SlideShare una empresa de Scribd logo

Web Uygulama Güven(siz)liği

BGA Cyber Security
BGA Cyber Security
1 de 54
Descargar para leer sin conexión
Web Uygulama Güven(siz)liği 2.0 Huzeyfe ÖNAL Bilgi Güvenliği AKADEMİSİ http://www.bga.com.tr honal@bga.com.tr Güvenlik lüks değil, gereksinimdir!
Ben Kimim? • • • • Kıdemli bilgi güvenliği uzmanı (İş hayatı) Ağ güvenliği araştırmacısı/uzmanı/. (Gerçek hayat) Özgür yazılım destekçisi Bilgi Güvenliği AKADEMİSİ güvenlik eğitmeni – www.bga.com.tr • Blogger – www.lifeoverip.net
Ajanda • Siber dünyada web uygulamaları • Neden web uygulama güven(siz)liği? • Web uygulamalarında güvenliği etkileyen bileşenler • Türkiye ve dünyadan web uygulama güven(siz)liği örnekleri • Güvenlik dünyası ve web uygulamalarına bakışı • Hacker(medya) camiası ve web uygulamalarına bakışı • Günün sonunda kazanan kim? Skor tablosu
İşleyiş • Sıcak bir yaz akşamına uygun... • Teknik detaylara boğmadan, uygulama güvenliğine yazılımcı olmayan birinin bakış açısı ve tecrübeleri...
Siber Dünyada Web • Web uygulamaları günümüzü ve geleceğimizi kuşatmış durumda – Müzik dinleme:last.fm, fizy.org – Ofis Belgeleri için:Google Docs – Resim işleme amaçlı:Google Picasa, flickr – (A)Sosyal Hayat: Facebook, Friendfeed, twitter – Alışveriş, Para işleri:Paypal.com, online alışveriş siteleri – İletişim:E-posta->Webmail hizmetleri – Oyun: Online oyunlar... – Televizyon: IP TV uygulamaları • Yakın gelecekte web tabanlı işletim sistemleri...
Web’i Tanıyalım • Web denilince artık akla iki üç sayfalık html+javascript karışımı sayfalar gelmiyor • Web Uygulama Bileşenleri – Statik sayfalar • HTML – Dinamik sayfalar • CGI, ASP, PHP, Perl, Asp.net, JSP – Veritabanı • Mysql, MsSQL, Oracle, Sybase – Web servisleri – Kullanıcı browserları – Diğer bileşenler... • Ajax vs
Geleneksel Güvenlik Yaklaşımı • Henüz OSI 4. katmandan yukarı çıkamamıştır • Network, işletim sistemi ve servis güvenliği • Router(ACL), Firewall – Intrusion Detection System • Intrusion Prevention System » .... • Ağırlık koruma tarafı için ayrılır – Güvenlikcilerin çogu yeni saldırı yöntemlerinden habersizdir • Web güvenliği tarihçesi – 2000~ web uygulamalarının yaygınlaşması – 2005~ Web uygulama güvenliği – 2009-2013 Web güvenliği altın çağı 
Geleneksel Güvenlik Yaklaşımı-II
Geleneksel Güvenlik Anlayışının Göstergesi
Neden Uygulama/WEB Güvenliği? • Web=Giriş kapısı • Sınır güvenliğinin en zayıf noktalarından • Güvenlikte en büyük problem: çözümü başka yerde aramak! – IPS ile spesifik uygulamalara yönelik atakları engellemeye çalışma – Çözüm kendi içinde  • Hizmet veren herşey bir yazılımdır • Problemi temelinden çözmek varken....
Neden Web Güvenliği-II Hacking Stage 6 — Wikipedia, Feb 9 2007
Uygulama Güvenliği Tanımı • Yazılım geliştiriciler en kısa sürede ortaya ürün çıkarma peşindeler. • Guvenlik uzmanları yoğunlukla altyapı güvenliğine yönelmişlerdir • Uygulama Güvenliği: Üretilen yazılımın fonksiyonlarını yitirmeden güvenli bir şekilde geliştirilmesini sağlama.
Uygulama Güvenliği Sorunları • Güvenli kod geliştirme için oturmuş bir standart yok • Yazılım geliştirme süreçlerinde güvenlik bileşeni unutulur • Geliştirme dilleri hala büyük açıklıklar içerebiliyor • Denetim eksikliği – Güncellenen kodlar daha farklı açıklıklar içerebiliyor. • Geliştiriciler üzerinde ciddi baskılar var – Gelişim sürecinde güvenlik için ek zaman düşünülmez – Yeterli eğitim/bilinç(güvenlik açısından) eksik
Web/Uygulama Herşey mi? WEB WEB WEB WEB
Hacker / Güvenlik Uzmanı • Güvenlik uzmanları prosedürel hareket ettiği için hackerlara göre bir adım geriden gelir. • Güvenlik uzmanları için koruma bir meslek, hackerlar için bu korumaları aşmak bir zevktir. • Hacker için bilgi güvenliği diye bir kavram yoktur, sadece aşılması gereken engel vardır! • Hackerların mesaisi, sayısı ve motivasyonu farklıdır... – Siber dünyada gece gündüz kavramları yoktur – 7/24 mesai yaparlar! • Örnek: Wordpress açıklığı
Bakış Açısı • Her iki dünyanın kendine özgü bakış açısı vardır • Bakış açısı örnekleri...
BA-I:User-Agent Kontrolünü Aşma EFT Ücreti:2.5 TL WAP üzerinden yapılan EFT’lerde ücret alınmıyor. Firefox plugini kullanarak UserAgent mobil cihaz gibi gösterilip WAP sayfasından ücretsiz EFT işlemi yapılabilir Nasıl engellenebilir?
BA-II:Bankacılık Uygulamaları IP Kısıtlama
Web Uygulamalarının Güvensizliği • Web uygulamalarında amaç herkese hizmet verebilmektir – Internette en fazla açık port 80/443’tür • Uygulama geliştirme için bir standart henüz yerleşmediği için yazılımı geliştirenler kolay hata yapabilir • Web uygulamalarında yapılan hatalar daha fazla dikkat çeker ve saldırıya açıktır • Birilerinin sizi takip etmesine gerek yok – Google üzerinden aramalarla sayfalarınız hacklenebilir
