Bu sunum web uygulamalarının kritikliği ne kadar düşük olursa olsun uygulama açıklıklarının sistem ve ağ güvenliğini tehdit edebileceğini göstermektedir.
Web Uygulama Güvenliği Ve Güvenli Kod Geliştirme Eğitim NotlarımNur Yesilyurt
Linux Yaz Kampı 2014 bünyesinde gittiğim Web Uygulam Güvenliği Ve Güvenli Kod Geliştirme Notlarımı içermektedir.
En güncel hali her zaman Github üzerinde olacaktır. En sağlıklısı ordan edinmeniz olur.
Github repo linki: https://github.com/1zinnur9/wGuvenlik_LYK14
İstanbul Şehir Üniversitesi - Güvenli Veri Silme ve Dosya Kurtarma - Bilgi Güvenliği Mühendisliği Yüksek Lisans Programı Bilgisayar Adli Analizi Dersi
Hazırlayan: Mustafa Oğuzhan
Bu sunum web uygulamalarının kritikliği ne kadar düşük olursa olsun uygulama açıklıklarının sistem ve ağ güvenliğini tehdit edebileceğini göstermektedir.
Web Uygulama Güvenliği Ve Güvenli Kod Geliştirme Eğitim NotlarımNur Yesilyurt
Linux Yaz Kampı 2014 bünyesinde gittiğim Web Uygulam Güvenliği Ve Güvenli Kod Geliştirme Notlarımı içermektedir.
En güncel hali her zaman Github üzerinde olacaktır. En sağlıklısı ordan edinmeniz olur.
Github repo linki: https://github.com/1zinnur9/wGuvenlik_LYK14
İstanbul Şehir Üniversitesi - Güvenli Veri Silme ve Dosya Kurtarma - Bilgi Güvenliği Mühendisliği Yüksek Lisans Programı Bilgisayar Adli Analizi Dersi
Hazırlayan: Mustafa Oğuzhan
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow KocSistem_
IDC Security Roadshow etkinliğinde “Yolu Güvenle Geçmek” sunumumuz ile güncel tehditler, 2017 öngörülerimiz ve bunlara yönelik geliştirdiğimiz KoçSistem Toplam Güvenlik Yaklaşımımız ile yer aldık.
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİMSparta Bilişim
Siber Güvenlik Eğitimi, kurumunuza özel veya genele açık olarak düzenlenebilen bir Sparta Bilişim hizmetidir.
Yöneticiler, IT (Bilgi Teknolojileri) personeli, güvenlik uzmanları ya da kuruluş çalışanlarının tümü için tercih edilebilecek farklı kapsam, süre ve fayda sunan 22 farklı eğitim başlığımız bulunmaktadır.
Bu dokümanda Sparta Bilişim olarak vermekte olduğumuz siber güvenlik eğitimlerinin genel amacı ve eğitim içerikleri yer almaktadır.
SPARTA BİLİŞİM siber güvenlik konusunda ihtiyaç duyduğunuz profesyonel hizmetleri sunmak amacıyla 2013 yılından beri sizinle. Bugüne kadar 300’ün üzerinde kuruluşa sızma testi yaptık, olay müdahalesi gerçekleştirdik, danışmanlık yaptık. 4 kıtada, toplamda yüzlerce kişiye eğitimler verdik. İşbirliği yaptığımız kuruluşların mevcut bilgi teknolojileri ve bilgi güvenliği ekiplerinin bir uzantısı gibi çalışmaya özen gösterdik. Ve güvenliğinizi koruyabilmek için her zaman sizden biri olduk…
PRISMA CSI • Cyber Security and Intelligence www.prismacsi.com
Bu doküman, alıntı vererek kullanılabilir ya da paylaşılabilir ancak değiştirilemez ve ticari amaçla kullanılamaz. Detaylı bilgiye https://creativecommons.org/licenses/by-nc-nd/4.0/legalcode.tr bağlantısından erişebilirsiniz.
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik KonferansıRaif Berkay DİNÇEL
Bilgi Güvenliği ve Ağ Güvenliği
Ben Kimim ? ? ?
Neler Yaparım
Aldığım Eğitimler ve Sertifikalar
BlinkCursor ??
