Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.

Slides:



Advertisements
Benzer bir sunumlar
Sanallaştırma Güvenliği : Tehditler , Önlemler ve Fırsatlar
Advertisements

VERİTABANI YÖNETİM SİSTEMLERİ
PHP VE MYSQL.
IIS 6.0. Giriş  Geçtiğimiz yıllarda, Microsoft güvenlik açıkları nedeniyle IIS 4/5 üstünden bir çok saldırıya uğradı.  Bu sebepten Microsoft’un geliştirdiği.
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Amaçlar  Verinin üretildiği yerden ve üretildiği anda elektronik ortamdan alınması  İnsan emeği ve hataların en aza indirilmesi  Birbirine bağlı süreçlerde.
WEB YAZILIMLARININ ZAYIFLIKLARI VE KARŞILAŞILABİLCECEK SALDIRI TİPLERİ
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the Creative Commons Attribution-ShareAlike.
YZM Yazılım Doğrulama ve Geçerlileme
HTTP’yi (istemci tarafı) kendi kendinize deneyin
BİLGİ GÜVENLİĞİ.
Web Hacking Yöntemleri
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
E TİCARETTE GÜVENLİK SORUNLARI VE ÖNLEMLERİ
B İ LG İ GÜVENL İĞİ NDE KULLANICI SORUMLULU Ğ U. Sistemi içeriden yani kullanıcıdan gelebilecek hatalara ve zararlara kar ş ı koruyan bir mekanizma yoktur.
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the Creative Commons Attribution-ShareAlike.
SQL Enjeksiyon Saldırı Uygulaması ve Güvenlik Önerileri
İNTERNET VE BİLİŞİM SUÇLARI
Döner Sermaye Mali Yönetim Sistemi Bilgi Güvenliği
Kırklareli Üniversitesi Pınarhisar Meslek Yüksekokulu
DOVECOT İLE IMAP VE POP3 SERVER KURULUMU
BTP 108 BİLGİSAYAR AĞ SİSTEMLERİ AĞ KAVRAMI Birden çok bilgisayarın birbirine bağlı olarak kullanılmasıyla oluşturulan çalışma biçimine bilgisayar ağı.
PHP İle GÜVENLİ KODLAMA
1 DİNAMİK WEB SAYFASI. 2 Personel ve Öğrenciler ile tüm internet kullanıcılarına hizmet verebilecek, Ziyaretçilerin kolay anlaşılabilir bir ara yüz ile.
Organize Sanayi Bölgeleri Bilgi Sitesi Kullanıcı Rehberi
AĞ GÜVENLİĞİ.
Ağ ve Sistem Yönetimi Şubesi
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Çerez(Cookie) Kullanımı Oturum Yönetimi
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
1 İZMİR ORMAN BÖLGE MÜDÜRLÜĞÜ-2008 İZMİR ORMAN BÖLGE MÜDÜRLÜĞÜ BİT ÇALIŞMALARI.
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
SON KULLANICI HATALARI BİLGİ İŞLEM DAİRE BAŞKANLIĞI SON KULLANICI HATALARI Cengiz Acartürk 03 Ekim 2003.
Pratik kullanım rehberi elektronik dergileri. Hoş Geldiniz! IOP Elektronik Dergiler Rehberi İletişim için İçindekiler journals.iop.org 2 journals.iop.org.
BİLGİ GÜVENLİĞİ Şifreleme
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
YONT171 Bilgi Teknolojilerine Giriş I
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Internette iki çe ş it adresleme kullanılır. IP numarası herhangi bir bilgisayar internete ba ğ landı ğ ı anda, dünya üzerinde sadece ona ait olan bir.
BİLGİSAYARDA GÜVENLİK
 Bilgisayarlar arasında bilgi alışverişini, dosya iletimini sağlamaktadır.  Bu protokol kullanılarak, internet üzerinde bulunan herhangi bir bilgisayarda.
TCP/IP – DHCP Nedir?.
İNTERNET TARAYICI (WEB BROWSER) PROGRAMLARI
İnternetin Güvenli Kullanımı ve Sosyal Ağlar
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Bilişim Suçları Ve Güvenlik
İKMAP İnternet 1 Ders Notu
Bilgisayar ve Veri Güvenliği
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
BİLGİ GÜVENLİĞİ.
BİLGİ GÜVENLİĞİ Şifreleme
Türk Hava Kurumu Üniversitesi
BİLGİ GÜVENLİĞİ Şifreleme
GÜVENLİĞİ TEHDİT EDEN DİĞER UNSURLAR. Sosyal Mühendislik Sosyal mühendislik, teknik olmayan bir saldırı türüdür ve kimi zaman teknik saldırılardan daha.
İşletim Sistemlerinin Yönetilmesinde Güvenlik İlkeleri
KÜTÜPHAN-E TÜRKİYE PROJESİ Güvenli e-Posta Kullanımı.
MUHASEBE YEDEKLEME.
BİT’İN GİZLİLİK VE GÜVENLİK BOYUTLARI
Active Directory.
VİRÜS ÇEŞİTLERİ VE BULAŞMA YÖNTEMLERİ. VİRÜS NEDİR? Bilgisayar virüsleri, aslında "çalıştığında bilgisayarınıza değişik şekillerde zarar verebilen" bilgisayar.
LDAP ( LİGHTWEİGHT DİRECTORY ACCESS PROTOCOL )
HTTP Kullanıcı Asıllama ve Yetkilendirme
Kullanıcıların Bilgilendirilmesi
Milli Eğitim Bakanlığı Eğitek Haydar TUNA Teknik Öğretmen ve Yazar
SUNUM PLANI Yasal konular ve uygulamalar SUNUM PLANI
Sunum transkripti:

Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation OWASP İLK 10 ZAFİYET Web Güvenlik Topluluğu OWASP-Türkiye

CROSS SITE SCRIPTING - XSS Uygulamanın kullanıcıdan veri alması ve bunları herhangi bir kodlama ya da do ğ rulama işlemine tabi tutmadan sayfaya göndermesi ile oluşur. Kurbanın tarayıcısında oturum bilgilerinin çalınmasına, web sayfasının tahrif edilmesine, solucan yüklenmesine, v.b. sebep olur. 2

XSS – Korunma  Gelen verilerin do ğ rulanması  Çıkan verilerin kodlanması ( HTML/URL Kodlama )  Sayfa kodlamalarının belirtilmesi ( UTF8/ISO )  Kara liste yöntemlerinin kullanılmaması  Varsayılan hata çıktılarının izlenmesi  Kodlama standartlarının yanlış kullanılmaması 3

ENJEKSİYON HATALARI Enjeksiyon, kullanıcı tarafından alınan verinin yorumlayıcıya (interpreter) komut ya da sorgunun bir parçası olarak gönderilmesi durumda oluşur. Özellikle SQL enjeksiyonuna web sitelerinde sıkça rastlanmaktadır. 4

Enjeksiyon – Korunma  Gelen verilerin do ğ rulanması  Parametrelenmiş sorgu API’larının kullanılması  Dinamik sorgu tiplerinin kullanılmaması  Minimum hak prensibinin uygulanması  Detaylı hata mesajlarının önlenmesi  Kodlama standartlarının yanlış kullanılmaması 5

ZARARLı DOSYA ÇALıŞTıRMA Zararlı dosya çalıştırılması, kullanıcıdan dosya adı veya dosya kabul eden PHP, XML veya diğer uygulama çatılarını etkileyebilir. Özellikle PHP uygulamalarında RFI saldırılarına sıkça rastlanmaktadır. 6

Zararlı Dosya Çalıştırma – Korunma  Dolaylı nesne referans haritası kullanılması  Gelen verilerin do ğ rulanması  Sunucular için güvenlik duvarı kuralları uygulanması  Sunucularda chroot kullanılması  PHP yapılandırma sıkılaştırmalarının yapılması 7

GÜVENSİZ DOĞRUDAN KAYNAK REFERANSI Do ğ rudan Kaynak Referansı; geliştirici dosya, dizin, veritabanı kaydı gibi bir bilgiyi URL veya form parametresi olarak alıp bunu uygulamaya referans olarak tanımladığı zaman oluşur. Böylece saldırgan referansı manipüle ederek yetkisi olmayan nesnelere erişebilir. 8

Kaynak Referansı – Korunma  Hassas nesne referanslarının gösterilmemesi  Hassas nesne referanslarının doğrulanması  Referans verilmiş bütün nesnelerin yetkilendirme kontrollerinin yapılması 9

SİTELER ÖTESI İSTEK SAHTECİLİĞİ CSRF CSRF saldırıları; sisteme giriş yapmış kurbana ait tarayıcının, aynı web uygulamasına sonradan saldırganın yararına olacak, özel olarak hazırlanmış ve önceden do ğ rulanmış bir istek göndermesine sebep olur. CSRF, saldırdı ğ ı web uygulaması kadar güçlü olabilir. 10