Web Uygulamalarının Güvensizliği-II • Koruma amaçlı geliştirilen yazılımlar stabil değil – Fazla müdahele istiyor(WAF sistemleri) • Geliştirme aşamalarında güvenlik önemsenmiyor • Üst yönetim Web’i 10 sene önceki haliyle biliyor – Web = bizi tanıtan sayfa • Güvenlikcilerin çoğu web/uygulama dünyasına yabancı
Sık Rastlanan Web Açıklıkları Owasp Top10 -2010
Açıklık Arama Yöntemleri • Google’dan önce, Google’dan sonra olmak üzere ikiye ayrılır • Eski yöntem: Site bulunur üzerinde açıklık aranır • Yeni yöntemler: Açıklık belirlenir, Google vs üzerinden hangi sitelerde açıklık olduğu otomatik belirlenir!
Google Üzerinden Açıklık Arama
Google Üzerinden Hazır Sistem Bulma c99 shell arama
Otomatik SQLi Bulucu
RFI Arama Örnekleri http://ha.ckers.org/weird/rfi-locations.dat
Basit (!) Bir Web Zaafiyeti Nelere Yol Açabilir? Video
Web Shell • Hacklenen sunucuları daha kolay yönetmek için yazılmış web uygulamalarıdır • Her dil için özel yazılmış web shell bulunmaktadır – Asp shell, php shell, jsp shell, perl shell vs • Hackerların işini oldukça kolaylaştırır, birçok işi otomatikleştirir • Detay Linux/UNIX bilgisi gerektirmez, birden fazla siteyi aynı anda deface etmeye yarar, kolaylıkla yakalanmaz(IPS’ler tarafından). • Bypass özellikleri vardır
Sık kullanılan Shell isimleri • R57, c99, cmd.asp, zehir shell vs • jsp-reverse.jsp, php-backdoor.php, perlcmd.cgi • http://www.wtfchan.org/~evil1/Web-Shellsrev2.pdf
R57 Shell
• Video..
Dünyadan Örnekler
Meşhur Türk Hackerlar(?)
Apache Projesi
SQLi 
Baidu.com •Neden? •Nasıl?
Intel.com •Neden? •Nasıl?
CNN & Facebook
American Airlines •Neden? •Nasıl?
Türkiye’den Örnekler...
Wordpress Türkiye Söylentilere göre 15.000 web sayfası bu ele geçirme olayından etkilendi! •Neden? •Nasıl?
Alınacak Dersler • Web açıklıkları basit ama etkili açıklıklardır • Güvenlikte zaafiyetin riski bulunduğu yere göre değişir – Basit(!) bir XSS açıklığı tüm sistemlerinizin ele geçirilmesine neden olabilir • İnsan faktörü hala güvenlik zincirinin en zayıf halkası – Sektörün devamı için şart  • Zaafiyeti analiz edip yayınlamak erdemdir
Web Sunuculara Yönelik DOS Saldırıları • Ya benimsin ya toprağın mantığı • Bilgi güvenliğini tam anlayamamış kurumların dikkat etmedikleri bir konu • Web uygulamaları&sunucuları en kritik bileşenlerdir – Online bankacılık sitesi çalışmayan bir bankanın zararı? – Onlien oyunlar? E-ticaret siteleri? • Diğer DDOS saldırılarına oranla çok daha kolaydır – Aynı şekilde engellemesi de kolaydır • Spoof edilmiş ip adreslerinden yapılamaz – HTTP isteği için TCP’de üçlü el sıkışma tamamlanması gerekir
HTTP ve TCP ilişkisi • HTTP TCP kullanan bir protokoldür. – Her HTTP bağlantısı öncesinde mutlaka TCP bağlantısı kurulmalıdır • Basit bir hesapla her HTTP bağlantısı için ortalama 10 adet TCP paketi gerekir(3 adet TCP bağlantı başlangıcı, 4 adet TCP bağlantı koparılması, 2-3 adet de HTTP isteği ve buna dönecek cevap paketlerinin taşındığı TCP paketleri). • Günümüzde normal bir haber portalının yüklenmesi için ortalama 40-50 HTTP GET isteği gönderilmektedir – Portal sayfasının açılması için ortalama 50X10=500 TCP paketinin gidip gelmesi gerekir
Klasik HTTP oturumu • Her HTTP bağlantısı için TCP bağlantısı gerekir.
HTTP KeepAlive • HTTP KeepAlive(persistent connection): her HTTP isteği için ayrı bir TCP bağlantısı açmak yerine bir adet TCP bağlantısı içerisinden belirli sayıda (5, 10, ..) HTTP isteğinin aktarılabilmesini sağlar.
Http Pipelining • Pipelining http isteklerinin eş zamanlı olarak gönderilmesi işlemidir(KeepAlive ile karıştırılır) • Klasik http bağlantılarında önce istek gönderilir, cevap beklenir, sonra tekrar istek gönderilir, cevabı beklenir • Pipelining kullanıldığında cevapları beklemeksizin birden fazla http isteği eş zamanlı olarak gönderilebilir • KeepAlive özelliği kullanılarak her istek için ek bir TCP bağlantısı açılmaz.
Web Sunuculara Yönelik DOS Saldırıları • Amaç sayfanın işlevsiz kalması ve o sayfa üzerinden verilen hizmetlerin kesintiye uğratılmasıdır. • Web sunuculara yönelik yapılacak DOS saldırıları temelde iki türden oluşur; – Kaba kuvvet saldırıları (Flood) – Tasarımsal/yazılımsal eksikliklerden kaynaklanan zaafiyetler
Kaba kuvvet DOS/DDOS Saldırıları • Literatürde adı “GET Flood”, “POST Flood” olarak geçer • Eş zamanlı olarak binlerce istek gönderilir ve sunucunun kapasitesi zorlanır. • İstekler tek bir ip adresinden gönderilebilir – Bir IP adresinden saniyede 1000 HTTP isteği gönderilebilir • İstekler bir botnet kullanılarak binlerce ip adresinden gönderilebilir
Web Uygulama Güvenliği Testleri Netsparker
Türkçe Web Güvenliği Kaynağı:OWASP Türkiye
www.lifeoverip.net/netsec-listesi/
Sonuç • İnsan faktörü hala güvenlikteki en büyük sıkıntı! • Web uygulama geliştirme süreci standartlara bağlandıkça ve diller daha güvenli yazılım geliştirmeye olanak verene kadar tehdit sıralamasında en üstlerde yer almaya devam edecek • Güvenliği hafife almamak, işi ehline bırakmak gerekir • Herkes kendi payına düşen güvenlik miktarını bilmeli
Teşekkürler...

