12.04.2012 Tarihinde Çorlu Namık Kemal Üniversitesi ev sahipliğinde, Gökmen Güreşçi tarafından düzenlenen İnternet Haftası etkinliklerinde LabSec Community olarak yerimizi aldık.
BGA eğitmenleri tarafından hazırlanan Beyaz Şapkalı Hacker (CEH) Laboratuvar Kitabıdır. Dokümanı https://www.bgasecurity.com/makale/beyaz-sapkali-hacker-ceh-lab-kitabi/ adresimiz üzerinden indirebilirsiniz.
The top two attack vectors for malware are email and web browsers. Watering-hole attacks conceal malware on member-based sites and phishing scams can target individuals with personal details. This PPT describes a different security approach to protect against these threats while achieving business growth, efficiency and lowered expenses. The presentation features Cisco Email, Web and Cloud Web Security and covers basic features, offers, benefits, newest features and product integrations. Watch the webinar: http://cs.co/9004BGqvy
İstanbul Şehir Üniversitesi - Kablosuz Ağlara Yapılan Saldırılar - Bilgi Güvenliği Mühendisliği Yüksek Lisans Programı Bilgisayar Adli Analizi Dersi
Hazırlayan: Hüseyin Uçan
Cloudflare speeds up and protects millions of websites, APIs, SaaS services, and other properties connected to the Internet. Our Anycast technology enables our benefits to scale with every server we add to our growing footprint of data centers.
Web Guvenligi Konferansi - Web Hacking YontemleriEPICROUTERS
08 Eylül 2012 tarihinde Haliç Kongre ve Kültür Merkezi'nde gerçekleştirmiş olduğumuz "Web Saldırıları ve Web Güvenliği" konferansında "Web Hacking Yöntemleri" konu başlıklı sunumum.
12.04.2012 Tarihinde Çorlu Namık Kemal Üniversitesi ev sahipliğinde, Gökmen Güreşçi tarafından düzenlenen İnternet Haftası etkinliklerinde LabSec Community olarak yerimizi aldık.
BGA eğitmenleri tarafından hazırlanan Beyaz Şapkalı Hacker (CEH) Laboratuvar Kitabıdır. Dokümanı https://www.bgasecurity.com/makale/beyaz-sapkali-hacker-ceh-lab-kitabi/ adresimiz üzerinden indirebilirsiniz.
The top two attack vectors for malware are email and web browsers. Watering-hole attacks conceal malware on member-based sites and phishing scams can target individuals with personal details. This PPT describes a different security approach to protect against these threats while achieving business growth, efficiency and lowered expenses. The presentation features Cisco Email, Web and Cloud Web Security and covers basic features, offers, benefits, newest features and product integrations. Watch the webinar: http://cs.co/9004BGqvy
İstanbul Şehir Üniversitesi - Kablosuz Ağlara Yapılan Saldırılar - Bilgi Güvenliği Mühendisliği Yüksek Lisans Programı Bilgisayar Adli Analizi Dersi
Hazırlayan: Hüseyin Uçan
Cloudflare speeds up and protects millions of websites, APIs, SaaS services, and other properties connected to the Internet. Our Anycast technology enables our benefits to scale with every server we add to our growing footprint of data centers.
Web Guvenligi Konferansi - Web Hacking YontemleriEPICROUTERS
08 Eylül 2012 tarihinde Haliç Kongre ve Kültür Merkezi'nde gerçekleştirmiş olduğumuz "Web Saldırıları ve Web Güvenliği" konferansında "Web Hacking Yöntemleri" konu başlıklı sunumum.
web uygulaması geliştiriciler için temel seviyede güvenlik üzerine bir sunum,
alt başlıklar şunlar.
owasp,
https,
bcrypt,
csrf,
xss,
fiddler,
netsparker
CRYPTTECH NG Siber Güvenlik ürünlerindeki, yeni geliştirilen özellikler, ürün ön yüz ve teknolojilerinde yapılan inovasyonlar konulu sunum.
Tarık KOBALAS
Teknoloji Direktörü
CRYPTTECH NG Siber Güvenlik ürünlerimizdeki, yeni geliştirilen özellikler, ürün ara yüzlerindeki değişimler konulu sunum.
Tarık Kobalas
CRYPTTECH Teknoloji Direktörü
Dspace Migration and Dspace Piwik IntegrationMesut Güngör
Bu sunum eski bir Dspace versiyonundan 5.x versiyonuna veri aktarımı ve piwik analitik sisteminin analitiklerinin dinamik bir şekilde dspace içerisine gömülmesini anlatıyor.
