Dogus University-Web Application Security

1,988 views

Published on

Published in: Education, Technology, Business
  • Be the first to comment

Dogus University-Web Application Security

  1. 1. NASIL WEB UYGULAMASI GÜVENLİĞİ UZMANI OLUNUR ? <ul><ul><li>DOĞUŞ ÜNİVERSİTESİ </li></ul></ul><ul><ul><li>06.11.2008 </li></ul></ul>
  2. 2. Ben Kimim ? <ul><li>Mesut TİMUR </li></ul><ul><ul><li>Gebze Yüksek Teknoloji Enstitüsü </li></ul></ul><ul><ul><ul><li>Bilgisayar Mühendisliği, 4.sınıf </li></ul></ul></ul><ul><ul><li>Pro-G Bilgi Güvenliği ve Araştırma LTD </li></ul></ul><ul><ul><ul><li>Bilişim Güvenliği Denetimi Uzmanı </li></ul></ul></ul><ul><ul><li>OWASP Türkiye / Web Güvenliği Topluluğu </li></ul></ul>
  3. 3. İçerik <ul><li>Giriş </li></ul><ul><ul><li>Neden Web Uygulaması Güvenliği ? </li></ul></ul><ul><ul><li>Web Uygulaması </li></ul></ul><ul><ul><li>Teknolojiler </li></ul></ul><ul><ul><li>Web Uygulaması İç Yapısı </li></ul></ul><ul><li>1.Adım Çok Çalışmak Gerek </li></ul><ul><li>OWASP </li></ul><ul><ul><li>Neler Yapar ? </li></ul></ul><ul><ul><li>Summer of Code </li></ul></ul><ul><ul><li>OWASP-TR </li></ul></ul><ul><li>Kitaplar </li></ul><ul><li>2.Adım : WUG Literatürü </li></ul><ul><ul><li>SQL Enjeksiyonu </li></ul></ul><ul><ul><li>Uzaktan Dosya Ekleme </li></ul></ul><ul><ul><li>Siteler Arası Betik Çalıştırma </li></ul></ul><ul><ul><li>XSRF </li></ul></ul><ul><li>3. Adım : Oyun Zamanı </li></ul><ul><ul><li>Webgoat </li></ul></ul><ul><ul><li>Damn Vulnerable Linux </li></ul></ul><ul><li>4.Adım : Derinleşmek </li></ul><ul><li>5.Adım : Yeni Kalmak </li></ul>
  4. 4. Neden Web Uygulaması Güvenliği ? <ul><ul><li>The Gartner Group states, &quot;Today over 70% of attacks against a company's Web site or Web application come at the 'Application Layer' not the Network or System layer. </li></ul></ul>
  5. 5. Web Uygulaması
  6. 6. Teknolojiler <ul><li>İstemci Taraflı </li></ul><ul><ul><li>HTML </li></ul></ul><ul><ul><li>CSS </li></ul></ul><ul><ul><li>AJAX </li></ul></ul><ul><ul><li>JavaScript </li></ul></ul><ul><li>Sunucu Taraflı </li></ul><ul><ul><li>CGI Dili </li></ul></ul><ul><ul><ul><li>PHP </li></ul></ul></ul><ul><ul><li>Veritabanı </li></ul></ul><ul><ul><ul><li>MySQL (?)‏ </li></ul></ul></ul><ul><ul><ul><li>XML </li></ul></ul></ul>
  7. 7. Web Uygulaması İç Yapısı
  8. 8. Temel Kural <ul><ul><li>Eğer bir konunun güvenliğini öğrenmek istiyorsanız, öncelikli olarak o konuda derinlemesine bilgi sahibi olmalısınız </li></ul></ul>
  9. 9. 1.Adım : Çok Çalışmak Gerek <ul><li>İstemci Tarafı </li></ul><ul><ul><li>Firefox / IE / Opera </li></ul></ul><ul><ul><ul><li>AJAX </li></ul></ul></ul><ul><ul><ul><li>CSS </li></ul></ul></ul><ul><ul><ul><li>Flash </li></ul></ul></ul><ul><ul><ul><li>HTML/DHTML </li></ul></ul></ul><ul><ul><ul><li>JavaScript </li></ul></ul></ul><ul><ul><ul><li>VBScript </li></ul></ul></ul><ul><li>Ortak Öğeler </li></ul><ul><ul><li>İletişim Protokolleri </li></ul></ul><ul><ul><ul><li>HTTP </li></ul></ul></ul><ul><li>Sunucu Tarafı </li></ul><ul><ul><li>Web Sunucu </li></ul></ul><ul><ul><ul><li>IIS / Apache/ Tomcat </li></ul></ul></ul><ul><ul><li>Web Programlama Dili </li></ul></ul><ul><ul><ul><li>Perl / PHP / Ruby / Python </li></ul></ul></ul><ul><ul><ul><li>ASP.net / JSP </li></ul></ul></ul><ul><ul><li>Veritabanı </li></ul></ul><ul><ul><ul><li>MSSQL / Oracle </li></ul></ul></ul><ul><ul><ul><li>MySQL / PostgreSQL / DB2 / </li></ul></ul></ul><ul><ul><ul><li>XML / Access </li></ul></ul></ul>
