Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.

... konulu sunumlar: "Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP."— Sunum transkripti:

1 Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation OWASP-TR http://www.owasp.org Saldırı Savunma Bedirhan URGUN Web Güvenlik Topluluğu Tübitak – UEKAE urgunb@hotmail.com Dili: Javascript Web 2.0

2 OWASP Türkiye İçerik  Amaç  Motivasyon  Javascript Temelleri  Javascript ve İki Sıradışı Özelliği  Javascript ile Saldırı Tespit - Demo  Sonuç

3 OWASP Türkiye Amaç  Javascript ile Web 2.0 güvenliği farkındalığı

4 OWASP Türkiye Motivasyon

5 OWASP Türkiye Motivasyon devam  Javascript Malware (kötücül yazılım)  Bilgi hırsızlığı  Oturum korsanlığı  Clipboard çalma  Tuş yakalama  Ekran çalma  İçerik değişikliği (tahrifat)

6 OWASP Türkiye Geçmiş Tarama Motivasyon www.gnucitizen.org

7 OWASP Türkiye Port Tarama Motivasyon www.gnucitizen.org

8 OWASP Türkiye Dahili IP Çalma Motivasyon www.gnucitizen.org

9 OWASP Türkiye Web Spidering Motivasyon www.gnucitizen.org

10 OWASP Türkiye XSS Bot(net) Motivasyon www.gnucitizen.org

11 OWASP Türkiye Açıklık Tarama Motivasyon www.spidynamics.com

12 OWASP Türkiye Web Solucanı Motivasyon www.webguvenligi.org

13 OWASP Türkiye Javascript Temelleri  1995 Netscape, Brendan Eich  1996 Microsoft, JScript  1997 ECMA-262, ECMAScript  Lehçeler;  Mozilla Firefox, Spider Monkey, Rhino  IE, Opera, Konqueror, Safari .NET Framework  Adobe: Flash, Flex, Acrobat

14 OWASP Türkiye Javascript Temelleri devam  Dinamik  Prototip tabanlı  Zayıf yapısal (loose typing)  Statik kapsamlı (lexical scoping)  Birinci sınıf nesneler olarak fonksiyonlar  Açık kod dağıtımı (source code delivery)

15 OWASP Türkiye  Global ve lokal değişkenler tat = “tuzsuz”; function tuzkoy(){ tat = “tuzlu”; } tuzkoy() alert(tat);  Komut sonu karakteri ; veya yeni satır  Büyük küçük harf hassasiyeti Javascript Temelleri devam var

16 OWASP Türkiye Javascript Temelleri devam  Veri tipleri  Number  Boolean  String  null  undefined  ve diğer herşey Object

17 OWASP Türkiye Javascript ve Farklı Özellikleri  Programlama Dilleri – 3xx  Buyurucu (Imperative) programlama  komutlarla durumun değişmesi  örn: for(var i=0; i < myarray.length; i++) square( myarray[i] )  Bildirimsel (Declarative) programlama  fonksiyonların uygulanması  örn: myarray.map( square, null )

18 OWASP Türkiye Javascript ve Farklı Özellikleri  Bildirimsel programlamanın 2 temeli  Lambda (birinci sınıf nesneler : fonksiyonlar) var ikiEkle = function (x) { return x + 2; } ikiEkle(3); // sonuç 5  Bir kez oluştur ve bir kez çalıştır

19 OWASP Türkiye Javascript ve Farklı Özellikleri  Bildirimsel programlamanın 2 temeli devam  Closure (Kuşatma) function birEkle (y) { return function() { return y + 1; }; } var x = birEkle(5); x(); // sonuç 6

20 OWASP Türkiye DEMO  Depolanmış XSS  Javascript ile Saldırı Tespit Stratejisi  Atlatma  Daha İyi Saldırı Tespit Stratejisi DEMO SUNUMDA DEĞİL 

21 OWASP Türkiye Depolanmış XSS

22 OWASP Türkiye Sonuç  Javascript  Web 2.0 güvenliği için temel,  Web 2.0 uygulama geliştirilmesi için temel,  Göründüğünden daha karmaşık ve güçlü,  Her açıdan incelenmeye değer bir dil

23 OWASP Türkiye Kaynaklar  Yahoo! UI Library: YUI Theater  Douglas Crockford  http://developer.yahoo.com/yui/theater/  Javascript: The Definitive Guide  David Flanagan  http://books.google.com