WEB YAZILIMLARININ ZAYIFLIKLARI VE KARŞILAŞILABİLCECEK SALDIRI TİPLERİ

Slides:



Advertisements
Benzer bir sunumlar
Dört Bölüm 1.Tanıtım ve Mevcut Durum 2.Hedefler 4.Demo 3.Yeni Sürüm Planlaması.
Advertisements

SGB.NET’İN TEKNİK ALTYAPISI
IIS 6.0. Giriş  Geçtiğimiz yıllarda, Microsoft güvenlik açıkları nedeniyle IIS 4/5 üstünden bir çok saldırıya uğradı.  Bu sebepten Microsoft’un geliştirdiği.
BİLİŞİM SUÇLARI BİLİŞİM SUÇLARI.
Türk Ceza Kanunu’nda Bilişim Suçları
BİLİŞİM ALANINDA SUÇLAR
BARTIN ÜNİVERSİTESİ TEAM VOLTRAN Y.B.S
DİCLE ÜNİVERSİTESİ AKADEMİK BİLGİ SİSTEMİ (AKADEMİKWEB)
BİLGİ GÜVENLİĞİ.
Web Hacking Yöntemleri
İNTERNET VE İLETİŞİM.
SQL Enjeksiyon Saldırı Uygulaması ve Güvenlik Önerileri
İNTERNET VE BİLİŞİM SUÇLARI
Döner Sermaye Mali Yönetim Sistemi Bilgi Güvenliği
BİLGİ GÜVENLİĞİ Bilgi Gizliliği ve Güvenliği Zararlı Yazılımlar
AĞ GÜVENLİĞİ.
Çerez(Cookie) Kullanımı Oturum Yönetimi
Bilişim Güvenliği Semineri
HTML (HYPER TEXT MARKUP LANGUAGE) TEMEL ETİKETLERİ
Veri Güvenliğinin Sağlanması
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
İnternet Teknolojisi Temel Kavramlar
BİLİŞİM SUÇLARI.
Bilgisayar’da Virüsler, Zararlı Yazılımlar ve Alınacak Önlemler
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Bilgi Teknolojileri Güvenlik Uzmanı (IT Security Specialist)
İnternetin Güvenli Kullanımı ve Sosyal Ağlar
BİT’in Gizlilik ve Güvenlik Boyutları
İnternet Teknolojisi Temel Kavramlar
Bilgisayar ve Veri Güvenliği
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
BİLGİ GÜVENLİĞİ Bilgi Gizliliği ve Güvenliği Zararlı Yazılımlar
BİLGİ GÜVENLİĞİ.
FOTOĞRAF & TCK.
TELİF HAKKI.
BİLGİ GÜVENLİĞİ Bilgi Gizliliği ve Güvenliği Zararlı Yazılımlar
HAZIRLAYAN :AYŞEGÜL KILIÇ
BİLGİ GÜVENLİĞİ Şifreleme
BİLGİ GÜVENLİĞİ Şifreleme
TELEFONDA KRİTİK BİLGİ PAYLAŞMAYIN  Yöneticileriniz de dahil hiç kimse ile kurum ve personele ait kritik bilgiyi telefondan paylaşmayın.  Telefon ile.
KIRKLARELİ ÜNİVERSİTESİ
BILIŞIM KOMISYONU Kurumsallıkta Bilişimin Önemi ve Bilgi Güvenliği Ocak 2016.
BİLGİ VE İLETİŞİM TEKNOLOJİLERİ KULLANIMI VE ETİK
BİT’in Gizlilik ve Güvenlik Boyutları.  Bilgi; verinin, işlenerek karar verici için anlamlı ve kullanışlı hale gelmesidir. Veri ise, işletme içinde oluşan.
BİLGİ GÜVENLİĞİ Bilgi Gizliliği ve Güvenliği Zararlı Yazılımlar
VİRÜSLER VE DİĞER ZARARLI YAZILIMLAR. Virüs, casus yazılımlar (spyware), solucan, adware vb. zararlı yazılımlar (malware), reklam, sanal suçlar, bazen.
Temel Bilgi Teknolojileri
Tehditler Taklit Hesap Spam ya da Bot Enfeksiyonları
Bilgisayar Ağlarında Güvenlik
Virüsler ve Diğer Zararlı Yazılımlar
BİLİŞİM TEKNOLOJİLERİ VE YAZILIM DERSİ
haZIRLAYAN: ELİF KARAOĞLU
MUHASEBE YEDEKLEME.
Dünyanın bilgisine açılan pencere...
BİT’İN GİZLİLİK VE GÜVENLİK BOYUTLARI
BİLGİ GÜVENLİĞİ Bilgi Gizliliği ve Güvenliği Zararlı Yazılımlar
Bilgisayar, çevre birimleri, pos makinesi,cep telefonu gibi her türlü teknolojinin kullanılması ile işlenilen suçlardır. Bilişim suçu; Teknolojik aletler.
BİLGİ GÜVENLİĞİ Bilgi Gizliliği ve Güvenliği Zararlı Yazılımlar
PROXY SERVER YASİN ÇAKIR
VİRÜS ÇEŞİTLERİ VE BULAŞMA YÖNTEMLERİ. VİRÜS NEDİR? Bilgisayar virüsleri, aslında "çalıştığında bilgisayarınıza değişik şekillerde zarar verebilen" bilgisayar.
BİLGİ GÜVENLİĞİ. Bilgi güvenliği elektronik ortamda kaydetmiş olduğumuz bilgilerimizin güvenli olması anlamında önemlidir. Elektronik ortamdaki bilgilerimizin.
BİLGİ GÜVENLİĞİ Bilgi Gizliliği ve Güvenliği Zararlı Yazılımlar
VİRÜSLER VE DİĞER ZARARLI YAZILIMLAR
Siber zorbalık İsmail KIRCA İzzettin CESUR
TURKHAREKAT.COM Siber Güvenlik Eğitimlerine Hoşgeldiniz.
Dünyanın bilgisine açılan pencere...
BİLGİ GÜVENLİĞİ Bilgi Gizliliği ve Güvenliği Zararlı Yazılımlar
Amazon Web Servisleri ve Javascript Dilinin Birlikte Kullanımı
SİBER GÜVENLİK VERİNİZİ VE GİZLİLİĞİNİZİ KORUYUN
BLOCKCHAİN NEDİR ? Blok zinciri, ilk defa Bitcoin ile ortaya konulmuş olan, içerisinde kayıtların birbirine kriptografik elementlerle bağlı olduğu sürekli.
Sunum transkripti:

WEB YAZILIMLARININ ZAYIFLIKLARI VE KARŞILAŞILABİLCECEK SALDIRI TİPLERİ KEREM GENCER KARAMANOĞLU MEHMETBEY ÜNİVERSİTESİ BİLGİ İŞLEM DAİRESİ BAŞKAN V.

WEB YAZILIMLARI NASIL ÇALIŞIR?

İstemci ve sunucu yazılımları diğer kullanıcı ve sistemlerle ile http protokolonü kullanarak haberleşirler. Modern yazılımlar sunucu taraflı(server side) olarak Java,ASP,ASP.NET,PHP yada benzeri diller ve platformlar üzerinde arka planda veritabanına bağlanarak çalışırlar.

HACKER KİMDİR? SALDIRGAN Hacker bilgisayar sistemlerinin detaylarını bilen,her türlü bilişim suçunu işleyebilecek potansiyele sahip kişidir. Beyaz şapkalılar ve siyah şapkalılar olmak üzere iki grupta incelenebilirler. Beyaz şapkalılar,bilişim teknoloji ve sistemlerini geliştirmek ve güvenliği sağlamayı amaç edinen iyi niyetli bilgisayar uzmanlarıdır. Siyah şapkalılar ise korsan diye adlandırılan temel amaçları sistem yada kişilere zarar vermek olan kötü niyetli kişilerdir.

DÜŞMANI TANIMAK!!! Bir savaşı yenmek için, bireyin yöntemi bilmesi gerekir Sun Tzu Savaş Sanatı “The Art of War

SALDIRI TİPLERİ Xss (Cross site scripting) SQL enjeksiyon Çerez ve oturum zehirleme Parametre ve form değiştirme Hafıza taşması(Buffer overflow) Çerez kurcalama(Cookies Snooping) 0 gün atakları(Zero day attacks) CSRF saldırıları

XSS (Cross Site Scirpting) XSS web yazılımlarında veri girişi yapılan alanlara zararlı kod gönderilmesi ile ortaya çıkan bir zayıflıktır.Bu saldırı sayesinde saldırgan web sayfasının başka bir siteye yönlendirilmesini oturum ve çerez bilgilerinin çalınması sağlar. Genelde XSS saldırılarında kullanılan kodlar Javascirpt’tir.