  10. 10. Web Uygulaması Güvenliği <ul><ul><li>Web application security is the protection of your web application and its resources from threats coming from the Internet, such as stealing ... </li></ul></ul>
  11. 11. OWASP <ul><li>Open Web Application Security Projest (OWASP)‏ </li></ul><ul><li>Tüm OWASP ürünleri ücretsiz ve açıktır. </li></ul><ul><li>Güvensiz yazılımların sebep oldukları açıkları bulup, bunlarla mücadele eden bir topluluktur. </li></ul><ul><li>Kar amacı gütmez </li></ul><ul><li>Topluluğa ait rakamlar </li></ul><ul><ul><li>180+ (Chapter)‏ </li></ul></ul><ul><ul><li>30+ Sponsor </li></ul></ul><ul><ul><li>50+ Proje </li></ul></ul><ul><ul><li>100+ E-posta listesi </li></ul></ul><ul><ul><li>Aylık bir milyon üzerinde ziyaret </li></ul></ul>
  12. 12. OWASP Neler Yapar? Araçlar Topluluk Dökümanlar Testing Guide Wiki WebGoat WebScarab Bölgeler (chapters)‏ Günlükler (blogs)‏ Çeviriler Konferanslar Forumlar Top 10 Legal AppSec FAQ Metrics … Live CD .NET Research LAPSE …
  13. 13. OWASP - Summer of Code 2008 <ul><li>OWASP da bulunan ve ya ilave edilebilecek projeler geliştirilir. </li></ul><ul><li>Proje geliştiricilerine maddi destekler sağlanır. </li></ul><ul><li>Projeler, geliştiricilerinin adlarıyla OWASP sitesinden yayınlanır </li></ul><ul><li>Projeler açık kaynak kodlu olarak yayınlanır. </li></ul>
  14. 14. OWASP-TR Varolan Projeler <ul><ul><li>WeBekci </li></ul></ul><ul><ul><li>Jarvinen </li></ul></ul><ul><ul><li>Çeviri Projesi </li></ul></ul><ul><ul><li>Sözlük </li></ul></ul><ul><ul><li>Web Saldırı Olayları Veritabanı </li></ul></ul><ul><ul><li>SqliBench </li></ul></ul><ul><ul><li>DB StEv </li></ul></ul><ul><ul><li>CAMMP </li></ul></ul><ul><ul><li>SecureImage/JSecureImage/NSecureImage </li></ul></ul><ul><ul><li>WIVET </li></ul></ul>
  15. 15. OWASP-TR Yeni Projeler <ul><li>WeBekci 2 </li></ul><ul><li>MSALParser </li></ul><ul><li>Apache Tomcat Denetim Kılavuzu ve Beti ğ i </li></ul><ul><li>Uygulama Güvenliği E ğ itimleri – Üniversiteler </li></ul><ul><li>??? </li></ul>
  16. 16. Kitaplar <ul><li>The Web Application Hacker's Handbook: Discovering and Exploiting Security Flaws </li></ul><ul><ul><li>Stuttard, Dafydd; Pinto, Marcus </li></ul></ul><ul><li>Hacking Exposed Web Applications </li></ul><ul><ul><li>Joel Scambray , Mike Shema, Caleb Sima </li></ul></ul>
  17. 17. Kitaplar <ul><li>Essential PHP Security </li></ul><ul><ul><li>Chris Shiflett  </li></ul></ul><ul><li>Ajax Security </li></ul><ul><ul><li>Bill Hoffman, Bryan Sullivan </li></ul></ul>
  18. 18. 2.Adım : WUG Literatürü <ul><li>Temel Başlıklar : </li></ul><ul><ul><li>XSS </li></ul></ul><ul><ul><li>Enjeksiyon Hataları </li></ul></ul><ul><ul><li>Zararlı Dosya Çalıştırma </li></ul></ul><ul><ul><li>Güvensiz Doğrudan Kaynak Referansı </li></ul></ul><ul><ul><li>CSRF </li></ul></ul><ul><ul><li>Bilgi İfşası </li></ul></ul><ul><ul><li>Yetersiz Kimlik Doğrulama ve Oturum Yönetimi </li></ul></ul><ul><ul><li>Güvensiz Kriptoğrafik Depolama </li></ul></ul><ul><ul><li>Güvensiz Bağlantı </li></ul></ul>
  19. 19. SQL Enjeksiyonu <ul><li>Web sunucudan ,arka taraftaki SQL sunucuya giden SQL sorgularını manipüle edebilmek. </li></ul><ul><li>Yapılabilecekler : </li></ul><ul><ul><li>Veritabanındaki tüm verilere erişim </li></ul></ul><ul><ul><li>Veritabanı sunucusunu ele geçirmek </li></ul></ul>