Konu İçerikleri
Bilgi Güvenliği Kavramı
Bilgi Güvenliğinin Amacı
Tehdit Türleri
Dahili Tehdit Unsurları
Harici Tehdit Unsurları
Saldırı Kavramı
Saldırgan Türleri
Saldırgan Motivasyonu
Ağda Bulunan ve Potansiyel Risk İçeren Sistemler
Saldırı Yöntemleri
Saldırılarda Sıkça Kullanılan Teknikler
Sosyal Mühendislik
Sosyal Mühendislik – Önleme Yöntemleri
Ağ Haritalama
Ağ Haritalamada Ulaşılmak İstenen Bilgiler
Ağ Haritalamada Kullanılan Teknikler
Ağ Haritalama – Önleme Yöntemleri
Uygulama Zayıflıkları
Uygulama Zayıflıkları – Önleme Yöntemleri
Yerel Ağ Saldırıları
Yerel Ağ Saldırılarında Kullanılan Teknikler
Yerel Ağ Saldırıları – Önleme Yöntemleri
Spoofing
Spoofing Teknikleri
Spoofing – Örnek Spoofing İşlemi
Spoofing – Önleme Yöntemleri
Hizmet Aksatma Saldırıları
Dağıtık Hizmet Aksatma Saldırıları
Hizmet Aksatma Saldırıları – Önleme Yöntemleri
Virüs, Worm ve Trojan Tehlikeleri
Virüs, Worm ve Trojan’ları Önleme Yöntemleri
Saldırıya Uğrayabilecek Değerler
Görülebilecek Zararın Boyutu
Güvenlik İhtiyacının Sınırları
Genel Güvenlik Önlemleri
Ağ Güvenlik Duvarı (Firewall)
Internet bağlantısında bir kurumun karşılaşabileceği sorunlar şunlardır;
Bir güvenlik duvarı çözümünde verilebilecek servisler
Paket Filtreleme
Dinamik (Stateful) Filtreleme;
DMZ (Silahtan Arındırılmış Bölge):
Proxy:
Firewall çözümleri:
İçerik Filtreleme (content filtering):
VPN:
Saldırı Tespiti (ID):
Loglama ve Raporlama:
SORULAR ???
Sosyal Medya Hesaplarım:
BENİ DİNLEDİĞİNİZ İÇİN HEPİNİZE ÇOK TEŞEKKÜR EDİYORUM
İletişim veya sorularınız için iletişim adreslerim ;
Window ağlarda saldırganların yatay hareketleri ve bunların tespiti konusunda düzenlediğimiz webinarda kullanılan sunumdur.
Amacımız saldırı ve savunma tarafının bakış açılarını bir arada sunmaktı.
Siber saldırıların tespitinde ve olay müdahalesinde Windows sistemlerin logları bize önemli bilgiler verir. Sistemin ilk ele geçirildiği andan başlayarak siber saldırganların yerel ağda yayılmasına kadar pek çok adıma bu loglar üremektedir.
Webinarda aşağıdaki konuları ele aldık:
1- Siber Ölüm Zinciri: Siber saldırıların 7+1 adımı
2- Yatay hareket (lateral movement): Siber saldırganların yerel ağdaki davranışları
3- Fidye yazılımlardaki rolü: Fidye yazılımların yerel ağda yayılmak için kullandığı teknikler
4- Yaşanılan senaryolardan örnekler
5- Yatay hareket için kullanılan araçlar: Siber saldırganlar tarafından kullanılan araçlar
6- Windows Event Logs: Yatay hareketleri tespit etmek için kullanılabilecek loglar
7- LogonTracer Aracı: Log analizini kolaylaştıracak ücretsiz bir araç
8- Olay tespiti ve müdahalesinde Microsoft Advanced Threat Analytics (ATA) aracı kullanımı
9- Yatay hareket tespiti için öneriler
================
Sorularınız için sparta@sparta.com.tr
Unutmayın! Siber saldırılarda her türde ve büyüklükteki işletme risk altındadır ve en zayıf halka insan faktörüdür! Hem teorik hem pratik örneklerle oluşan içeriğiyle bu eğitim, son savunma hattınız olan çalışanlarınızın güncel siber tehditleri daha iyi anlayıp gerekli önlemleri almasını sağlamada çok faydalı olacaktır.
BGA Security tarafından her yıl yaklasık olarak 200’e yakın
sızma testi projesi gerçeklestirilmektedir. Bu projeler standart
olmayıp müsterilerin taleplerine göre farklı boyutlarda
olabilmektedir. Bu rapor yapılan çalışmalarda karşılaşılan zafiyetler ve istismar yöntemlerinin istatistiklerini paylaşmak amacıyla hazırlanmıştır.
