Gazi Universitesi Bilisim Gunleri '09

1,304 views

Published on

Gazi Üniversitesi Bilgisayar Mühendisliği Topluluğu tarafından hazırlanan Bilişim Günleri '09 etkinliğinde yaptığım sunum.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,304
On SlideShare
0
From Embeds
0
Number of Embeds
14
Actions
Shares
0
Downloads
10
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Gazi Universitesi Bilisim Gunleri '09

  1. 1. Web Uygulamaları Güvenliği Onur YILMAZ www.owasp.org/index.php/Turkey www.webguvenligi.org www.onuryilmaz.info OWASP contact@onuryilmaz.info 13 Mayıs 2009 Copyright © The OWASP Foundation Gazi Üniversitesi Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation http://www.owasp.org
  2. 2. İçerik • Web Uygulamaları Güvenliği Kavramı • Web Uygulamalarına Yönelik Saldırılar • XSS (Cross-Site Scripting) • SQL Injection • OWASP • İletişim • Soru-Cevap 2
  3. 3. XSS (Cross-Site Scripting)  Saldırganın HTML kodlarının arasına istemci tabanlı kod gömmesiyle yapılan saldırı türüdür.  En çok kullanıldığı iki şekli;  Sayfa Yönlendirme  Hedef kullanıcıların çerez bilgilerinin çalınması  Önlemler  Encoding  QueryString ve Form`lardan alınan değerlerin filtrelenmesi  Demo 3
  4. 4. SQL Injection  SQL Nedir ?  SQL Injection, web uygulamalarında kullanıcıdan alınan veriler ile oluşturulan dinamik SQL sorgularının manipüle edilmesi şeklinde yapılan saldırılardır.  Hedef veritabanı yönetim sisteminin ve kullandığı sorgulama dilinin standartlarına göre SQL Injection atakları ile yapabilecekleriniz değişmektedir.  Genel manada veritabanındaki verilere ulaşmak amacıyla kullanılır 4
  5. 5. SQL Injection - II  Kullanıcıdan alınan verilerin filtrelenmemesi ve ham olarak SQL sorgusuna dinamik olarak eklenmesi, SQL Injection zafiyetini doğurmaktadır.  Video  Önlemler  Tüm meta-karakterlerden kaçınılmalıdır.  Parameterised Query kullanımına dikkat edilmelidir. 5
  6. 6. OWASP – Nedir?  Open Web Application Security Project (OWASP) t  Tüm OWASP ürünleri ücretsiz ve açıktır.  Güvensiz yazılımların sebep oldukları açıkları bulup, bunlarla mücadele eden bir topluluktur.  Kar amacı gütmez  Topluluga ait rakamlar  120+ (Chapter) 0  30+ Sponsor  50+ Proje  100+ E-posta listesi  Aylık bir milyon üzerinde ziyaret 6
  7. 7. OWASP Turkey – Web Güvenlik Topluluğu  Web uygulaması güvenliğine ülkemizde gerekli duyarlılığın gösterilmesini sağlamak  Web uygulaması güvenliği konusunda çalışan ve ilgi duyan arkadaşları bir platformda toplamak  Güvenlik konulu makaleler, dökümanlar ve projelere yer ve destek sağlamak.  Web uygulamalarının ortaya çıkardığı zararları en aza indirme yolunda çalışmalar yapmak  Dünyada yapılan web uygulaması güvenliği konulu çalışmaların takibini sağlamak  OWASP Vakfının Türkiye çalışmalarını sürdürmek 7
  8. 8. Teşekkürler! www.webguvenligi.org www.owasp.org E-posta listesine kayıt olmak için google: owasp turkey mail list 8

×