Your SlideShare is downloading. ×
Dogus University-Web Application Security
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Dogus University-Web Application Security

1,738
views

Published on

Published in: Education, Technology, Business

0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,738
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
50
Comments
0
Likes
2
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. NASIL WEB UYGULAMASI GÜVENLİĞİ UZMANI OLUNUR ?
      • DOĞUŞ ÜNİVERSİTESİ
      • 06.11.2008
  • 2. Ben Kimim ?
    • Mesut TİMUR
      • Gebze Yüksek Teknoloji Enstitüsü
        • Bilgisayar Mühendisliği, 4.sınıf
      • Pro-G Bilgi Güvenliği ve Araştırma LTD
        • Bilişim Güvenliği Denetimi Uzmanı
      • OWASP Türkiye / Web Güvenliği Topluluğu
  • 3. İçerik
    • Giriş
      • Neden Web Uygulaması Güvenliği ?
      • Web Uygulaması
      • Teknolojiler
      • Web Uygulaması İç Yapısı
    • 1.Adım Çok Çalışmak Gerek
    • OWASP
      • Neler Yapar ?
      • Summer of Code
      • OWASP-TR
    • Kitaplar
    • 2.Adım : WUG Literatürü
      • SQL Enjeksiyonu
      • Uzaktan Dosya Ekleme
      • Siteler Arası Betik Çalıştırma
      • XSRF
    • 3. Adım : Oyun Zamanı
      • Webgoat
      • Damn Vulnerable Linux
    • 4.Adım : Derinleşmek
    • 5.Adım : Yeni Kalmak
  • 4. Neden Web Uygulaması Güvenliği ?
      • The Gartner Group states, "Today over 70% of attacks against a company's Web site or Web application come at the 'Application Layer' not the Network or System layer.
  • 5. Web Uygulaması
  • 6. Teknolojiler
    • İstemci Taraflı
      • HTML
      • CSS
      • AJAX
      • JavaScript
    • Sunucu Taraflı
      • CGI Dili
        • PHP
      • Veritabanı
        • MySQL (?)‏
        • XML
  • 7. Web Uygulaması İç Yapısı
  • 8. Temel Kural
      • Eğer bir konunun güvenliğini öğrenmek istiyorsanız, öncelikli olarak o konuda derinlemesine bilgi sahibi olmalısınız
  • 9. 1.Adım : Çok Çalışmak Gerek
    • İstemci Tarafı
      • Firefox / IE / Opera
        • AJAX
        • CSS
        • Flash
        • HTML/DHTML
        • JavaScript
        • VBScript
    • Ortak Öğeler
      • İletişim Protokolleri
        • HTTP
    • Sunucu Tarafı
      • Web Sunucu
        • IIS / Apache/ Tomcat
      • Web Programlama Dili
        • Perl / PHP / Ruby / Python
        • ASP.net / JSP
      • Veritabanı
        • MSSQL / Oracle
        • MySQL / PostgreSQL / DB2 /
        • XML / Access
  • 10. Web Uygulaması Güvenliği
      • Web application security is the protection of your web application and its resources from threats coming from the Internet, such as stealing ...
  • 11. OWASP
    • Open Web Application Security Projest (OWASP)‏
    • Tüm OWASP ürünleri ücretsiz ve açıktır.
    • Güvensiz yazılımların sebep oldukları açıkları bulup, bunlarla mücadele eden bir topluluktur.
    • Kar amacı gütmez
    • Topluluğa ait rakamlar
      • 180+ (Chapter)‏
      • 30+ Sponsor
      • 50+ Proje
      • 100+ E-posta listesi
      • Aylık bir milyon üzerinde ziyaret
  • 12. OWASP Neler Yapar? Araçlar Topluluk Dökümanlar Testing Guide Wiki WebGoat WebScarab Bölgeler (chapters)‏ Günlükler (blogs)‏ Çeviriler Konferanslar Forumlar Top 10 Legal AppSec FAQ Metrics … Live CD .NET Research LAPSE …
  • 13. OWASP - Summer of Code 2008
    • OWASP da bulunan ve ya ilave edilebilecek projeler geliştirilir.
    • Proje geliştiricilerine maddi destekler sağlanır.
    • Projeler, geliştiricilerinin adlarıyla OWASP sitesinden yayınlanır
    • Projeler açık kaynak kodlu olarak yayınlanır.
  • 14. OWASP-TR Varolan Projeler
      • WeBekci
      • Jarvinen
      • Çeviri Projesi
      • Sözlük
      • Web Saldırı Olayları Veritabanı
      • SqliBench
      • DB StEv
      • CAMMP
      • SecureImage/JSecureImage/NSecureImage
      • WIVET
  • 15. OWASP-TR Yeni Projeler