Fidye yazılımı, kurbanın dosyalarını şifreleyen kötü amaçlı bir yazılım türüdür. Saldırgan, ödeme yapıldıktan sonra
verilerine tekrar erişebilmesi için kurbandan fidye talep eder.
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing RaporuBGA Cyber Security
Bu raporda 2020 yılının ilk yarısı için Türkiye'de bulunan bankalar adına açılan sahte alan adları
(domain), bu alan adlarının SSL sertifikası durumları ve kayıt bilgilerine yönelik analizler yer almakta
olup, aylara göre artışları ve saldırganların motivasyonları incelenmiştir.
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi ToplamaBGA Cyber Security
Ağ haritalama (Enumeration), sızma testi metodolojilerinden biridir. Hedef ile aktif bir bağ oluşturulduğunda ve hedefe saldırıda bulunurken giriş noktasını tespit etmek amacıyla sistemin ağ yapısının detaylı belirlenmesidir:
Açık sistemler ve üzerindeki açık portlar, servisler ve servislerin hangi yazılımın hangi sürümü olduğu bilgileri, ağ girişlerinde bulunan VPN, Firewall, IPS cihazlarının belirlenmesi, sunucu sistemler çalışan işletim sistemlerinin ve versiyonlarının belirlenmesi ve tüm bu bileşenler belirlendikten sonra hedef sisteme ait ağ haritasının çıkartılması Ağ haritalama adımlarında yapılmaktadır.
Güvenlik Testlerinde Açık Kaynak İstihbaratı KullanımıBGA Cyber Security
Bir kurum sızma testi yaptıracağı zaman, bu testi yapacak olan profesyoneller öncelikle hedef sistem hakkında bilgi toplamak zorundadır. Hedef sistemin kullandığı IP aralığı, subdomainler, aynı kullanıcı üzerinden alınmış diğer domainler, dns kayıtları, çalışanlarına açılan mail adresi politikası, bağlantılı mobil uygulamalar, kurumun sosyal medya hesapları, çalışanlarının sosyal medya hesapları, çalışan profili, güvenlik sertifikası bilgileri, kurum veya çalışanları adına gerçekleştirilen veri sızıntıları, forumlarda paylaşılan bilgiler ve daha fazlası OSINT kullanılarak elde edilebilir.
Güvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
Yazılım Güvenliği Temelleri
1. Halil ÖZTÜRKCİ, MVP
CISSP, CISA,GPEN,CEH,CHFI
BT Güvenlik Hizmetleri Direktörü
halil.ozturkci@adeo.com.tr
2. AnkaSec Organizasyon Kurulu Üyesi-İsim
Babası☺
Microsoft MVP, Enterprise Security
Profesyonel Penetration Tester
Adli Bilişim Uzmanı
SANS Mentor (www.sans.org)
ADEO Kurucu Ortak&Güvenlik Birimi
Yöneticisi
CISSP, GPEN, CISA, CHFI, CEH
3. Firewall’um var, güvendeyim.
Web sunucularımızın üzerinde en güncel
antivirüs yazılımları çalışıyor.
Beni mi bulacaklar?
XSS’den ne çıkar?
Parolaları MD5 ile saklıyoruz.
...
4. Data thieves steal credit card data
from supermarket chain
March 18, 2008
Robert McMillan
Retailers Hannaford Brothers and Sweetbay admit to being the
targets of a massive credit-card data theft disclosed Monday…….
stealing an estimated 4.2 million credit and debit card
numbers………. some cases of identity theft had been associated
with the incident
'BusinessWeek' site hacked
September 15, 2008
By Elinor Mills
Hackers have broken into BusinessWeek's online site
….. The hackers used an increasingly common form
of attack called SQL injection, in which a small
malicious script is inserted into a database that feeds
information to the BusinessWeek
Web site.
11 March 2009
4
5.
6.
7.
8. 2009’un ilk yarısında çok fazla sayıda otomatik SQL injection saldırıları ile karşılaşıldı.
Detaylı analiz için aşağıdaki makaleler bakılabilir.
Anatomy of a SQL Injection Incident (March 14, 2008)
Anatomy of a SQL Injection Incident, Part 2: Meat (March 15, 2008)
9.