Dspace Veri Aktarımı, Analitik, Sosyal Ağlar, Scopus EntegrasyonuMesut Güngör
Dspace e toplu bir şekilde MARC ve basit bibliografik formattaki dosyaların aktarılması, Piwik Analitik yazılımı ve dspace in entegrasyonu, Scopus atıf bilgisinin dspacede bulunan öğe sayfasında gösterilmesi, Sosyal Ağ butonlarının dspace ile entegrasyonu
This document lists the top 5 tools to create infographics: infogr.am, piktochart.com, icharts.net, inFoto Android App, and easel.ly. These tools allow users to easily design and generate infographics without advanced design or coding skills.
Zotero is a free tool that helps users collect, organize, cite, and share research sources. It can automatically detect research content on websites and add it to a personal library with one click. Using the Zotero sync settings, a user can sync all their Zotero references, documents, and other materials to their IYTE cloud account using their IYTE email and password, allowing access to references and files from any computer. The document provides instructions on setting up a Zotero account and configuring the WEBDAV sync method to link a Zotero library with an IYTE cloud storage account.
Enstitümüzü tercih eden ve öğrenim hayatına İYTE’de başlayacak olan öğrenciler için, Enstitümüz çalışanlarının oluşturduğu gönüllü bir ekip tarafından “Yeni Başlayanlar İçin İYTE Kılavuzu” hazırlandı. Öğrencilerimizin “Şimdi ben ne yapacağım?” sorusuna karşılık hazırlanan kitapçık, İYTE kampüsü, İYTE’nin kurumsal işleyişi ve İYTE’de hayatın nasıl devam ettiği hakkında az ve öz bilgi vermeyi amaçlamaktadır.
Kitapçık, bir öğrenci rehberi niteliğinde olup, İzmir’den Gülbahçe Kampüsü’ne nasıl gelineceğinden barınma imkânlarına, kayıt işlemlerinden sağlık ve beslenme hizmetlerine çabucak nasıl ulaşılabileceğine kadar envai çeşit bilgi içermektedir.
Hazırlanan bu kitapçık, Enstitüde bulunan bütün Daire Başkanlıklarından, Fakültelerden ve Yabancı Diller Yüksekokulundan gönüllü isimler tarafından sağlanan verilerin Zeynep Saylık tarafından cümleleştirilmesi, Utku Kocaman ve N. Aslı Kaya tarafından görselleştirilmesi sonucu yeni eski bütün İYTE’lilerin kullanımına sunulmuştur.
İYTE Form Yönetim sistemi yazılımı ile anket, talep, bilgi, ve başvuru formları oluşturabilir ve internet ortamında kolayca bilgi toplayabilirsiniz. Bu yazılımı ayrıca konferans kayıt formu içinde kullanabilir, katılımcıların sunum, bildiri ve özet dosyasını toplayabilirsiniz
İzmir Institute of Technology (IZTECH) is a state university located in İzmir, Turkey. It was founded in 1992 and has an emphasis on science and technology education and research. IZTECH has around 4,500 students across its 3 faculties and 11 departments. It offers undergraduate, graduate and doctoral programs in fields like engineering, science, and architecture. Notable facts about IZTECH include that it has the largest campus area in İzmir, over 60% of faculty received PhDs abroad, and it ranks first in Turkey in scientific publications per faculty. IZTECH also has several research centers and participates in international student exchange programs through over 80 bilateral agreements.
Distance Learning at Izmir Institute of TechnologyMesut Güngör
This document provides information about distance learning resources and services available at Izmir Institute of Technology. It describes the lecture capture system, online virtual classrooms, and Moodle course management system which integrates all distance learning components. Resources like Adobe Connect, Echo360, Smart Board, and document camera are used to record and share lectures, notes, assignments and more over the Moodle platform. Contact information is provided for help with any distance learning questions.
2. İçindekiler
•Bilinen en popüler web uygulama atakları
•Güvenli yazılım geliştirme
•Prosedürler
3. Bilinen en popüler ataklar
•XSS(Cross Site Scripting)
•SQL Injection
•CSRF (Cross Site Request Forgery)
•LFI (Local File Inclusion) & RFI (Remote File Inclusion)
4. XSS (Cross Site Scripting)
•Atak yapan kişi sayfanızı input öğelerine javascript, vb script, html(onchange,onclick), kodlarını gömerek saldırır.
•En genelde ikiye ayrılır ;
–Kalıcı olmayan XSS : Sayfada herhangi bir değişiklik olmaz link 1 kere çalışır ve atak yapan istediğini aldıktan sonra işini bitirir. Açığı olan link sosyal mühendislikle email atılır ve kurbanların tıklanması sağlanır.
–Kalıcı XSS : Kullanıcı forum postu veya profiline girdiği script veritabanına saklanır ve her sayfa çağrıldığında çalıştırılır.
