dogus university-web application security
TRANSCRIPT
NASIL WEB UYGULAMASI GÜVENLİĞİ UZMANI
OLUNUR ?DOĞUŞ ÜNİVERSİTESİ
06.11.2008
Doğuş Üniversitesi
Ben Kimim ?
• Mesut TİMUR
– Gebze Yüksek Teknoloji Enstitüsü• Bilgisayar Mühendisliği, 4.sınıf
– Pro-G Bilgi Güvenliği ve Araştırma LTD• Bilişim Güvenliği Denetimi Uzmanı
– OWASP Türkiye / Web Güvenliği Topluluğu
Doğuş Üniversitesi
İçerik• Giriş
– Neden Web Uygulaması Güvenliği ?
– Web Uygulaması
– Teknolojiler
– Web Uygulaması İç Yapısı• 1.Adım Çok Çalışmak Gerek
• OWASP
– Neler Yapar ?
– Summer of Code
– OWASP-TR
• Kitaplar
• 2.Adım : WUG Literatürü
– SQL Enjeksiyonu
– Uzaktan Dosya Ekleme
– Siteler Arası Betik Çalıştırma
– XSRF
• 3. Adım : Oyun Zamanı
– Webgoat
– Damn Vulnerable Linux
• 4.Adım : Derinleşmek
• 5.Adım : Yeni Kalmak
Doğuş Üniversitesi
Neden Web Uygulaması Güvenliği ?
The Gartner Group states, "Today over 70% of attacks against a company's Web site or Web application come at the 'Application Layer' not the Network or System layer.
Doğuş Üniversitesi
Web Uygulaması
Doğuş Üniversitesi
Teknolojiler
• İstemci Taraflı – HTML
– CSS
– AJAX
– JavaScript
• Sunucu Taraflı– CGI Dili
• PHP
– Veritabanı• MySQL (?)• XML
Doğuş Üniversitesi
Web Uygulaması İç Yapısı
Doğuş Üniversitesi
Temel Kural
Eğer bir konunun güvenliğini öğrenmek istiyorsanız, öncelikli
olarak o konuda derinlemesine bilgi sahibi olmalısınız
Doğuş Üniversitesi
1.Adım : Çok Çalışmak Gerek• İstemci Tarafı
– Firefox / IE / Opera
• AJAX
• CSS
• Flash
• HTML/DHTML
• JavaScript
• VBScript
• Ortak Öğeler
– İletişim Protokolleri
• HTTP
• Sunucu Tarafı
– Web Sunucu
• IIS / Apache/ Tomcat
– Web Programlama Dili
• Perl / PHP / Ruby / Python
• ASP.net / JSP
– Veritabanı
• MSSQL / Oracle
• MySQL / PostgreSQL / DB2 /
• XML / Access
Doğuş Üniversitesi
Web Uygulaması Güvenliği
Web application security is the protection of your web application and its resources from threats coming from the Internet,
such as stealing ...
Doğuş Üniversitesi
OWASP
• Open Web Application Security Projest (OWASP)
• Tüm OWASP ürünleri ücretsiz ve açıktır.
• Güvensiz yazılımların sebep oldukları açıkları bulup, bunlarla mücadele eden bir topluluktur.
• Kar amacı gütmez
• Topluluğa ait rakamlar– 180+ (Chapter)
– 30+ Sponsor
– 50+ Proje
– 100+ E-posta listesi
– Aylık bir milyon üzerinde ziyaret
Doğuş Üniversitesi12
OWASP Neler Yapar?
Araçlar
Topluluk
Dökümanlar
Testing Guide
Wiki
WebGoat
WebScarab
Bölgeler (chapters)
Günlükler (blogs)
Çeviriler
KonferanslarForumlar
Top 10
Legal
AppSec FAQ
Metrics
…
Live CD
.NET Research
LAPSE
…
Doğuş Üniversitesi13
OWASP - Summer of Code
2008• OWASP da bulunan ve ya ilave
edilebilecek projeler geliştirilir.
• Proje geliştiricilerine maddi destekler
sağlanır.
• Projeler, geliştiricilerinin adlarıyla
OWASP sitesinden yayınlanır
• Projeler açık kaynak kodlu olarak
yayınlanır.
Doğuş Üniversitesi
OWASP-TRVarolan Projeler
– WeBekci– Jarvinen– Çeviri Projesi– Sözlük– Web Saldırı Olayları Veritabanı– SqliBench– DB StEv– CAMMP– SecureImage/JSecureImage/NSecureImage– WIVET
Doğuş Üniversitesi
OWASP-TRYeni Projeler
• WeBekci 2• MSALParser• Apache Tomcat Denetim Kılavuzu ve
Betiği• Uygulama Güvenliği Eğitimleri –
Üniversiteler• ???