10. •2009'un ilk yarısında açıklanan zafiyet oranı bir önceki yılın ikinci yarısına
oranla %28,4 azalmış durumda.
•Açıklanan işletim sistemi zafiyetleri stabil şekilde devam ediyor.
•Kaynak:Microsoft Güvenlik İstihbarat Raporu Volume 7
11. Uygulamalar:
İhmal Edilmiş ve Korumasız
Sunucular:
Saldırı Tespit Sistemleri tarafından
korunuyor
Network:
Firewall’lar tarafından korunuyor
Uygulamalar
Sunucular
Network
Taranan 31,373 sitenin %85’inde
hacker’lar tarafından kötüye
kullanıma sebep olacak ve
sonucundaki kritik dataların
okunmasına, değiştirilmesine
yada transfer edilmesine sebep
olacak açıklıklar tespit
edilmiştir.
-- Web Application Security Consortium
20. Uygulama çalışır durumdayken testler gerçekleştirilir.
Testler Uygulama Güvenlik Zafiyet Tarayıcıları tarafından
gerçekleştirilir.
Genellikle uygulamalardaki teknik hataları, sıkıntıları
black-box yöntemiyle bulma yönünde motive olmuşlardır.
Öncelikle test edilecek uygulama crawl edilerek bütün
input noktaları tespit edilir.
2006 yılında Gartner tarafından yapılan analizde Uygulama
Güvenlik Tarayıcılar için aşağıdakiler öngörülmekteydi;
2010 yılına kadar web uygulamalarını bir uygulama güvenlik
tarayıcı ile tarayan kurumlarıın uygulamalarındaki zafiyetlerin
kötüye kullanım oranı %70’e yakın azalma gösterecek.
2008 yılı sonuna kadar enterprise segmentteki firmaların %40'ı
web uygulama güvenlik tarayıcılarını geliştirme süreçlerine
entegre edecekler.
21. Güvenlik Uzmanı
HP
WebInspect
Web Application
Results
- “Black Box” olarak
adlandırılır
- 1 konu başlığı birden fazla
problemi işaret ediyor
olabilir
- Bir çok farklı konu başlığı
tek bir problemi işaret
ediyor olabilir.
- Yazılım Geliştiricilere Verilen
- URL’ler ve kullanılan hacking
tekniği
- Doğrulama için gerekli
değerler
Yazılımcı
21
25. •
“Runtime Data” olarak adlandırabileceğimiz Stack Trace’ler, Oturum Bilgileri,
Parametreler ve Değişken Değerleri Runtime Analysis üzerinden geliyor.
•
Fortify Runtime Analysis + WebInspect = Hybrid 2.0
• SAST/DAST sonuçlarını uygun şekilde ortüştürmek için Runtime Analysis ‘e ihtiyaç var.
• Runtime Analysis güvenlik testi yapanlara ve uygulamayı geliştirenlere tespit edilen
zafiyetlere uygulama içinden bakabilme imkanı tanır.
25
26. 2010 yılınndan itibaren DAST ve SAST
üreticileri hibrid bir yaklaşıma olan static ve
dinamik uygulama güvenlik testi yaklaşımına
doğru kayacaklar.
2010 yılından itibaren lider uygulama
güvenlik test aracı üreticileri SaaS (Software
as a Service) yaklaşımı çerçevesinde servis
olarak müşterilerine bu hizmetleri sunmaya
başlayacaklar.
2013 yılı içerisinde SAST (Static Application
Security Testing) ürünleri markette standalone bir ürün olmaktan çıkıp teknoloji ve
servis üreticisi firmaların yazılım yaşam
döngüsü (SLC-Software Life Cycle)
platformlarına entegre ettikleri bir teknoloji
olarak yaşamlarını sürdürecekler.
27. Gelişmiş bir Uygulama Güvenliği Programı’nı
inşa etmek, bir uygulama zafiyet tarayıcısını alıp
çalıştırmak ya da bir WAF'ı devreye almak kadar
kolay bir süreç değildir
Güvenli yazılım geliştirmek için her adımında
güvenliği de hesaba katan birYazılım Geliştirme
Yaşam Döngüsü'ne ihtiyaç vardır.
Güvenli yazılım geliştirme sürecini sürekli hale
getirmek için gerek organizasyonun yapısından
gerek kurum kültüründen gerekse de iş
baskısından kaynalanan sıkıntılar
adreslenmelidir ve çözülmelidir.