  20. 20. Uzaktan Dosya Ekleme <ul><li>PHP ortamında görülen bir zafiyettir </li></ul><ul><li>Hedef web sunucuya istenilen dosyanın eklenmesiyle gerçekleştirilebilir. </li></ul><ul><li>Sunucuya arka kapılar kurulabilir. </li></ul><ul><li>Yapılabilecekler : </li></ul><ul><ul><li>Tüm sistemi ele geçirmek </li></ul></ul>
  21. 21. Siteler Arası Betik Çalıştırma <ul><li>Cross site scripting (XSS), bir bilgisayar güvenlik açığıdır. Saldırgan, HTML kodlarının arasına istemci tabanlı kod gömmesiyle, kullanıcının tarayıcısında istediği istemci tabanlı kodu çalıştırabilir. </li></ul><ul><li>Yapılabilecekler : </li></ul><ul><ul><li>Oturum çalmak </li></ul></ul><ul><ul><li>Phishing saldırıları </li></ul></ul><ul><ul><li>Kurbanın internet tarayıcısı ele geçirmek </li></ul></ul>
  22. 22. 3.Adım : Oyun Zamanı <ul><li>Oyun Alanı : </li></ul><ul><ul><li>Webgoat </li></ul></ul><ul><ul><li>Damn Vulnerable Linux </li></ul></ul><ul><ul><li>Hackme Bank </li></ul></ul>
  23. 23. Webgoat <ul><li>Bir OWASP projesidir </li></ul><ul><li>Web güvenliği ile ilgili aşama aşama zafiyet içeren uygulamalar barındırır </li></ul><ul><li>Her aşamada, ilgili güvenlik açığı kullanılarak ilerlenmelidir. </li></ul>
  24. 24. Damn Vulnerable Linux <ul><li>Zafiyet içeren gerçek uygulamaları ve saldırı araçlarını barındırır. </li></ul><ul><ul><li>0000125: [Web Exploitation] Add Joomla <= 1.0.9 (Weblinks) Remote Blind SQL Injection Exploit </li></ul></ul><ul><ul><li>0000126: [Web Exploitation] Add Joomla <=1.0.7 (feed) Denial of Service Exploit </li></ul></ul><ul><ul><li>0000123: [Web Exploitation] Add PHPNuke 7.8 </li></ul></ul><ul><ul><li>0000099: [Web Exploitation] Add PhpBB 2.0.12 Session Handling Authentication Bypass </li></ul></ul><ul><ul><li>0000100: [Web Exploitation] Add WordPress 1.5.1.1 SQL Injection </li></ul></ul><ul><ul><li>0000101: [Web Exploitation] Add Nabopoll 1.2 Remote File Inclusion, Remote Configuration Disclosure </li></ul></ul>
  25. 25. 4. Adım : Derinleşmek <ul><li>Otomatik web uygulaması güvenliği tarayıcıları incelenebilir </li></ul><ul><ul><li>Ne gibi atak türlerini gerçekliyorlar ? </li></ul></ul><ul><ul><li>Bu atak türlerini nasıl gerçekliyorlar ? </li></ul></ul><ul><li>Zafiyet içeren uygulamaların çalıştığı sunuculara web uygulaması güvenlik duvarları kurulabilir </li></ul><ul><ul><li>Savunma kanadı nasıl çalışıyor ? </li></ul></ul><ul><ul><li>Aktif saldırıları ne şekilde kestiği görülebilir. </li></ul></ul>
  26. 26. Derinleşmek :: Geliştirme <ul><li>Bir otomatik web uygulaması güvenliği tarayıcısı yazılabilir </li></ul><ul><ul><li>Bu şekilde ataklar çok daha iyi kavranabilir. </li></ul></ul><ul><li>Uygulama güvenlik duvarı yazılabilir </li></ul><ul><ul><li>Savunma teknikleri iyi şekilde etüd edilir. </li></ul></ul><ul><ul><li>Varolan savunma tekniklerindeki zafiyetler belirlenebilir. </li></ul></ul><ul><ul><li>Yeni savunma teknikleri geliştirilebilir. </li></ul></ul>
  27. 27. 5.Adım : Yeni Kalmak <ul><li>Konsept ile ilgili </li></ul><ul><ul><li>Maillistler </li></ul></ul><ul><ul><li>Web siteleri / bloglar </li></ul></ul><ul><ul><li>Projeler takip edilmeli ve mümkün olduğunca katılımda bulunulmalı. </li></ul></ul><ul><li>Araştırma yapmak </li></ul><ul><li>Makale yazıp yayınlamak. </li></ul><ul><li>Yazılım geliştirme </li></ul>
  28. 28. Demo <ul><li>SQL Injection demonstrasyonu </li></ul>
  29. 29. Teşekkürler <ul><li>Mesut TİMUR </li></ul><ul><ul><li>[email_address] </li></ul></ul><ul><li>http://www.owasp.org </li></ul><ul><li>http://www.webguvenligi.org </li></ul><ul><li>http://www.h-labs.org </li></ul>

×