Doğuş Üniversitesi
Kitaplar
• The Web Application Hacker's Handbook: Discovering and Exploiting Security Flaws
– Stuttard, Dafydd; Pinto, Marcus
• Hacking Exposed Web Applications
– Joel Scambray , Mike Shema, Caleb Sima
Doğuş Üniversitesi
Kitaplar
• Essential PHP Security– Chris Shiflett
• Ajax Security– Bill Hoffman,
Bryan Sullivan
Doğuş Üniversitesi
2.Adım : WUG Literatürü
• Temel Başlıklar :– XSS
– Enjeksiyon Hataları
– Zararlı Dosya Çalıştırma
– Güvensiz Doğrudan Kaynak Referansı
– CSRF
– Bilgi İfşası
– Yetersiz Kimlik Doğrulama ve Oturum Yönetimi
– Güvensiz Kriptoğrafik Depolama
– Güvensiz Bağlantı
Doğuş Üniversitesi
SQL Enjeksiyonu
• Web sunucudan ,arka taraftaki SQL sunucuya giden SQL sorgularını manipüle edebilmek.
• Yapılabilecekler :
– Veritabanındaki tüm verilere erişim
– Veritabanı sunucusunu ele geçirmek
Doğuş Üniversitesi
Uzaktan Dosya Ekleme
• PHP ortamında görülen bir zafiyettir
• Hedef web sunucuya istenilen dosyanın eklenmesiyle gerçekleştirilebilir.
• Sunucuya arka kapılar kurulabilir.
• Yapılabilecekler :– Tüm sistemi ele geçirmek
Doğuş Üniversitesi
Siteler Arası Betik Çalıştırma
• Cross site scripting (XSS), bir bilgisayar güvenlik açığıdır. Saldırgan, HTML kodlarının arasına istemci tabanlı kod gömmesiyle, kullanıcının tarayıcısında istediği istemci tabanlı kodu çalıştırabilir.
• Yapılabilecekler :– Oturum çalmak
– Phishing saldırıları
– Kurbanın internet tarayıcısı ele geçirmek
Doğuş Üniversitesi
3.Adım : Oyun Zamanı
• Oyun Alanı :– Webgoat
– Damn Vulnerable Linux
– Hackme Bank
Doğuş Üniversitesi
Webgoat
• Bir OWASP projesidir
• Web güvenliği ile ilgili aşama aşama zafiyet içeren uygulamalar barındırır
• Her aşamada, ilgili güvenlik açığı kullanılarak ilerlenmelidir.
Doğuş Üniversitesi
Damn Vulnerable Linux
• Zafiyet içeren gerçek uygulamaları ve saldırı araçlarını barındırır.– 0000125: [Web Exploitation] Add Joomla <= 1.0.9 (Weblinks) Remote
Blind SQL Injection Exploit
– 0000126: [Web Exploitation] Add Joomla <=1.0.7 (feed) Denial of Service Exploit
– 0000123: [Web Exploitation] Add PHPNuke 7.8
– 0000099: [Web Exploitation] Add PhpBB 2.0.12 Session Handling Authentication Bypass
– 0000100: [Web Exploitation] Add WordPress 1.5.1.1 SQL Injection
– 0000101: [Web Exploitation] Add Nabopoll 1.2 Remote File Inclusion, Remote Configuration Disclosure
Doğuş Üniversitesi
4. Adım : Derinleşmek
• Otomatik web uygulaması güvenliği tarayıcıları incelenebilir– Ne gibi atak türlerini gerçekliyorlar ?– Bu atak türlerini nasıl gerçekliyorlar ?
• Zafiyet içeren uygulamaların çalıştığı sunuculara web uygulaması güvenlik duvarları kurulabilir– Savunma kanadı nasıl çalışıyor ?– Aktif saldırıları ne şekilde kestiği görülebilir.
Doğuş Üniversitesi
Derinleşmek :: Geliştirme• Bir otomatik web uygulaması güvenliği
tarayıcısı yazılabilir– Bu şekilde ataklar çok daha iyi kavranabilir.
• Uygulama güvenlik duvarı yazılabilir– Savunma teknikleri iyi şekilde etüd edilir.– Varolan savunma tekniklerindeki zafiyetler
belirlenebilir.– Yeni savunma teknikleri geliştirilebilir.
Doğuş Üniversitesi
5.Adım : Yeni Kalmak
• Konsept ile ilgili– Maillistler– Web siteleri / bloglar– Projeler
takip edilmeli ve mümkün olduğunca katılımda bulunulmalı.
• Araştırma yapmak• Makale yazıp yayınlamak.• Yazılım geliştirme
Doğuş Üniversitesi
Demo
• SQL Injection demonstrasyonu
Doğuş Üniversitesi
Teşekkürler
• Mesut TİMUR– [email protected]
• http://www.owasp.org• http://www.webguvenligi.org• http://www.h-labs.org