• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Oylg2013 web uygulamalari sizmatesti
 

Oylg2013 web uygulamalari sizmatesti

on

  • 1,087 views

 

Statistics

Views

Total Views
1,087
Views on SlideShare
918
Embed Views
169

Actions

Likes
2
Downloads
39
Comments
0

1 Embed 169

https://twitter.com 169

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Oylg2013 web uygulamalari sizmatesti Oylg2013 web uygulamalari sizmatesti Presentation Transcript

    • Web Uygulama Sızma Testleri Hakkımda• Mehmet Dursun Ince• Uygulama Güvenliği ve Sızma Testleri alanında çalışmalar gerçekleştirmekte.• mehmet@prodaft.com• twitter.com/mmetince Proactive Defense Against Future Threats
    • Web Uygulama Sızma TestleriWeb Uygulama Güvenlik Testleri Nasıl Yapılır ? Black Box Pentest White Box Pentest Proactive Defense Against Future Threats
    • Web Uygulama Sızma TestleriGüvenlik Açıkları Nasıl Oluşur ? 1.Mühendislik Hataları ? 2.Programlama Diline Hakimiyet ? 3.İşletim Sistemine Hakimiyet ? 4.Framework’e Güvenmek ? 5.Unutkanlık Proactive Defense Against Future Threats
    • Web Uygulama Sızma TestleriTOP #10 Vulnerability A1-Injection A2-Cross Site Scripting (XSS)A3-Broken Authentication and Session Management A4-Insecure Direct Object References A5-Cross Site Request Forgery (CSRF) A6-Security Misconfiguration A7-Insecure Cryptographic Storage A8-Failure to Restrict URL Access A9-Insufficient Transport Layer Protection A10-Unvalidated Redirects and Forwards Proactive Defense Against Future Threats
    • Web Uygulama Sızma TestleriÖrnek Web Mimarisi - 1 DB-1 IIS /Apache DB-2 Proactive Defense Against Future Threats
    • Web Uygulama Sızma TestleriÖrnek Web Mimarisi - 2 IIS /Apache DB-1 Load IIS Balancer /Apache DB-2 IIS /Apache Proactive Defense Against Future Threats
    • Web Uygulama Sızma Testleri Web Services DB-1 IIS /Apache Load Balancer IIS /Apache DB-2 IIS /ApacheProactive Defense Against Future Threats
    • Web Uygulama Sızma Testleri HTTP Requestleri Nasıl Değiştirilir ?• Web uygulama güvenlik testleri, hedef web sitesine giden HTTP taleplerinin analizi/değiştirilmesi ile gerçekleştirilir.• Firefox – Live HTTP headers – Tamper Data – Hackbar• Burp Suite Proactive Defense Against Future Threats
    • Web Uygulama Sızma Testleri INPUTProactive Defense Against Future Threats
    • Web Uygulama Sızma TestleriWeb Uygulamalarında SQL Injection Proactive Defense Against Future Threats
    • Web Uygulama Sızma Testleri Web Uygulamalarında SQL Injection• Kullanıcı girdisi : – Kisaad = ahmet – Parola = 123456• Hacker girdisi : – Kisaad = hacker or 1=1 – Parola = hacker or 1=1 Proactive Defense Against Future Threats
    • Web Uygulama Sızma Testleri Web Uygulamalarında Output Encoding DATABASE Online T-Shirt Sipariş Takip Sipariş Modülü Kullanıcıdan gelen datalar veri tabanı sistemi üzerinde tutulmaktadır. Bu datalar farklı modüllerde kullanılmaktadır. Örnek Senaryo : Alış veriş sitesinden t-shirt siparişi veren kullanıcılar,t-shirt’in üstüne yazılacak yazıya karar verebilmektedirler. Bu bilgi kullanıcıdan alınarak veri tabanında tutulur. Ardından Sipariş Takip Modül’ü ile şirket çalışanlarına iletilir. Proactive Defense Against Future Threats
    • Web Uygulama Sızma Testleri Web Uygulamalarında İzinler www.gsmsirketi.com/faturalar/fatura_listeSELECT fatura_id,fatura_ay FROM Faturalar WHERE fatura_uid= 1 www.gsmsirketi.com/faturalar/fatura_id/18234 SELECT * FROM Fatura_detay WHERE fatura_id = 18234 Proactive Defense Against Future Threats
    • Web Uygulama Sızma Testleri CSRFProactive Defense Against Future Threats
    • Web Uygulama Sızma TestleriWeb Uygulamalarında Oturumlar Proactive Defense Against Future Threats
    • Web Uygulama Sızma TestleriWeb Uygulamalarında Oturumlar Proactive Defense Against Future Threats
    • Web Uygulama Sızma TestleriWeb Uygulamalarında Oturumlar Proactive Defense Against Future Threats
    • Web Uygulama Sızma TestleriWeb Uygulamalarında Oturumlar Proactive Defense Against Future Threats
    • Web Uygulama Sızma Testleri UYGULAMA SQL InjectionProactive Defense Against Future Threats
    • Web Uygulama Sızma Testleri UYGULAMA Stored XSSProactive Defense Against Future Threats
    • Web Uygulama Sızma Testleri UYGULAMAPHP Object Injection Proactive Defense Against Future Threats