TİPLERİ VE KORUNMA 1-Depolanmış Saldırı(Stored Attack): Bu saldırı form tarzı kullanıcıların girdiği metinlerin veri tabanında tutulduğu alanlara yapılır.Bu sayede sayfayı ziyaret eden herkese zararlı kod gönderilebilir. 2-Yansıltılmış Saldırı(Reflected Attack): Zararlı kodların bulunduğu sayfaya kurbanların yönlendirilmesini sağlamayı amaçlar.Genelde E-posta mesajları ile gerçekleştirilir. Korunma;web yazılımlarında kullanıcı veri girişine izin verilen alanlarda filitreleme yaparak bu açıkları kapatabiliriz. Neler filitrelenecek;< >; / ? = & # % {} ve çerezler içinde kullanıcı adı şifre tutulmamalıdır.Eğer gerekliyse kesinlikle şifrelenmelidir.

SQL enjeksiyon nedir? SQL komutlarının web yazılımlarına gönderilmesi sonucu ortaya çıkan zayıflıklar.Saldırgan zayıf olan web yazılımını kullanarak veritabanında bulunan bilgileri ele geçirebilir. Sql(Structed Query Language) yani yapısal sorgu dili veritabanlarına ulaşmak ve işlem yapmakta kullanılan standart yardımcı bir alt dildir.

BASİT BİR SALDIRI ÖRNEĞİ VE KORUNMA Kullanıcı adı: x’or’1’=‘1 Şifre: x’or’1’=‘1 komutu web yazılımına gönderildiğinde şifrem x yada 1=1 ise girişi sağla anlamına gelmektedir. Korunma;web yazılımlarında SQL enjeksiyon saldırısı yapmakta kullanılan komut ve krakterlerin geçişi engellenmelidir.Veritabanı giriş yetkileri düzenlenmeli,hata mesajları engellenmelidir.

Bilgi en güçlü silahtır!!! ‘Cehalet insanın isteyerek talihsizliğe talip olmasıdır.’ G.Ipsen

ÇEREZ VE OTURUM ZEHİRLEME Çerezler zayıf http protokolünde çalışan oturum durumunun devamını sağlamak için kullanılan en temel bileşenlerdir.Saldırgan web yazılımında birkaç kullanıcının bilgisine sahipse web yazılımının nasıl şifreleme yaptığını algılayarak diğer kullanıcıların yetkilerine ulaşabilir ve yetkisiz giriş yapabilir. Korunma;çerez ve oturumlar için sürelerin belirlenmesi ve web yazlımlarına ‘oturumu kapat’ özelliklerinin eklenmesi güvenliğin artırılmasını sağlayacaktır.

HAFIZA TAŞMASI(Buffer Overflow) Web yazılımlarının çalışma anını(run time) bozmak için kullanılır.Bilinen tüm web yazılımları bu saldırı tipine açıktır.Sadece Java bu tür saldırılara karşı ekstra güvenlik sağlamaktadır. Korunma;formlara girilen verilerin sıkı bir şekilde denetlenmesi ve yazılımlarına gelen sorguların çalıştırılmadan denetlenmesi saldırılardan korunmamızı sağlar.

Klasör Üzerinden Geçme Bu saldırı türü web yazılımı dışında saldırgan web sunucunun klasör yapısını görüntüleyebiliyorsa ortaya çıkar. Korunma; web yazılımlarının NTFS diskler üzerinde tutulması sunucu güvenliğini artıracaktır.’cmd.exe’ çalıştırma yetkilerinin ‘everyone’yani herkes gurubunda çıkartılmalıdır.

Çerez Kurcalama Web yazılımcıları çerez bilgilerini korumak için sıklıkla şifrelerler.Kolaylıkla şifreleri çözülebilen yöntemler olan Rot13 ve base64 kullanılması çerezlerin zarar görmesine neden olur. Korunma ; web yazılımcıları çerez daha güvenli bir şifreleme yöntemiyle şifrelemeleri ve çerezleri SSL(secure socket layer) bağlantısı üzerine entegre edilmesi güvenliği artırır.

