Balkanay Web Sunum

1,370 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,370
On SlideShare
0
From Embeds
0
Number of Embeds
33
Actions
Shares
0
Downloads
21
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Balkanay Web Sunum

  1. 1. ÖRÜN (WEB) GÜVENLİĞİ Hazırlayan: Arda Balkanay 704041003
  2. 2. Taslak Giriş WEB Nasıl Çalışır Hedef WEB Güvenlik Açıkları / Uygulama Problemleri Tehditler Sonuç
  3. 3. Giriş WWW – World Wide Web İnternet servislerini birleştiren bir oluşum. 1989 yılıda CERN’de başlamış. Temel olarak istemci/sunucu ilişkisine sahip. Sizce WWW’nin tek problemi okunuşu mu ? İstemci Sunucu – Risk her iki yön için de var.
  4. 4. WEB Nasıl Çalışır
  5. 5. WEB Nasıl Çalışır 1- Kullanıcı browser’ını açar 2- Istenen URL browser’a girilir. (Uniform Resource Locator - Adres) 3- Web sayfası adı harddisk’e kaydedilir (cache) 4- İsim/IP çözümlemesi icin DNS sorgusu yapılır. 5- Bilgisayar IP adresi öğrenilen sunucunun HTTP için 80, HTTPS için 443 portarına bağlanır. – HTTPS için ara adımlar da vardır (sertifika kontrolu vs vs) 6- İstemci bağlandığı sunucudan sayfa/dizin isteğinde bulunur. (index.html, index.php ...) 7- İstemcinin izlediği sayfalar bilgisayarda saklanır. (cache)
  6. 6. Hedef Hedef hakkında bilgi toplamak... C:Documents and Settingsarda.balkanay>nc www.ce.itu.edu.tr 80 HTTP / HTTP/1.0 HTTP/1.1 302 Found Date: Thu, 26 Apr 2007 18:10:51 GMT Server: Apache/2.2.3 (Fedora) X-Powered-By: PHP/5.1.6 Location: http://www.ce.itu.edu.tr/ Content-Length: 156 Connection: close Content-Type: text/html
  7. 7. Hedef Hedef hakkında bilgi toplamak... C:Documents and Settingsarda.balkanay>nc www.sourtimes.org 80 OPTIONS / HTTP/1.0 HTTP/1.1 200 OK Allow: OPTIONS, TRACE, GET, HEAD Content-Length: 0 Server: Microsoft-IIS/6.0 Public: OPTIONS, TRACE, GET, HEAD, POST X-Powered-By: ASP.NET Date: Fri, 27 Apr 2007 10:43:10 GMT Connection: close
  8. 8. Hedef Hedef Hakkında bilgi sahibi olan korsan onun açıklarını bulmakta zorlanmaz. Kalemizin duvarlarını sağlamlaştırmak için ilk adım : SSL (Secure Sockets Layer) Şifreleme 40bit Brute Force ataklar 128bit Chypertext atakları SSL ile HTTP trafiğini şifrelemek mümkün.
  9. 9. Hedef Peki SSL tek başına çözüm mü ? “stunnel” ile istemci sunucu arasında ssl tüneli kurmak çok kolay. SSL Tünel kurulduktan sonra Sunucu bilgilerini toplamak mümkün. Lokal 80. port ile sunucu 443. portu ilişkilendirerek hedef sunucu hakkında bilgi toplamayı mümkn hale getiriyor.
  10. 10. Hedef Proxy Kullanımı Proxy istemci ve sunucu arasında durur. Peki ne kadar güvenli/yeterli ?
  11. 11. WEB Güvenlik Açıkları Scripting Dilleri web sunucusunda istemcinin isteklerini uygulamalara aktaran, uygulamalardaki çıktıları web sunucusuna aktaran programlama dilleridir. “Web Sayfası” kavramı yerine “Web Uygulaması” kavramına bıraktıktan sonra Uygulama açıkları daha büyük tehlikeler oluşturmaya başladı.
  12. 12. WEB Uygulamaları Problemleri Asıllama (Authentication) Web Uygulamasını kullanan kullanıcının gerçekten doğru kullanıcı olduğundan nasıl emin olunacak ? Kullanıcı Adı/Parola , IP Adresi kısıtlaması, Sertifika kullanımı
  13. 13. Asıllama ve Yetkilendirme
  14. 14. WEB Uygulamaları Problemleri İnkar Edememe (Non-Repudiation) Sunucu veya İstemciden çıktığı kaydedilen bilgi gerçekten çıkmış mı ? Web sunucularında işlem yapan IP adresleri, kullanıcılar ve yaptıkları işlemler kaydedilebilir. Benzer kayıtlar istemci bilgisayarlarıda da tutulabilir.
  15. 15. WEB Uygulamaları Problemleri Güvenilirlik & Gizlilik (Confidentiality & Privacy) İstemci sunucu arasındaki trafik korsanlar tarafından dinlenebilir mi ? Sunucu içindeki gizli belgelere doğru kişi ve yollar harici erişilebilir mi ? HTTPS (HTTP over TLS) ile istemci sunucu arası trafik şifrelenebilir. Sunucu içindeki dosyalara doğrudan erişim olmamalıdır.
  16. 16. Güvenilirlik & Gizlilik (Confidentiality & Privacy)
  17. 17. WEB Uygulamaları Problemleri Veri Bütünlüğü (Integrity) İstemci / Sunucu arasındaki bilgi alış verişinin bütünlüğünden nasıl emin olabiliriz ? Sunucu’da dosyalar ile birlikte dosyaların öz’ü de saklanır. İstemci daha sonra dosya ve öz’ü karşılaştırarak dosyanın yolda değişip değişmediğinden emin olur.
  18. 18. Veri Bütünlüğü (Integrity)
  19. 19. Sunucu Güvenliğini Sağlamak Sunucu ve İstemci yazılımlarını ve işletim sistemlerini en güncel halde tutmak Firewall, IDS / IPS, Proxy kullanmak
  20. 20. Tehditler
  21. 21. Tehditler
  22. 22. Hatalı Girdiler – Faulty Inputs
  23. 23. Yanıltma - Spoofing
  24. 24. Kimlik Hırsızlığı – Co-option, Identity Theft
  25. 25. SONUÇ Güvenliği sadece web ile sınırlamak doğru degil, bütün olarak düşünmek gerekli. Para risk doğuruyor.

×