Recomendados

Yazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriYazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriBGA Cyber Security
 
Web Servislerine Yönelik Sızma Testleri
Web Servislerine Yönelik Sızma TestleriWeb Servislerine Yönelik Sızma Testleri
Web Servislerine Yönelik Sızma TestleriBGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6BGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12BGA Cyber Security
 
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale EgitimiBTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale EgitimiBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Saldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log YönetimiSaldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log YönetimiOğuzcan Pamuk
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9BGA Cyber Security
 
Siber Güvenlik ve Etik Hacking Sunu - 10
Siber Güvenlik ve Etik Hacking Sunu - 10Siber Güvenlik ve Etik Hacking Sunu - 10
Siber Güvenlik ve Etik Hacking Sunu - 10Murat KARA
 

Recomendados

Yazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriYazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriBGA Cyber Security
 
Web Servislerine Yönelik Sızma Testleri
Web Servislerine Yönelik Sızma TestleriWeb Servislerine Yönelik Sızma Testleri
Web Servislerine Yönelik Sızma TestleriBGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6BGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12BGA Cyber Security
 
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale EgitimiBTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale EgitimiBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Saldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log YönetimiSaldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log YönetimiOğuzcan Pamuk
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9BGA Cyber Security
 
Siber Güvenlik ve Etik Hacking Sunu - 10
Siber Güvenlik ve Etik Hacking Sunu - 10Siber Güvenlik ve Etik Hacking Sunu - 10
Siber Güvenlik ve Etik Hacking Sunu - 10Murat KARA
 
Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1BGA Cyber Security
 
Web uygulama açıklıklarından faydalanarak sistem ele geçirme
Web uygulama açıklıklarından faydalanarak sistem ele geçirmeWeb uygulama açıklıklarından faydalanarak sistem ele geçirme
Web uygulama açıklıklarından faydalanarak sistem ele geçirmeBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18BGA Cyber Security
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıBGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3BGA Cyber Security
 
Arp protokolu ve guvenlik zafiyeti
Arp protokolu ve guvenlik zafiyetiArp protokolu ve guvenlik zafiyeti
Arp protokolu ve guvenlik zafiyetiBGA Cyber Security
 
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm ÖnerileriDNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm ÖnerileriBGA Cyber Security
 
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 2
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 2Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 2
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 2BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Hacking'in Mavi Tarafı -2
Hacking'in Mavi Tarafı -2Hacking'in Mavi Tarafı -2
Hacking'in Mavi Tarafı -2Turkhackteam Blue Team
 
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ BGA Cyber Security
 
Kablosuz Ağlarda Güvenlik
Kablosuz Ağlarda GüvenlikKablosuz Ağlarda Güvenlik
Kablosuz Ağlarda GüvenlikBGA Cyber Security
 
Web Uygulama Pentest Eğitimi
Web Uygulama Pentest EğitimiWeb Uygulama Pentest Eğitimi
Web Uygulama Pentest EğitimiBGA Cyber Security
 
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı AnaliziKurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı AnaliziBGA Cyber Security
 
Web Uygulama Güvenliği 101
Web Uygulama Güvenliği 101Web Uygulama Güvenliği 101
Web Uygulama Güvenliği 101Mehmet Ince
 
Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2BGA Cyber Security
 
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıZararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıBGA Cyber Security
 
Metasploit Framework Eğitimi
Metasploit Framework EğitimiMetasploit Framework Eğitimi
Metasploit Framework EğitimiBGA Cyber Security
 
WEB ve MOBİL SIZMA TESTLERİ
WEB ve MOBİL SIZMA TESTLERİ WEB ve MOBİL SIZMA TESTLERİ
WEB ve MOBİL SIZMA TESTLERİ BGA Cyber Security
 
Hacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziHacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziBGA Cyber Security
 
Caldera İle Saldırı Simülasyonu
Caldera İle Saldırı SimülasyonuCaldera İle Saldırı Simülasyonu
Caldera İle Saldırı SimülasyonuBGA Cyber Security
 
Windows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme ÇalışmalarıWindows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme ÇalışmalarıBGA Cyber Security
 
Sızma Testine Giriş - Fuat Ulugay
Sızma Testine Giriş - Fuat UlugaySızma Testine Giriş - Fuat Ulugay
Sızma Testine Giriş - Fuat UlugayFuat Ulugay, CISSP
 

Más contenido relacionado

La actualidad más candente

Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1BGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18BGA Cyber Security
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıBGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3BGA Cyber Security
 
Arp protokolu ve guvenlik zafiyeti
Arp protokolu ve guvenlik zafiyetiArp protokolu ve guvenlik zafiyeti
Arp protokolu ve guvenlik zafiyetiBGA Cyber Security
 
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm ÖnerileriDNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm ÖnerileriBGA Cyber Security
 
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ BGA Cyber Security
 
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı AnaliziKurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı AnaliziBGA Cyber Security
 
Web Uygulama Güvenliği 101
Web Uygulama Güvenliği 101Web Uygulama Güvenliği 101
Web Uygulama Güvenliği 101Mehmet Ince
 
Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2BGA Cyber Security
 
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıZararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıBGA Cyber Security
 
WEB ve MOBİL SIZMA TESTLERİ
WEB ve MOBİL SIZMA TESTLERİ WEB ve MOBİL SIZMA TESTLERİ
WEB ve MOBİL SIZMA TESTLERİ BGA Cyber Security
 
Hacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziHacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziBGA Cyber Security
 
Caldera İle Saldırı Simülasyonu
Caldera İle Saldırı SimülasyonuCaldera İle Saldırı Simülasyonu
Caldera İle Saldırı SimülasyonuBGA Cyber Security
 

La actualidad más candente (20)

Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1
 
Web uygulama açıklıklarından faydalanarak sistem ele geçirme
Web uygulama açıklıklarından faydalanarak sistem ele geçirmeWeb uygulama açıklıklarından faydalanarak sistem ele geçirme
Web uygulama açıklıklarından faydalanarak sistem ele geçirme
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
 
Arp protokolu ve guvenlik zafiyeti
Arp protokolu ve guvenlik zafiyetiArp protokolu ve guvenlik zafiyeti
Arp protokolu ve guvenlik zafiyeti
 
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm ÖnerileriDNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
 
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 2
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 2Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 2
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 2
 