7. SQL Injection Örnekleri
•1' OR'1=1; --
•3' and 1=0 union select null, version()#
•3' and 1=0 union select null, user()#
•3' and 1=0 union select null, database()#
low.php$id = $_GET['id'];
$getid= "SELECT first_name, last_nameFROM users WHERE user_id= '$id'";
8. Güvenli Yazılım Geliştirme
•ESAPI (Enterprise Security API)
•Microsoft Design Guidelines for Secure Web Applications(Eski bir dökümantasyon ama günümüze uyarlanabilir.)
•SANS Security Checklist
•OWASP Web Uygulama Güvenliği Kontrol Listesi
9. Güvenli Yazılım için Yapılması Gerekenler –Girdilere Dikkat !!!
•Kullanıcı girdilerine güvenmeyin (textbox, checkbox, vb.)
•Girdilerin kontrolünü sadece istemci taraflı yapmayın.
•Girdileri sırasıyla Constraint -> Reject -> Sanitize kuralına göre eleyin.
10. Güvenli Yazılım için Yapılması Gerekenler –Kimliklendirme
•Kullanıcılara şifre ve kullanıcı adını sorarken kesinlikle düz metin (http) protokolünü kullanmayın. Https Kullanın !!!
•Şifreleri kesinlikle düz metin olarak saklamayınız.
•Şifre hashi üretirken hashin tuzunu rassal olarak üretin.
•Oturum yönetimi için cookielerini secure olarak işaretleyin. (protokol https dahi olsa cookie secure olmadığında cookie hırsızlığıyla oturum çalınabilir.)
•Oturum kapanana kadar aynı cookie yi kullanmayın.
•Şifreyi geçersiz kılma süresini belirleyebilmeyi mümkün kılın.
•Hesabı kitleme veya geçersiz kılma politikalarını belirleyin.(örnek: 5 kere aynı ipden yanlış şifre girerse hesabı 1 günlüğüne engelle)
•Şifre uzunluğu ve karmaşıklığını kuvvetli tutun. (En az 8 karakter alfanumerik, özel karakter, büyük küçük harf vb.)
11. •Oturum Kimliklendirme Cookilerini korumak için SSL kullanın.
•Kimliklendirme Cookielerinin içeriğini şifreleyin.
•Cookie ömürlerini kısa tutun.
•Oturum durumunu yetkisiz kişilere karşı koruyun. (Büyük sistemler için) Güvenli Yazılım için Yapılması Gerekenler –Oturum Güvenliği
12. Zaafiyetler ve Oluştukları SorunlarÖzet Tablo
Zaafiyet Kategorisi
KötüDizayn edildiğinde olası karşılaşılacak problemler
Giriş Doğrulaması
Ataklar form alanlarına , cookielere, http başlıklarına ve sorgulara zararlı stringler
gömerek gerçekleştirilir. Bu ataklar XSS, SQL Injection, ve tampontaşırma ataklarını içerir.
Kimlikliklendirme
Kimlik kandırma, şifre kurma, hak yükseltme, yetkisiz erişim gibi sorunlar doğurur.
Yetkilendirme
Gizli ve hizmete özel verilereyetkisiz erişim,bu verilerle oynama, veya yetkisizişlemlerin gerçekleştirilmesi gibi sorunlara sebep vermektedir.
Yönetim Ayarları
Yönetimarayüzüne yetkisiz erişim, ayaların güncellenmesi kullanıcıhesaplarına yetkisiz erişim.
GizliHassas Veri
Gizliverinin açığa çıkması ve veri ile oynanması
Oturum yönetimi
Oturum bilgilerinin dinlenerek elde edilerekoturum hırsızlığı ve kimlik kandırma giibi sorunlara yol açmaktadır.
Şifreleme
Gizli verive kullanıcı hesaplarına erişim
Parametre ile Oynama
Dizin atakları, KomutÇalıştırma atakları, giriş kontrol mekanizmalarını atlatma, bilgi açığa çıkartma, hak yükseltme , dos (denial of service) ataklarına yol açmaktadır.
Exception Yönetimi
Dos, hassassistem düzey detaylarının ortaya çıkması.
Denetim ve Kayıttutma(log)
Atağın nereden geldiğinin tespitinin yapılamaması, kullancının yaptığı bir işlemi ispatlayamama, problemlerin nerden kaynaklanabileceğini tespit edememe gibi sorunlara meydan vermektedir.
13. ESAPI (Enterprise Security API)
•Web Uygulamaları için Güvenlik Kontrol Kütüphanesi
•Java, .Net, PHP, Javascript sürümleri mevcuttur.
•Ücretsiz ve Açık Kaynak Kodludur.