Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation OWASP Perl de Güvenlik Modülü: Security.pm Bunyamin Demir OWASP-Turkey Chapter Web Security Day - Ankara Nov 24 th, 2007

OWASP Türkiye 2 İçerik  Güvenlik Modülü Tasarımı  Neler Eklenebilir?

OWASP Türkiye 3 Güvenlik Modülü Tasarımı  Hangi konularda tedbir almalıyım?  Girdi denetimi ve doğrulanması  Sql Injection  XSS  Session IDs  Hata Denetimi

OWASP Türkiye 4 Güvenlik Modülü Tasarımı – Girdi Denetimi ve Doğrulanması  Girdilere modülü kullanmadan erişimin engellenmesi.  Girdilerin tipine karar verilmesi ( ,ip,string v.s)  Tiplerin alt ve üst sınır uzunluklarının belirlenmesi (lenght)  Özel girdiler  Username  Name  Lastname  v.s.

OWASP Türkiye 5 Güvelik Modülü Tasarımı – Sql Injection  Placeholders  Placeholder kullanılmamış;  my $sth_user = $dbh->prepare (qq(SELECT * FROM users WHERE Userid=$uid )); $sth_user->execute || die 'SQL_ERROR'; # $uid or 1=1  Placeholder kullanılmış;  my $sth_user = $dbh->prepare (qq(SELECT * FROM users WHERE Userid=? )); $sth_user->execute($uid) || die 'SQL_ERROR';

OWASP Türkiye 6 Güvenlik Modülü Tasarımı - XSS  Girdi ve çıktı denetimi  Girdi  /home?cmd= alert('deneme') -Birlikte tamamlayacağız-  Dikkat edilmesi gerekenler  Whitelist; a-z,A-Z,0-9 kabul et.  Blacklist;, &, =, %, :, “, ‘ reddet.  HTML Encode; “ ” > “&” &  URL Encode; “ ” %3e

OWASP Türkiye 7 Güvenlik Modülü Tasarımı – Session IDs  Oturum id si URL den değil Cookie`den gönderilmeli ve alınmalı.  Rastgele ve aynı anda biriyle çakışmayacak id ler üretilmeli.  Data set >= 128 bits den fazla olmalı (tavsiye).  İlaveler  Veritabanında tutulabilir  IP kontrolü yapılabilir  v.s.

OWASP Türkiye 8 Güvenlik Modülü Tasarımı – Hata Denetimi  Kullanıcı adı hatalı, kullanıcı adı en az 5 karakter olmalı, şifre hatalı v.s gibi saldırgana bilgiler verilmemeli.  Kod tarafında oluşan hatalar direk hatanın kaynağı değilde kodu yazan kişiye yardımcı olacak şekilde düzenlenmeli (sadece satır numarası gösterilebilir).  Ek olarak  Veritbanına yazdırılabilir.  Hatalar özel bir dosyaya yazdırılabilir.

OWASP Türkiye 9 Neler Eklenebilir ……

OWASP Türkiye 10 C S & S O R U L A R C E V A P L A R S&CS&C

OWASP Türkiye 11 Teşekkürler! Bünyamin Demir