Hacking'in Mavi Tarafı -2
Hacking'in Mavi Tarafı -2Hacking'in Mavi Tarafı -2
Hacking'in Mavi Tarafı -2
 
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
 
Kablosuz Ağlarda Güvenlik
Kablosuz Ağlarda GüvenlikKablosuz Ağlarda Güvenlik
Kablosuz Ağlarda Güvenlik
 
Web Uygulama Pentest Eğitimi
Web Uygulama Pentest EğitimiWeb Uygulama Pentest Eğitimi
Web Uygulama Pentest Eğitimi
 
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı AnaliziKurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
 
Web Uygulama Güvenliği 101
Web Uygulama Güvenliği 101Web Uygulama Güvenliği 101
Web Uygulama Güvenliği 101
 
Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2
 
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıZararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
 
Metasploit Framework Eğitimi
Metasploit Framework EğitimiMetasploit Framework Eğitimi
Metasploit Framework Eğitimi
 
WEB ve MOBİL SIZMA TESTLERİ
WEB ve MOBİL SIZMA TESTLERİ WEB ve MOBİL SIZMA TESTLERİ
WEB ve MOBİL SIZMA TESTLERİ
 
Hacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziHacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem Analizi
 
Caldera İle Saldırı Simülasyonu
Caldera İle Saldırı SimülasyonuCaldera İle Saldırı Simülasyonu
Caldera İle Saldırı Simülasyonu
 

Destacado

Windows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme ÇalışmalarıWindows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme ÇalışmalarıBGA Cyber Security
 
Sızma Testine Giriş - Fuat Ulugay
Sızma Testine Giriş - Fuat UlugaySızma Testine Giriş - Fuat Ulugay
Sızma Testine Giriş - Fuat UlugayFuat Ulugay, CISSP
 
Derinlemesine Paket İnceleme (Deep Packet Inspection)
Derinlemesine Paket İnceleme (Deep Packet Inspection)Derinlemesine Paket İnceleme (Deep Packet Inspection)
Derinlemesine Paket İnceleme (Deep Packet Inspection)BGA Cyber Security
 
DDoS Saldırıları ve Korunma Yöntemleri ile E-posta ve ATM Güvenliği
DDoS Saldırıları ve Korunma Yöntemleri ile E-posta ve ATM GüvenliğiDDoS Saldırıları ve Korunma Yöntemleri ile E-posta ve ATM Güvenliği
DDoS Saldırıları ve Korunma Yöntemleri ile E-posta ve ATM GüvenliğiBGA Cyber Security
 
DDOS Saldırıları ve Korunma Yolları
DDOS Saldırıları ve Korunma YollarıDDOS Saldırıları ve Korunma Yolları
DDOS Saldırıları ve Korunma Yollarınetsec
 
Adli Bilişim Açısından DoS ve DDoS Saldırıları ve Korunma Yöntemleri
Adli Bilişim Açısından DoS ve DDoS Saldırıları ve Korunma YöntemleriAdli Bilişim Açısından DoS ve DDoS Saldırıları ve Korunma Yöntemleri
Adli Bilişim Açısından DoS ve DDoS Saldırıları ve Korunma YöntemleriBGA Cyber Security
 
Bilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBGA Cyber Security
 
Sosyal Medyada Anonim Hesaplar Nasıl Tespit Edilir? - NETSEC
Sosyal Medyada Anonim Hesaplar Nasıl Tespit Edilir? - NETSECSosyal Medyada Anonim Hesaplar Nasıl Tespit Edilir? - NETSEC
Sosyal Medyada Anonim Hesaplar Nasıl Tespit Edilir? - NETSECBGA Cyber Security
 
Mobil Sistemler ve Uygulama Güvenliği
Mobil Sistemler ve Uygulama GüvenliğiMobil Sistemler ve Uygulama Güvenliği
Mobil Sistemler ve Uygulama GüvenliğiBGA Cyber Security
 
Pfsense Firewall ve Router Eğitimi
Pfsense Firewall ve Router EğitimiPfsense Firewall ve Router Eğitimi
Pfsense Firewall ve Router EğitimiBGA Cyber Security
 
DoS ve DDoS Saldırıları ve Korunma Yöntemleri
DoS ve DDoS Saldırıları ve Korunma YöntemleriDoS ve DDoS Saldırıları ve Korunma Yöntemleri
DoS ve DDoS Saldırıları ve Korunma YöntemleriBGA Cyber Security
 
Sizma testine giris - Fuat Ulugay
Sizma testine giris - Fuat UlugaySizma testine giris - Fuat Ulugay
Sizma testine giris - Fuat UlugayFuat Ulugay, CISSP
 
Temel Kavramlar, DoS/DDoS Saldırıları ve Çeşitleri
Temel Kavramlar, DoS/DDoS Saldırıları ve ÇeşitleriTemel Kavramlar, DoS/DDoS Saldırıları ve Çeşitleri
Temel Kavramlar, DoS/DDoS Saldırıları ve ÇeşitleriBGA Cyber Security
 
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıPenetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıBGA Cyber Security
 
Güvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak DerslerGüvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak DerslerBGA Cyber Security
 
DOS, DDOS Atakları ve Korunma Yöntemleri
DOS, DDOS Atakları ve Korunma YöntemleriDOS, DDOS Atakları ve Korunma Yöntemleri
DOS, DDOS Atakları ve Korunma YöntemleriBGA Cyber Security
 
SynFlood DDOS Saldırıları ve Korunma Yolları
SynFlood DDOS Saldırıları ve Korunma YollarıSynFlood DDOS Saldırıları ve Korunma Yolları
SynFlood DDOS Saldırıları ve Korunma YollarıBGA Cyber Security
 
Adli Bilişim Açısından E-posta Sistemi
Adli Bilişim Açısından E-posta SistemiAdli Bilişim Açısından E-posta Sistemi
Adli Bilişim Açısından E-posta SistemiBGA Cyber Security
 

Destacado (20)

Windows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme ÇalışmalarıWindows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme Çalışmaları
 
Sızma Testine Giriş - Fuat Ulugay
Sızma Testine Giriş - Fuat UlugaySızma Testine Giriş - Fuat Ulugay
Sızma Testine Giriş - Fuat Ulugay
 
Derinlemesine Paket İnceleme (Deep Packet Inspection)
Derinlemesine Paket İnceleme (Deep Packet Inspection)Derinlemesine Paket İnceleme (Deep Packet Inspection)
Derinlemesine Paket İnceleme (Deep Packet Inspection)
 
