Web Güvenliğinde Otomasyon ve SQL Injection

1,205 views

Published on

Published in: Technology, Business
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,205
On SlideShare
0
From Embeds
0
Number of Embeds
13
Actions
Shares
0
Downloads
5
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide
  • BSQL Hacker ile Küçük bir SQL Injection demosu
  • Web Güvenliğinde Otomasyon ve SQL Injection

    1. 1. Web Güvenliğinde Otomasyon ve SQL Injection.onur
    2. 2. Bölüm I – GirişKonuşmacının size onu dinlemeniz için geçerlinedenler vermeye çalıştığı bölüm...
    3. 3. .onur Web Uygulaması Güvenliği üzerine çalışmayı seviyor Şu anda Mavituna Security Limited şirketinde Security Researcher olarak çalışıyor
    4. 4. Bölüm II – Mızmızlanma...Konuşmacının güvenlik işinin aslında ne kadar sıkıcıolabileceği hakkında mızmızlandığı kısım...
    5. 5. Uzun iş... Bir sistemi tek tip bir güvenlik açığı için test etme  Bir sayfada 5 dinamik parametre  50 dinamik sayfa  10 farklı saldırı kombinasyon 5 * 50 * 10 = 2.500 farklı deneme gereksinimi.
    6. 6. SQL Injection Tespiti * Tam anlamı ile bir SQL Injection Tespiti Filtre Bypass Kombinasyonları = 2  Comment Out Kombinasyonları = 2  Group Test Kombinasyonları = 4  Integer Test = 1  String Test = 1  AND / OR kombinasyonları = 2  Injection Pozisyon Kombinasyonları = 3 (2 + 1 + 1) * 4 * 2 * 2 * 3 = 172 farklı olasılık Eğer veritabanı tipi belli değilse bunu 3+ ile tekrar çarpmamız gerekiyor. * Aslında tüm bu testlere rağmen hala bu açığı kaçırma şansımız var
    7. 7. Exploit Etme Süreci Her açık eşit değildir Bazı açıklar karşıdaki sistemde kod çalıştırmaya izin verirler Açığın tipine göre manuel exploit süreci uzayabilir ya da normal bir insan için imkansız bir hale gelebilir  Tek tek istek yaparak Blind SQL Injection deneyen oldu mu? 10 kayıtlık bir tabloyu almak sadece(!) 10.000 değişik HTTP isteği yapmanızı gerektiriyor...
    8. 8. Çözüm Bu işin sıkıcı olduğunu anladık peki çözüm nedir?• Hindistan’ a outsource etmek?• Ya da otomasyon...
    9. 9. Bölüm III – EylemBu kadar sohbet muhabbetten sonra nihayet gerçekkonunun anlatıldığı bölüm...
    10. 10. Bölüm VIISoru, ekleyeceğiniz bir şey?
    11. 11. TEŞEKKÜRLEROnur Yılmaz, Ankara Yazılım Atölyesi – Mayıs 2012 onur.yilmaz@owasp.org twitter / onuryilmazinfo

    ×