Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Guvenli Flash Uygulamalari

5,421 views

Published on

Flash Uygulamalarinda Guvenlik

Published in: Technology, News & Politics
 • Be the first to comment

Guvenli Flash Uygulamalari

 1. 1. Flash uygulamalarında saldırı ve savunma
 2. 2. Flash Güvenliği <ul><ul><li>konuşacağım </li></ul></ul><ul><ul><ul><li>  hızlı Şekilde RIA, Web 2.0 ve Güvenlik </li></ul></ul></ul><ul><ul><ul><li>Crossdomain.xml niye var? Ne yapar? Yenilir mi? İçilir mi? </li></ul></ul></ul><ul><ul><ul><li>Flash ile ilgili yegane sorun : XSS </li></ul></ul></ul><ul><ul><ul><li>XSS ve etkileri </li></ul></ul></ul><ul><ul><ul><li>Flash' a Sald ı r ı Alan ı (attack surface) </li></ul></ul></ul><ul><ul><ul><ul><li>  Global Parametreler ve </li></ul></ul></ul></ul><ul><ul><ul><ul><li>  Dışarıdan Yüklenen Dosyalar </li></ul></ul></ul></ul><ul><ul><ul><li>Same-origin Policy ve Flash Embed etme </li></ul></ul></ul><ul><ul><ul><li>Yuksek Guvenlik Gerektiren sistemler ve Flash </li></ul></ul></ul><ul><ul><li>Bugünlük Konuşma Dışı   </li></ul></ul><ul><ul><ul><li>Sunucu taraflı Flash Güvenliği </li></ul></ul></ul><ul><ul><ul><li>Flash ile kullanıcıya saldırma </li></ul></ul></ul><ul><ul><ul><li>Flash' in kendi açıkları </li></ul></ul></ul>
 3. 3. RIA, Web 2.0 ve Güvenlik <ul><ul><li>Complexity is the enemy of security </li></ul></ul><ul><ul><li>Tarayıcılardaki her yeni element yeni bir saldırı noktasıdır </li></ul></ul><ul><ul><li>AJAX, Silverlight, AIR, Flash, Java, Myspace Upload ActiveX' i bunların hepsi potansiyel sorunlar </li></ul></ul><ul><ul><li>Ek olarak her yeni teknoloji hatta akim yeni y ö ntemler getirir ve güvenli &quot;best practice&quot; lerin üretilmesi vakit alir. </li></ul></ul>
 4. 4. Crossdomain.xml ve Same-Origin Policy <ul><ul><li>Same-Origin Policy </li></ul></ul><ul><ul><ul><li>Neden Cross-domain erişim k ötü bir ş ey? </li></ul></ul></ul><ul><ul><ul><ul><li>Ö rnekler... </li></ul></ul></ul></ul><ul><ul><ul><li>Cookie, XMLHTTP Istekleri, Javascript vs. </li></ul></ul></ul><ul><ul><ul><li>Flash ve Crossdomain.xml </li></ul></ul></ul>
 5. 5. Her Sakall ıyı Hoca sanan Crossdomain.xml dosyas ı <ul><li><cross-domain-policy>     <allow-access-from domain=&quot;*&quot; secure=&quot;false&quot;/> </cross-domain-policy> </li></ul>
 6. 6. Demo <ul><li>Crossdomain.xml bilgi çalma demosu </li></ul><ul><li>http: //e xamplebank.com </li></ul><ul><li>http://attacker.com/ </li></ul>
 7. 7. XSS Nedir? <ul><li>“ XSS (Cross-site Scripting) aracılığı ile bir oturum tamamen ele geçirilebilir ve kurbanın yapabileceği her şey yapılabilir” </li></ul><ul><li>  </li></ul><ul><li>Flash uygulamalarinin sunucu tarafinda calismadigini hesaba katinca Flash ile ilgili direk yegane sorun XSS olarak kaliyor. </li></ul>
 8. 8. XSS Tunnelling? <ul><li>“ XSS (Cross-site Scripting) ile IP adresi ve VPN vs. gibi güvenlik önlemlerinin geçilebilmesi. </li></ul>
 9. 9. Flash Sald ı r ı Alan ı <ul><ul><li>Global Parametreler </li></ul></ul><ul><ul><li>Flashvars </li></ul></ul><ul><ul><li>Querystring </li></ul></ul><ul><ul><li>LoadVars </li></ul></ul><ul><ul><li>Konfig ü rasyon Dosyalar ı </li></ul></ul><ul><ul><li>Dinamik yüklenen Flash dosyalar ı </li></ul></ul>
 10. 10. Global Parametre Modifikasyonu <ul><ul><li>Kimler global parameter </li></ul></ul><ul><ul><ul><li>_root. </li></ul></ul></ul><ul><ul><ul><li>_global. </li></ul></ul></ul><ul><ul><ul><li>_level0. </li></ul></ul></ul>
 11. 11. Flash Embedding <ul><ul><li>Allowscriptaccess parametresi ile domaini limitleyin ya da “noaccess” </li></ul></ul>
 12. 12. getURL() <ul><ul><li>getURL sorunları </li></ul></ul><ul><ul><li>getURL( “ javascript: alert(1)” ) </li></ul></ul>
 13. 13. HTML Text Area <ul><ul><li>Text alanlarında HTML geçerli ise ve data dinamik yükleniyorsa </li></ul></ul><ul><ul><li>http://attacker.com/XSS/riaac3.swf?_Ghtml=<img%20src=&quot;javascript:alert(1)//.jpg&quot;> </li></ul></ul>
 14. 14. LoadClip, xml.load <ul><ul><li>Kaynaklar güvenli mi? </li></ul></ul><ul><ul><li>Konfigürsayon dosyalarını yükleme ve kontrol etme </li></ul></ul>
 15. 15. Yüksek Güvenlik Gereken Sistemlerde Flash <ul><ul><li>Neden sorun olabilir, </li></ul></ul><ul><ul><li>Saldırı bölgesini yükselmesi </li></ul></ul>
 16. 16. Toparlayalım <ul><ul><li>Dışarıdan flash dosyası embed ederken script erişimi kapatılmalı </li></ul></ul>
 17. 17. Toparlayalım <ul><ul><li>Yüklenen konfigürasyon dosyaları sadece aynı domaininden yüklendiğinden emin olunması </li></ul></ul><ul><ul><li>Dışarıdan yüklenen video ve kaynakları sadece aynı domaininden yüklendiğinden emin olunması </li></ul></ul>
 18. 18. Toparlayalım <ul><ul><li>Htmltext kullanılırken yüklenen datanın güvenli bir yerden geldiğinden emin olunması veya datanın encode edilmesi </li></ul></ul>
 19. 19. Kaynaklar ve Araçlar <ul><ul><li>Flashsec Wiki </li></ul></ul><ul><ul><li>OWASP – Finding Vulnerabilities in Flash Applications </li></ul></ul><ul><ul><li>SWFIntruder </li></ul></ul><ul><ul><li>Flare ve benzeri decompilerlar </li></ul></ul>
 20. 20. Teşekkürler...

×