Web 2.0 Güvenliği
Web 2.0 GüvenliğiWeb 2.0 Güvenliği
Web 2.0 Güvenliği
 
DDoS Saldırıları ve Korunma Yöntemleri ile E-posta ve ATM Güvenliği
DDoS Saldırıları ve Korunma Yöntemleri ile E-posta ve ATM GüvenliğiDDoS Saldırıları ve Korunma Yöntemleri ile E-posta ve ATM Güvenliği
DDoS Saldırıları ve Korunma Yöntemleri ile E-posta ve ATM Güvenliği
 
DDOS Saldırıları ve Korunma Yolları
DDOS Saldırıları ve Korunma YollarıDDOS Saldırıları ve Korunma Yolları
DDOS Saldırıları ve Korunma Yolları
 
Adli Bilişim Açısından DoS ve DDoS Saldırıları ve Korunma Yöntemleri
Adli Bilişim Açısından DoS ve DDoS Saldırıları ve Korunma YöntemleriAdli Bilişim Açısından DoS ve DDoS Saldırıları ve Korunma Yöntemleri
Adli Bilişim Açısından DoS ve DDoS Saldırıları ve Korunma Yöntemleri
 
Bilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma Testleri
 
Sosyal Medyada Anonim Hesaplar Nasıl Tespit Edilir? - NETSEC
Sosyal Medyada Anonim Hesaplar Nasıl Tespit Edilir? - NETSECSosyal Medyada Anonim Hesaplar Nasıl Tespit Edilir? - NETSEC
Sosyal Medyada Anonim Hesaplar Nasıl Tespit Edilir? - NETSEC
 
Mobil Sistemler ve Uygulama Güvenliği
Mobil Sistemler ve Uygulama GüvenliğiMobil Sistemler ve Uygulama Güvenliği
Mobil Sistemler ve Uygulama Güvenliği
 
Pfsense Firewall ve Router Eğitimi
Pfsense Firewall ve Router EğitimiPfsense Firewall ve Router Eğitimi
Pfsense Firewall ve Router Eğitimi
 
10 Adımda Sızma Testleri
10 Adımda Sızma Testleri10 Adımda Sızma Testleri
10 Adımda Sızma Testleri
 
DoS ve DDoS Saldırıları ve Korunma Yöntemleri
DoS ve DDoS Saldırıları ve Korunma YöntemleriDoS ve DDoS Saldırıları ve Korunma Yöntemleri
DoS ve DDoS Saldırıları ve Korunma Yöntemleri
 
Sizma testine giris - Fuat Ulugay
Sizma testine giris - Fuat UlugaySizma testine giris - Fuat Ulugay
Sizma testine giris - Fuat Ulugay
 
Temel Kavramlar, DoS/DDoS Saldırıları ve Çeşitleri
Temel Kavramlar, DoS/DDoS Saldırıları ve ÇeşitleriTemel Kavramlar, DoS/DDoS Saldırıları ve Çeşitleri
Temel Kavramlar, DoS/DDoS Saldırıları ve Çeşitleri
 
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıPenetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
 
Güvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak DerslerGüvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak Dersler
 
DOS, DDOS Atakları ve Korunma Yöntemleri
DOS, DDOS Atakları ve Korunma YöntemleriDOS, DDOS Atakları ve Korunma Yöntemleri
DOS, DDOS Atakları ve Korunma Yöntemleri
 
SynFlood DDOS Saldırıları ve Korunma Yolları
SynFlood DDOS Saldırıları ve Korunma YollarıSynFlood DDOS Saldırıları ve Korunma Yolları
SynFlood DDOS Saldırıları ve Korunma Yolları
 
Adli Bilişim Açısından E-posta Sistemi
Adli Bilişim Açısından E-posta SistemiAdli Bilişim Açısından E-posta Sistemi
Adli Bilişim Açısından E-posta Sistemi
 

Similar a Web Uygulama Güven(siz)liği

Dogus University-Web Application Security
Dogus University-Web Application SecurityDogus University-Web Application Security
Dogus University-Web Application Securitymtimur
 
2010 Kocaeli Linux Günleri - Linux Web Geliştiriciliği
2010 Kocaeli Linux Günleri - Linux Web Geliştiriciliği2010 Kocaeli Linux Günleri - Linux Web Geliştiriciliği
2010 Kocaeli Linux Günleri - Linux Web GeliştiriciliğiBurak Oğuz
 
Web Guvenligi Konferansi - Web Hacking Yontemleri
Web Guvenligi Konferansi - Web Hacking YontemleriWeb Guvenligi Konferansi - Web Hacking Yontemleri
Web Guvenligi Konferansi - Web Hacking YontemleriEPICROUTERS
 
Php projelerinde ci_uygulama
Php projelerinde ci_uygulamaPhp projelerinde ci_uygulama
Php projelerinde ci_uygulamaUmut IŞIK
 
Onur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle Saldırıları
Onur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle SaldırılarıOnur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle Saldırıları
Onur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle SaldırılarıCypSec - Siber Güvenlik Konferansı
 
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...BGA Cyber Security
 
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiAçık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiBilgiO A.S / Linux Akademi
 
Python Programlama Diline Giriş - Güncelleme 2018
Python Programlama Diline Giriş - Güncelleme 2018Python Programlama Diline Giriş - Güncelleme 2018
Python Programlama Diline Giriş - Güncelleme 2018Murat KARA
 
Python programlama
Python programlamaPython programlama
Python programlamaMurat KARA
 
2014: Hackerların Yükselişi ( 2014: Rise of the Hackers, Süleyman Özarslan, C...
2014: Hackerların Yükselişi ( 2014: Rise of the Hackers, Süleyman Özarslan, C...2014: Hackerların Yükselişi ( 2014: Rise of the Hackers, Süleyman Özarslan, C...
2014: Hackerların Yükselişi ( 2014: Rise of the Hackers, Süleyman Özarslan, C...Süleyman Özarslan
 
Siber Güvenlik 1. hafta
Siber Güvenlik 1. haftaSiber Güvenlik 1. hafta
Siber Güvenlik 1. haftaOnur Er
 
İstanbulPHP Rails Sunumu
İstanbulPHP Rails SunumuİstanbulPHP Rails Sunumu
İstanbulPHP Rails SunumuSerdar Dogruyol
 
