Gazi Universitesi Bilisim Gunleri '09
Upcoming SlideShare
Loading in...5
×
 

Gazi Universitesi Bilisim Gunleri '09

on

  • 1,133 views

Gazi Üniversitesi Bilgisayar Mühendisliği Topluluğu tarafından hazırlanan Bilişim Günleri '09 etkinliğinde yaptığım sunum.

Gazi Üniversitesi Bilgisayar Mühendisliği Topluluğu tarafından hazırlanan Bilişim Günleri '09 etkinliğinde yaptığım sunum.

Statistics

Views

Total Views
1,133
Views on SlideShare
1,123
Embed Views
10

Actions

Likes
0
Downloads
9
Comments
0

2 Embeds 10

http://www.linkedin.com 7
http://localhost 3

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Gazi Universitesi Bilisim Gunleri '09 Gazi Universitesi Bilisim Gunleri '09 Presentation Transcript

  • Web Uygulamaları Güvenliği Onur YILMAZ www.owasp.org/index.php/Turkey www.webguvenligi.org www.onuryilmaz.info OWASP contact@onuryilmaz.info 13 Mayıs 2009 Copyright © The OWASP Foundation Gazi Üniversitesi Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation http://www.owasp.org
  • İçerik • Web Uygulamaları Güvenliği Kavramı • Web Uygulamalarına Yönelik Saldırılar • XSS (Cross-Site Scripting) • SQL Injection • OWASP • İletişim • Soru-Cevap 2
  • XSS (Cross-Site Scripting)  Saldırganın HTML kodlarının arasına istemci tabanlı kod gömmesiyle yapılan saldırı türüdür.  En çok kullanıldığı iki şekli;  Sayfa Yönlendirme  Hedef kullanıcıların çerez bilgilerinin çalınması  Önlemler  Encoding  QueryString ve Form`lardan alınan değerlerin filtrelenmesi  Demo 3
  • SQL Injection  SQL Nedir ?  SQL Injection, web uygulamalarında kullanıcıdan alınan veriler ile oluşturulan dinamik SQL sorgularının manipüle edilmesi şeklinde yapılan saldırılardır.  Hedef veritabanı yönetim sisteminin ve kullandığı sorgulama dilinin standartlarına göre SQL Injection atakları ile yapabilecekleriniz değişmektedir.  Genel manada veritabanındaki verilere ulaşmak amacıyla kullanılır 4
  • SQL Injection - II  Kullanıcıdan alınan verilerin filtrelenmemesi ve ham olarak SQL sorgusuna dinamik olarak eklenmesi, SQL Injection zafiyetini doğurmaktadır.  Video  Önlemler  Tüm meta-karakterlerden kaçınılmalıdır.  Parameterised Query kullanımına dikkat edilmelidir. 5
  • OWASP – Nedir?  Open Web Application Security Project (OWASP) t  Tüm OWASP ürünleri ücretsiz ve açıktır.  Güvensiz yazılımların sebep oldukları açıkları bulup, bunlarla mücadele eden bir topluluktur.  Kar amacı gütmez  Topluluga ait rakamlar  120+ (Chapter) 0  30+ Sponsor  50+ Proje  100+ E-posta listesi  Aylık bir milyon üzerinde ziyaret 6
  • OWASP Turkey – Web Güvenlik Topluluğu  Web uygulaması güvenliğine ülkemizde gerekli duyarlılığın gösterilmesini sağlamak  Web uygulaması güvenliği konusunda çalışan ve ilgi duyan arkadaşları bir platformda toplamak  Güvenlik konulu makaleler, dökümanlar ve projelere yer ve destek sağlamak.  Web uygulamalarının ortaya çıkardığı zararları en aza indirme yolunda çalışmalar yapmak  Dünyada yapılan web uygulaması güvenliği konulu çalışmaların takibini sağlamak  OWASP Vakfının Türkiye çalışmalarını sürdürmek 7
  • Teşekkürler! www.webguvenligi.org www.owasp.org E-posta listesine kayıt olmak için google: owasp turkey mail list 8