CSRF – Korunma  Uygulamalarda XSS açıklıklarının yok edilmesi  Her form ve URL’ye özel tokenlar konulması  Hassas veri transferlerinde veya işlemlerinde yeniden kimlik doğrulaması istenmesi  Hassas veri transferlerinde veya işlemlerinde GET metodunun kullanılmaması  Sadece POST metoduna güvenilmemesi 11

BİLGİ İFŞASI VE YETERSİZ HATA YÖNETİMİ Uygulamalar istemeden de olsa yapılandırmaları, iç işleyişleri hakkında bilgi sızdırabilir veya uygulama sorunlarından dolayı güvenlik ihlallerine yol açabilirler. Saldırganlar, bu zayıflıkları sonradan daha ciddi saldırılar gerçekleştirmek veya önemli bilgileri çalmak için kullanabilir. 12

Bilgi İfşası – Korunma  Bütün geliştirici takımının hata yönetiminde aynı yolu izlediğine emin olunması  Bütün katmanlardan gelen detaylı hata mesajlarına izin verilmemesi / kısıtlandırılması  Varsayılı hata mesajlarında HTTP 200 dönmesinin sağlanması 13

YETERSİZ KİMLİK DO Ğ RULAMA OTURUM YÖNETİMİ Hesap bilgileri ve oturum anahtarları ço ğ u zaman düzgün olarak korunmamaktadır. Saldırganlar şifreleri ve kimlik denetimi anahtarlarını kullanıcının di ğ er bilgilerini elde etmek için kullanabilirler. 14

Kimlik Do ğ rulama / Oturum Yönetimi Korunma  Sunucunun sağladığı oturum yönetimi mekanizmalarını kullanın  Önceden verilmiş, yeni veya hatalı oturum bilgilerinin kabul edilmemesi  Özel cookielerin kimlik doğrulama ve oturum yönetimi işlemleri için kullanılmaması  Kimlik doğrulama sonrası yeni bir cookie oluşturun 15

Kimlik Doğrulama / Oturum Yönetimi Korunma  Zaman aşımı kontrollerinin uygulanması  Şifre değişiminde eski şifrenin sorulması  Sahtesi üretilebilecek bilgileri kimlik doğrulamada güvenmeyin (Referer, IP, DNS isimleri) 16

GÜVENSIZ KRİPTOĞRAFİK DEPOLAMA Web uygulamaları verilerin ve bilgilerin güvenli ğ ini sağlamak için nadiren kriptografik fonksiyonları kullanırlar. Saldırganlar zayıf korunan veriyi, kimlik hırsızlı ğ ı ve kredi kartı dolandırıcılığı gibi di ğ er suçları işlemek için kullanırlar. 17

Güvensiz Kriptoğrafi – Korunma  Kişisel kripto ğ rafik algoritmalar kullanılmaması  Zayıf kripto ğ rafik algoritmaların kullanılmaması  Private key’lerin dikkatlice saklanması  Arka uç hassas bilgilerinin dikkatlice saklanması  Gerekmeyen bilginin kesinlikle saklanmaması 18

GÜVENSİZ İLETİŞİM Uygulamalar sıklıkla hassas bağlantıların korunması gerektiğinde a ğ trafiğini şifrelemede başarısız olurlar. Şifreleme (genellikle SSL) bütün bağlantıların kimlik doğrulaması için özellikle hem internet erişimi olan web sayfaları için hem de sunucu uygulamaları için kullanılmak zorundadır. 19

Güvensiz İletişim – Korunma  Kimlik doğrulama ve diğer hassas bilgilerin işlendiği trafiklerde SSL kullanılması  Arka uç sistemlerdeki bağlantılarda SSL kullanılması 20

YETERSİZ URL ERİŞİMİ KISITLAMA Uygulamalar hassas fonksiyonelliklerini korumak için ço ğ unlukla linkleri veya URL’leri yetkilendirilmemiş kullanıcılara göstermemeyi seçerler. Saldırganlar bu URL’lere do ğ rudan erişerek, yetkisi olmayan işlemleri gerçekleştirmek için bu zayıflı ğ ı kullanabilirler. 21

Yetkisizi URL Erişimi – Korunma  Yetkilendirme matrisinin güçlü bir şekilde kullanılması  Uygulamaya penetrasyon testi gerçekleştirilmesi  Gizli URL’lere ve HTML parametrelere güvenilmemesi  Sunucunun anlamadığı bütün dosya uzantılarına önlemesi  Yamaların ve virüs korumasının yenilenmesi 22

webguvenligi.org owasp.org 23