkey@lists.owasp.org">
Owasp-turkey@lists.owasp.org</a><br><a onclick="return top.js.OpenExtLink(window,event,this)" href="https://lists.owasp.org/mailman/listinfo/owasp-turkey" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-turkey
</a><br><br></blockquote></div><br>