[OWASP-TR Uygulama Güvenliği Günü 2016] Özgür Alp - HTTP/2 ve Güvenlik
•
1 like•433 views
OWASP-TR Uygulama Güvenliği Günü 2016 Özgür Alp - HTTP/2 ve Güvenlik
Recommended
More Related Content
More from OWASP Turkiye
More from OWASP Turkiye (10)
[OWASP-TR Uygulama Güvenliği Günü 2016] Özgür Alp - HTTP/2 ve Güvenlik
- 2. HTTP/1.1 ve Değişimi history HTTP/1.1 • 1999 2016 • 20 KB 5 MB • HTML JS+FLASH+AJAX • HTTP HTTPS 2
- 3. HTTP/1.1 ve Değişimi gnome-screenshot HTTP 3 Kaynak: F5 Networks
- 4. HTTP/1.1 ve Değişimi gnome-screenshot HTTP/1.1 4
- 5. HTTP/1.1 ve HTTP/2 Benzerlikleri diff HTTP/1.1 HTTP/2 (-) • HTTP metotları – GET, POST • Durum kodları – 200, 404, 500 • Resmi adres sistemi – URI • HTTP başlıkları ve çerezler 5
- 6. HTTP/1.1 ve HTTP/2 Farklılıkları diff HTTP/1.1 HTTP/2 (>) • Düzyazı Binary • Sıralı istekler Paralel istekler • Çoklu istekler Tek istek • GZIP HPACK • İstek & cevap Sunucudan push özelliği 6
- 7. HTTP/1.1 ve HTTP/2 Farklılıkları diff HTTP/1.1 HTTP/2 (>) https://http2.akamai.com/demo 7 Kaynak: https://http2.akamai.com/demo
- 8. Neden HTTP/1.2 Değil? mv HTTP/1.2 HTTP/2 • Farklı yapıda protokol • Geriye uyumlu değil 8
- 10. HTTP/2 Uygulamaları install HTTP/2 10 Kaynak: https://github.com/http2/http2-spec/wiki/Implementations
- 11. Güvenlik Konuları netstat -lntp | grep HTTP/2 • Protokol hataları • Şifreleme • Yeni atak yüzeyleri • Hizmet engelleme 11
- 12. Güvenlik – Protokol Hataları iptables -A INPUT -p HTTP/2 --dport 443 -j DROP 12 Kaynak: https://github.com/http2/http2-spec/issues?q=label%3Asecurity+is%3Aclosed
- 13. Güvenlik – Şifreleme openssl s_server -HTTP/2 • Bilinenin aksine TLS varsayılan değil – h2: HTTP/2 over TLS – h2c: HTTP/2 over TCP • Chrome, Firefox, IE şu anda sadece h2 destekliyor 13
- 14. Güvenlik – Yeni Atak Yüzeyleri apt-get install HTTP/2 • HPACK • Sürüm yükseltme/düşürme • Tutarsız çoğullama • Kötü biçimlendirilmiş çerçeveler • İstemciye/sunucuya gelişigüzel veri gönderme • Ana akış bağlılıkları • Geçersiz çerçeve durumları 14
- 15. Güvenlik – Hizmet Engelleme httpflood.py -p HTTP/2 -u target • Performans artışı • Uygulama seviyesindeki ataklarda düşüş 15
- 16. Güvenlik – CVE use auxiliary/scanner/http2/options 16 Kaynak: http://www.cvedetails.com/google-search-results.php?q=HTTP%2F2&sa=Search
- 17. Soru & Cevap help HTTP/2 17