JVM Tuning and Monitoring, JVM Languages, IDE
JVM Tuning and Monitoring, JVM Languages, IDEJVM Tuning and Monitoring, JVM Languages, IDE
JVM Tuning and Monitoring, JVM Languages, IDEHalil İbrahim ÇELENLİ
 
vSphere Integrated Containers
vSphere Integrated ContainersvSphere Integrated Containers
vSphere Integrated ContainersVahric Muhtaryan
 
Php videosu
Php videosuPhp videosu
Php videosusersld89
 
Open Source Android Libraries
Open Source Android LibrariesOpen Source Android Libraries
Open Source Android Librariesmuratcanbur
 

Similar a Web Uygulama Güven(siz)liği (20)

Zed attack-proxy-web
Zed attack-proxy-webZed attack-proxy-web
Zed attack-proxy-web
 
Dogus University-Web Application Security
Dogus University-Web Application SecurityDogus University-Web Application Security
Dogus University-Web Application Security
 
2010 Kocaeli Linux Günleri - Linux Web Geliştiriciliği
2010 Kocaeli Linux Günleri - Linux Web Geliştiriciliği2010 Kocaeli Linux Günleri - Linux Web Geliştiriciliği
2010 Kocaeli Linux Günleri - Linux Web Geliştiriciliği
 
Web Guvenligi Konferansi - Web Hacking Yontemleri
Web Guvenligi Konferansi - Web Hacking YontemleriWeb Guvenligi Konferansi - Web Hacking Yontemleri
Web Guvenligi Konferansi - Web Hacking Yontemleri
 
Php projelerinde ci_uygulama
Php projelerinde ci_uygulamaPhp projelerinde ci_uygulama
Php projelerinde ci_uygulama
 
Onur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle Saldırıları
Onur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle SaldırılarıOnur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle Saldırıları
Onur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle Saldırıları
 
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
 
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiAçık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
 
PHP Sunusu - 2
PHP Sunusu - 2PHP Sunusu - 2
PHP Sunusu - 2
 
Python Programlama Diline Giriş - Güncelleme 2018
Python Programlama Diline Giriş - Güncelleme 2018Python Programlama Diline Giriş - Güncelleme 2018
Python Programlama Diline Giriş - Güncelleme 2018
 
Her şey için Açık Kaynak Kod Sunumu
Her şey için Açık Kaynak Kod SunumuHer şey için Açık Kaynak Kod Sunumu
Her şey için Açık Kaynak Kod Sunumu
 
Python programlama
Python programlamaPython programlama
Python programlama
 
2014: Hackerların Yükselişi ( 2014: Rise of the Hackers, Süleyman Özarslan, C...
2014: Hackerların Yükselişi ( 2014: Rise of the Hackers, Süleyman Özarslan, C...2014: Hackerların Yükselişi ( 2014: Rise of the Hackers, Süleyman Özarslan, C...
2014: Hackerların Yükselişi ( 2014: Rise of the Hackers, Süleyman Özarslan, C...
 
Suleyman Özarslan - 2014 Hackerların Yükselişi
Suleyman Özarslan - 2014 Hackerların YükselişiSuleyman Özarslan - 2014 Hackerların Yükselişi
Suleyman Özarslan - 2014 Hackerların Yükselişi
 
Siber Güvenlik 1. hafta
Siber Güvenlik 1. haftaSiber Güvenlik 1. hafta
Siber Güvenlik 1. hafta
 
İstanbulPHP Rails Sunumu
İstanbulPHP Rails SunumuİstanbulPHP Rails Sunumu
İstanbulPHP Rails Sunumu
 
JVM Tuning and Monitoring, JVM Languages, IDE
JVM Tuning and Monitoring, JVM Languages, IDEJVM Tuning and Monitoring, JVM Languages, IDE
JVM Tuning and Monitoring, JVM Languages, IDE
 
vSphere Integrated Containers
vSphere Integrated ContainersvSphere Integrated Containers
vSphere Integrated Containers
 
Php videosu
Php videosuPhp videosu
Php videosu
 
Open Source Android Libraries
Open Source Android LibrariesOpen Source Android Libraries
Open Source Android Libraries
 

Más de BGA Cyber Security

WEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesiWEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesiBGA Cyber Security
 
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdfTatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdfBGA Cyber Security
 
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık EğitimiÜcretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık EğitimiBGA Cyber Security
 
3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?BGA Cyber Security
 
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBGA Cyber Security
 
Webinar: Popüler black marketler
Webinar: Popüler black marketlerWebinar: Popüler black marketler
Webinar: Popüler black marketlerBGA Cyber Security
 
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım SenaryolarıWebinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım SenaryolarıBGA Cyber Security
 
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020BGA Cyber Security
 
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakWebinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakBGA Cyber Security
 
Open Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-IIOpen Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-IIBGA Cyber Security
 
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner GüvenliğiWebinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner GüvenliğiBGA Cyber Security
 
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİRAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİBGA Cyber Security
 
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing RaporuBGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing RaporuBGA Cyber Security
 
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu ÇözümlerSOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu ÇözümlerBGA Cyber Security
 
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of SecretsVeri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of SecretsBGA Cyber Security
 
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi ToplamaAktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi ToplamaBGA Cyber Security
 
SSL Sertifikalarından Phishing Domain Tespiti
SSL Sertifikalarından Phishing Domain TespitiSSL Sertifikalarından Phishing Domain Tespiti
SSL Sertifikalarından Phishing Domain TespitiBGA Cyber Security
 
Güvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
Güvenlik Testlerinde Açık Kaynak İstihbaratı KullanımıGüvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
Güvenlik Testlerinde Açık Kaynak İstihbaratı KullanımıBGA Cyber Security
 

Más de BGA Cyber Security (20)

WEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesiWEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesi
 
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdfTatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
 
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık EğitimiÜcretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
 
3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?
 
