Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.

Benzer bir sunumlar


... konulu sunumlar: "Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP."— Sunum transkripti:

1 Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation OWASP-TR Saldırı Savunma Bedirhan URGUN Web Güvenlik Topluluğu Tübitak – UEKAE Dili: Javascript Web 2.0

2 OWASP Türkiye İçerik  Amaç  Motivasyon  Javascript Temelleri  Javascript ve İki Sıradışı Özelliği  Javascript ile Saldırı Tespit - Demo  Sonuç

3 OWASP Türkiye Amaç  Javascript ile Web 2.0 güvenliği farkındalığı

4 OWASP Türkiye Motivasyon

5 OWASP Türkiye Motivasyon devam  Javascript Malware (kötücül yazılım)  Bilgi hırsızlığı  Oturum korsanlığı  Clipboard çalma  Tuş yakalama  Ekran çalma  İçerik değişikliği (tahrifat)

6 OWASP Türkiye Geçmiş Tarama Motivasyon

7 OWASP Türkiye Port Tarama Motivasyon

8 OWASP Türkiye Dahili IP Çalma Motivasyon

9 OWASP Türkiye Web Spidering Motivasyon

10 OWASP Türkiye XSS Bot(net) Motivasyon

11 OWASP Türkiye Açıklık Tarama Motivasyon

12 OWASP Türkiye Web Solucanı Motivasyon

13 OWASP Türkiye Javascript Temelleri  1995 Netscape, Brendan Eich  1996 Microsoft, JScript  1997 ECMA-262, ECMAScript  Lehçeler;  Mozilla Firefox, Spider Monkey, Rhino  IE, Opera, Konqueror, Safari .NET Framework  Adobe: Flash, Flex, Acrobat

14 OWASP Türkiye Javascript Temelleri devam  Dinamik  Prototip tabanlı  Zayıf yapısal (loose typing)  Statik kapsamlı (lexical scoping)  Birinci sınıf nesneler olarak fonksiyonlar  Açık kod dağıtımı (source code delivery)

15 OWASP Türkiye  Global ve lokal değişkenler tat = “tuzsuz”; function tuzkoy(){ tat = “tuzlu”; } tuzkoy() alert(tat);  Komut sonu karakteri ; veya yeni satır  Büyük küçük harf hassasiyeti Javascript Temelleri devam var

16 OWASP Türkiye Javascript Temelleri devam  Veri tipleri  Number  Boolean  String  null  undefined  ve diğer herşey Object

17 OWASP Türkiye Javascript ve Farklı Özellikleri  Programlama Dilleri – 3xx  Buyurucu (Imperative) programlama  komutlarla durumun değişmesi  örn: for(var i=0; i < myarray.length; i++) square( myarray[i] )  Bildirimsel (Declarative) programlama  fonksiyonların uygulanması  örn: myarray.map( square, null )

18 OWASP Türkiye Javascript ve Farklı Özellikleri  Bildirimsel programlamanın 2 temeli  Lambda (birinci sınıf nesneler : fonksiyonlar) var ikiEkle = function (x) { return x + 2; } ikiEkle(3); // sonuç 5  Bir kez oluştur ve bir kez çalıştır

19 OWASP Türkiye Javascript ve Farklı Özellikleri  Bildirimsel programlamanın 2 temeli devam  Closure (Kuşatma) function birEkle (y) { return function() { return y + 1; }; } var x = birEkle(5); x(); // sonuç 6

20 OWASP Türkiye DEMO  Depolanmış XSS  Javascript ile Saldırı Tespit Stratejisi  Atlatma  Daha İyi Saldırı Tespit Stratejisi DEMO SUNUMDA DEĞİL 

21 OWASP Türkiye Depolanmış XSS

22 OWASP Türkiye Sonuç  Javascript  Web 2.0 güvenliği için temel,  Web 2.0 uygulama geliştirilmesi için temel,  Göründüğünden daha karmaşık ve güçlü,  Her açıdan incelenmeye değer bir dil

23 OWASP Türkiye Kaynaklar  Yahoo! UI Library: YUI Theater  Douglas Crockford   Javascript: The Definitive Guide  David Flanagan 


"Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP." indir ppt

Benzer bir sunumlar


Google Reklamları