    • WeBekci 2
    • MSALParser
    • Apache Tomcat Denetim Kılavuzu ve Beti ğ i
    • Uygulama Güvenliği E ğ itimleri – Üniversiteler
    • ???
  • 16. Kitaplar
    • The Web Application Hacker's Handbook: Discovering and Exploiting Security Flaws
      • Stuttard, Dafydd; Pinto, Marcus
    • Hacking Exposed Web Applications
      • Joel Scambray , Mike Shema, Caleb Sima
  • 17. Kitaplar
    • Essential PHP Security
      • Chris Shiflett 
    • Ajax Security
      • Bill Hoffman, Bryan Sullivan
  • 18. 2.Adım : WUG Literatürü
    • Temel Başlıklar :
      • XSS
      • Enjeksiyon Hataları
      • Zararlı Dosya Çalıştırma
      • Güvensiz Doğrudan Kaynak Referansı
      • CSRF
      • Bilgi İfşası
      • Yetersiz Kimlik Doğrulama ve Oturum Yönetimi
      • Güvensiz Kriptoğrafik Depolama
      • Güvensiz Bağlantı
  • 19. SQL Enjeksiyonu
    • Web sunucudan ,arka taraftaki SQL sunucuya giden SQL sorgularını manipüle edebilmek.
    • Yapılabilecekler :
      • Veritabanındaki tüm verilere erişim
      • Veritabanı sunucusunu ele geçirmek
  • 20. Uzaktan Dosya Ekleme
    • PHP ortamında görülen bir zafiyettir
    • Hedef web sunucuya istenilen dosyanın eklenmesiyle gerçekleştirilebilir.
    • Sunucuya arka kapılar kurulabilir.
    • Yapılabilecekler :
      • Tüm sistemi ele geçirmek
  • 21. Siteler Arası Betik Çalıştırma
    • Cross site scripting (XSS), bir bilgisayar güvenlik açığıdır. Saldırgan, HTML kodlarının arasına istemci tabanlı kod gömmesiyle, kullanıcının tarayıcısında istediği istemci tabanlı kodu çalıştırabilir.
    • Yapılabilecekler :
      • Oturum çalmak
      • Phishing saldırıları
      • Kurbanın internet tarayıcısı ele geçirmek
  • 22. 3.Adım : Oyun Zamanı
    • Oyun Alanı :
      • Webgoat
      • Damn Vulnerable Linux
      • Hackme Bank
  • 23. Webgoat
    • Bir OWASP projesidir
    • Web güvenliği ile ilgili aşama aşama zafiyet içeren uygulamalar barındırır
    • Her aşamada, ilgili güvenlik açığı kullanılarak ilerlenmelidir.
  • 24. Damn Vulnerable Linux
    • Zafiyet içeren gerçek uygulamaları ve saldırı araçlarını barındırır.
      • 0000125: [Web Exploitation] Add Joomla <= 1.0.9 (Weblinks) Remote Blind SQL Injection Exploit
      • 0000126: [Web Exploitation] Add Joomla <=1.0.7 (feed) Denial of Service Exploit
      • 0000123: [Web Exploitation] Add PHPNuke 7.8
      • 0000099: [Web Exploitation] Add PhpBB 2.0.12 Session Handling Authentication Bypass
      • 0000100: [Web Exploitation] Add WordPress 1.5.1.1 SQL Injection
      • 0000101: [Web Exploitation] Add Nabopoll 1.2 Remote File Inclusion, Remote Configuration Disclosure
  • 25. 4. Adım : Derinleşmek
    • Otomatik web uygulaması güvenliği tarayıcıları incelenebilir
      • Ne gibi atak türlerini gerçekliyorlar ?
      • Bu atak türlerini nasıl gerçekliyorlar ?
    • Zafiyet içeren uygulamaların çalıştığı sunuculara web uygulaması güvenlik duvarları kurulabilir
      • Savunma kanadı nasıl çalışıyor ?
      • Aktif saldırıları ne şekilde kestiği görülebilir.
  • 26. Derinleşmek :: Geliştirme
    • Bir otomatik web uygulaması güvenliği tarayıcısı yazılabilir
      • Bu şekilde ataklar çok daha iyi kavranabilir.
    • Uygulama güvenlik duvarı yazılabilir
      • Savunma teknikleri iyi şekilde etüd edilir.
      • Varolan savunma tekniklerindeki zafiyetler belirlenebilir.
      • Yeni savunma teknikleri geliştirilebilir.
  • 27. 5.Adım : Yeni Kalmak
    • Konsept ile ilgili
      • Maillistler
      • Web siteleri / bloglar
      • Projeler takip edilmeli ve mümkün olduğunca katılımda bulunulmalı.
    • Araştırma yapmak
    • Makale yazıp yayınlamak.
    • Yazılım geliştirme
  • 28. Demo
    • SQL Injection demonstrasyonu
  • 29. Teşekkürler
    • Mesut TİMUR
      • [email_address]
    • http://www.owasp.org
    • http://www.webguvenligi.org
    • http://www.h-labs.org