Kimlik doğrulama Form tabanlı yazılımlarda şifreleri deneyebilecek bir çok yazılım bulunmaktadır.Kullanıcı adı ve şifre girişi bölümlerine yapılabilecek saldırılar ile kullanıcı hesapları ele geçirilebilir. Korunma;kimlik doğrulamanın yapıldığı alan SSL ile şifrelenmesi gerekir.Ayrıca web yazılımlarının kullanıcı hesaplarına şifre denenmeleri algılanarak hesapların belli süreliğine kilitlenmesi karşı koruma sağlayacaktır.

0 gün saldırıları(zero day attacks) 0 gün saldırıları bir zayıflığın güvenlik uzmanı yada saldırgan tarafından bulunmasıyla üreticinin bu açığı kapatması arasında geçen sürede gerçekleşir.

CSRF(cross site request forgery) Xss e çok benzer bir saldırı çeşididir.CSRF saldırısına bir örnek vermek gerekirse bir kullanıcının bir banka sitesinde işlemlerini yaptıktan sonra pencereyi oturumu kapatmadan terk ettiğini düşünelim.Bu bağlantı alınarak kurbanın kullandığı bir site şekline sokulup sayfa ziyaret edildiğinde istenilen yere havale yaptırılması mümkündür. Buna benzer bir olay ocak 2007 yılında gmail kullanıcı iletişim bilgilerini alacak google alan adı uzantılı üzerindeki bir url den sağlanmıştır. Korunma;risk içeren sitelere girilmemesi,web yazılımlarından çıkarken muhakkak oturumun kapatılması sayılabilir

CAPTCHA Basitçe bir kullanıcının önemli işleri yaparken karışık fakat okunabilir harf içeren resimde görülenleri girmesini ister.

Kötü amaçlı kişiler şifreleri nasıl ele geçirir? Çalarak Tahmin ederek Brute force saldırısı kullanarak Sözlük saldırısı Hyrid saldırısı ZAYIFLIK

Güçlü Şifreleme Nasıl olur? Şifre ne kadar uzun olursa kırılması ok dar fazla zaman alır. Şifre içinde büyük küçük harf,rakam ve semboller bulunmalıdır. Periyodik olarak şifrelerimizi yenilemeliyiz. Şifremizi kimseyle paylaşmamalıyız. Yerel ağda tutulan msn ve network şifreleri rundll32.exe keymgr.dll,KRShowKeyMgr Komutuyla silinebilir.

Sistemlerimizin güvenliğini artırmak için bazı yazılımlar Web password;web yazılımlarının belirtilen bölümlerine girişi şifreli hale getiren bir yazılımdır. Passreminder;tüm şifreleri içine kaydedebilen ve istenildiği zaman kopyalamamıza izin veren,kendi yine şifreli olarak tutan bir programdır. Dotdefender;web yazılımlarını bilinen tüm saldırılara karşı koruyabilen bir yazılımdır.Periyodik aralıklarla güncellenip yeni saldırılara karşı sistemi korur.

Güvenlik Kavramı ‘ Güvenlik bir ürün değil ,bir süreçtir.’ Bruce Schneier Gizlilik Bütünlük Erişilebilirlik İşleme Depolama İletim Politikalar ve Yönergeler Teknoloji Uygulamaları Eğitim ve Bilinçlendirme

BİLİŞİM SUÇLARI Türk Ceza Kanunu; Madde 243; Bir bilişim sisteminin bütününe yada bir kısmına hukuka aykırı olarak giren ve orda kalmaya devam eden kimseye bir yıla kadar hapis veya para cezası verilir. Madde 244; Bir bilişim sisteminin işleyişini engelleyen veya bozan kişi bir yıldan beş yıla kadar hapis cezası ile cezalandırılır. Madde 136; Kişisel verileri hukuka aykırı olarak bir başkasına veren,yayan yada ele geçiren bir yıldan dört yıla kadar hapis cezası ile cezalandırılır.

İlginiz için teşekkürler keremgen@kmu.edu.tr