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
 
Webinar: Popüler black marketler
Webinar: Popüler black marketlerWebinar: Popüler black marketler
Webinar: Popüler black marketler
 
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım SenaryolarıWebinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
 
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
 
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakWebinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
 
Open Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-IIOpen Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-II
 
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner GüvenliğiWebinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
 
Open Source SOC Kurulumu
Open Source SOC KurulumuOpen Source SOC Kurulumu
Open Source SOC Kurulumu
 
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİRAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
 
Siber Fidye 2020 Raporu
Siber Fidye 2020 RaporuSiber Fidye 2020 Raporu
Siber Fidye 2020 Raporu
 
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing RaporuBGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
 
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu ÇözümlerSOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
 
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of SecretsVeri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
 
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi ToplamaAktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
 
SSL Sertifikalarından Phishing Domain Tespiti
SSL Sertifikalarından Phishing Domain TespitiSSL Sertifikalarından Phishing Domain Tespiti
SSL Sertifikalarından Phishing Domain Tespiti
 
Güvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
Güvenlik Testlerinde Açık Kaynak İstihbaratı KullanımıGüvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
Güvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
 

Web Uygulama Güven(siz)liği

  • 1. Web Uygulama Güven(siz)liği 2.0 Huzeyfe ÖNAL Bilgi Güvenliği AKADEMİSİ http://www.bga.com.tr honal@bga.com.tr Güvenlik lüks değil, gereksinimdir!
  • 2. Ben Kimim? • • • • Kıdemli bilgi güvenliği uzmanı (İş hayatı) Ağ güvenliği araştırmacısı/uzmanı/. (Gerçek hayat) Özgür yazılım destekçisi Bilgi Güvenliği AKADEMİSİ güvenlik eğitmeni – www.bga.com.tr • Blogger – www.lifeoverip.net
  • 3. Ajanda • Siber dünyada web uygulamaları • Neden web uygulama güven(siz)liği? • Web uygulamalarında güvenliği etkileyen bileşenler • Türkiye ve dünyadan web uygulama güven(siz)liği örnekleri • Güvenlik dünyası ve web uygulamalarına bakışı • Hacker(medya) camiası ve web uygulamalarına bakışı • Günün sonunda kazanan kim? Skor tablosu
  • 4. İşleyiş • Sıcak bir yaz akşamına uygun... • Teknik detaylara boğmadan, uygulama güvenliğine yazılımcı olmayan birinin bakış açısı ve tecrübeleri...
  • 5. Siber Dünyada Web • Web uygulamaları günümüzü ve geleceğimizi kuşatmış durumda – Müzik dinleme:last.fm, fizy.org – Ofis Belgeleri için:Google Docs – Resim işleme amaçlı:Google Picasa, flickr – (A)Sosyal Hayat: Facebook, Friendfeed, twitter – Alışveriş, Para işleri:Paypal.com, online alışveriş siteleri – İletişim:E-posta->Webmail hizmetleri – Oyun: Online oyunlar... – Televizyon: IP TV uygulamaları • Yakın gelecekte web tabanlı işletim sistemleri...
  • 6. Web’i Tanıyalım • Web denilince artık akla iki üç sayfalık html+javascript karışımı sayfalar gelmiyor • Web Uygulama Bileşenleri – Statik sayfalar • HTML – Dinamik sayfalar • CGI, ASP, PHP, Perl, Asp.net, JSP – Veritabanı • Mysql, MsSQL, Oracle, Sybase – Web servisleri – Kullanıcı browserları – Diğer bileşenler... • Ajax vs
  • 7. Geleneksel Güvenlik Yaklaşımı • Henüz OSI 4. katmandan yukarı çıkamamıştır • Network, işletim sistemi ve servis güvenliği • Router(ACL), Firewall – Intrusion Detection System • Intrusion Prevention System » .... • Ağırlık koruma tarafı için ayrılır – Güvenlikcilerin çogu yeni saldırı yöntemlerinden habersizdir • Web güvenliği tarihçesi – 2000~ web uygulamalarının yaygınlaşması – 2005~ Web uygulama güvenliği – 2009-2013 Web güvenliği altın çağı 
  • 10. Neden Uygulama/WEB Güvenliği? • Web=Giriş kapısı • Sınır güvenliğinin en zayıf noktalarından • Güvenlikte en büyük problem: çözümü başka yerde aramak! – IPS ile spesifik uygulamalara yönelik atakları engellemeye çalışma – Çözüm kendi içinde  • Hizmet veren herşey bir yazılımdır • Problemi temelinden çözmek varken....
  • 11. Neden Web Güvenliği-II Hacking Stage 6 — Wikipedia, Feb 9 2007
  • 12. Uygulama Güvenliği Tanımı • Yazılım geliştiriciler en kısa sürede ortaya ürün çıkarma peşindeler. • Guvenlik uzmanları yoğunlukla altyapı güvenliğine yönelmişlerdir • Uygulama Güvenliği: Üretilen yazılımın fonksiyonlarını yitirmeden güvenli bir şekilde geliştirilmesini sağlama.
  • 13. Uygulama Güvenliği Sorunları • Güvenli kod geliştirme için oturmuş bir standart yok • Yazılım geliştirme süreçlerinde güvenlik bileşeni unutulur • Geliştirme dilleri hala büyük açıklıklar içerebiliyor • Denetim eksikliği – Güncellenen kodlar daha farklı açıklıklar içerebiliyor. • Geliştiriciler üzerinde ciddi baskılar var – Gelişim sürecinde güvenlik için ek zaman düşünülmez – Yeterli eğitim/bilinç(güvenlik açısından) eksik
  • 15. Hacker / Güvenlik Uzmanı • Güvenlik uzmanları prosedürel hareket ettiği için hackerlara göre bir adım geriden gelir. • Güvenlik uzmanları için koruma bir meslek, hackerlar için bu korumaları aşmak bir zevktir. • Hacker için bilgi güvenliği diye bir kavram yoktur, sadece aşılması gereken engel vardır! • Hackerların mesaisi, sayısı ve motivasyonu farklıdır... – Siber dünyada gece gündüz kavramları yoktur – 7/24 mesai yaparlar! • Örnek: Wordpress açıklığı
  • 16. Bakış Açısı • Her iki dünyanın kendine özgü bakış açısı vardır • Bakış açısı örnekleri...
  • 17. BA-I:User-Agent Kontrolünü Aşma EFT Ücreti:2.5 TL WAP üzerinden yapılan EFT’lerde ücret alınmıyor. Firefox plugini kullanarak UserAgent mobil cihaz gibi gösterilip WAP sayfasından ücretsiz EFT işlemi yapılabilir Nasıl engellenebilir?
  • 19. Web Uygulamalarının Güvensizliği • Web uygulamalarında amaç herkese hizmet verebilmektir – Internette en fazla açık port 80/443’tür • Uygulama geliştirme için bir standart henüz yerleşmediği için yazılımı geliştirenler kolay hata yapabilir • Web uygulamalarında yapılan hatalar daha fazla dikkat çeker ve saldırıya açıktır • Birilerinin sizi takip etmesine gerek yok – Google üzerinden aramalarla sayfalarınız hacklenebilir
  • 20. Web Uygulamalarının Güvensizliği-II • Koruma amaçlı geliştirilen yazılımlar stabil değil – Fazla müdahele istiyor(WAF sistemleri) • Geliştirme aşamalarında güvenlik önemsenmiyor • Üst yönetim Web’i 10 sene önceki haliyle biliyor – Web = bizi tanıtan sayfa • Güvenlikcilerin çoğu web/uygulama dünyasına yabancı
  • 21. Sık Rastlanan Web Açıklıkları Owasp Top10 -2010
  • 22. Açıklık Arama Yöntemleri • Google’dan önce, Google’dan sonra olmak üzere ikiye ayrılır • Eski yöntem: Site bulunur üzerinde açıklık aranır • Yeni yöntemler: Açıklık belirlenir, Google vs üzerinden hangi sitelerde açıklık olduğu otomatik belirlenir!
  • 24. Google Üzerinden Hazır Sistem Bulma c99 shell arama
  • 27. Basit (!) Bir Web Zaafiyeti Nelere Yol Açabilir? Video
  • 28. Web Shell • Hacklenen sunucuları daha kolay yönetmek için yazılmış web uygulamalarıdır • Her dil için özel yazılmış web shell bulunmaktadır – Asp shell, php shell, jsp shell, perl shell vs • Hackerların işini oldukça kolaylaştırır, birçok işi otomatikleştirir • Detay Linux/UNIX bilgisi gerektirmez, birden fazla siteyi aynı anda deface etmeye yarar, kolaylıkla yakalanmaz(IPS’ler tarafından). • Bypass özellikleri vardır
  • 29. Sık kullanılan Shell isimleri • R57, c99, cmd.asp, zehir shell vs • jsp-reverse.jsp, php-backdoor.php, perlcmd.cgi • http://www.wtfchan.org/~evil1/Web-Shellsrev2.pdf
  • 41. Wordpress Türkiye Söylentilere göre 15.000 web sayfası bu ele geçirme olayından etkilendi! •Neden? •Nasıl?
  • 42. Alınacak Dersler • Web açıklıkları basit ama etkili açıklıklardır • Güvenlikte zaafiyetin riski bulunduğu yere göre değişir – Basit(!) bir XSS açıklığı tüm sistemlerinizin ele geçirilmesine neden olabilir • İnsan faktörü hala güvenlik zincirinin en zayıf halkası – Sektörün devamı için şart  • Zaafiyeti analiz edip yayınlamak erdemdir
  • 43. Web Sunuculara Yönelik DOS Saldırıları • Ya benimsin ya toprağın mantığı • Bilgi güvenliğini tam anlayamamış kurumların dikkat etmedikleri bir konu • Web uygulamaları&sunucuları en kritik bileşenlerdir – Online bankacılık sitesi çalışmayan bir bankanın zararı? – Onlien oyunlar? E-ticaret siteleri? • Diğer DDOS saldırılarına oranla çok daha kolaydır – Aynı şekilde engellemesi de kolaydır • Spoof edilmiş ip adreslerinden yapılamaz – HTTP isteği için TCP’de üçlü el sıkışma tamamlanması gerekir
  • 44. HTTP ve TCP ilişkisi • HTTP TCP kullanan bir protokoldür. – Her HTTP bağlantısı öncesinde mutlaka TCP bağlantısı kurulmalıdır • Basit bir hesapla her HTTP bağlantısı için ortalama 10 adet TCP paketi gerekir(3 adet TCP bağlantı başlangıcı, 4 adet TCP bağlantı koparılması, 2-3 adet de HTTP isteği ve buna dönecek cevap paketlerinin taşındığı TCP paketleri). • Günümüzde normal bir haber portalının yüklenmesi için ortalama 40-50 HTTP GET isteği gönderilmektedir – Portal sayfasının açılması için ortalama 50X10=500 TCP paketinin gidip gelmesi gerekir
  • 45. Klasik HTTP oturumu • Her HTTP bağlantısı için TCP bağlantısı gerekir.
  • 46. HTTP KeepAlive • HTTP KeepAlive(persistent connection): her HTTP isteği için ayrı bir TCP bağlantısı açmak yerine bir adet TCP bağlantısı içerisinden belirli sayıda (5, 10, ..) HTTP isteğinin aktarılabilmesini sağlar.
  • 47. Http Pipelining • Pipelining http isteklerinin eş zamanlı olarak gönderilmesi işlemidir(KeepAlive ile karıştırılır) • Klasik http bağlantılarında önce istek gönderilir, cevap beklenir, sonra tekrar istek gönderilir, cevabı beklenir • Pipelining kullanıldığında cevapları beklemeksizin birden fazla http isteği eş zamanlı olarak gönderilebilir • KeepAlive özelliği kullanılarak her istek için ek bir TCP bağlantısı açılmaz.
  • 48. Web Sunuculara Yönelik DOS Saldırıları • Amaç sayfanın işlevsiz kalması ve o sayfa üzerinden verilen hizmetlerin kesintiye uğratılmasıdır. • Web sunuculara yönelik yapılacak DOS saldırıları temelde iki türden oluşur; – Kaba kuvvet saldırıları (Flood) – Tasarımsal/yazılımsal eksikliklerden kaynaklanan zaafiyetler
  • 49. Kaba kuvvet DOS/DDOS Saldırıları • Literatürde adı “GET Flood”, “POST Flood” olarak geçer • Eş zamanlı olarak binlerce istek gönderilir ve sunucunun kapasitesi zorlanır. • İstekler tek bir ip adresinden gönderilebilir – Bir IP adresinden saniyede 1000 HTTP isteği gönderilebilir • İstekler bir botnet kullanılarak binlerce ip adresinden gönderilebilir
  • 50. Web Uygulama Güvenliği Testleri Netsparker
  • 51. Türkçe Web Güvenliği Kaynağı:OWASP Türkiye
  • 53. Sonuç • İnsan faktörü hala güvenlikteki en büyük sıkıntı! • Web uygulama geliştirme süreci standartlara bağlandıkça ve diller daha güvenli yazılım geliştirmeye olanak verene kadar tehdit sıralamasında en üstlerde yer almaya devam edecek • Güvenliği hafife almamak, işi ehline bırakmak gerekir • Herkes kendi payına düşen güvenlik miktarını bilmeli