TÜBİTAK UEKAE ULUSAL ELEKTRONİK VE KRİPTOLOJİ ARAŞTIRMA ENSTİTÜSÜ Uygulamalı Oturum Korsanlığı Bedirhan URGUN

... konulu sunumlar: "TÜBİTAK UEKAE ULUSAL ELEKTRONİK VE KRİPTOLOJİ ARAŞTIRMA ENSTİTÜSÜ Uygulamalı Oturum Korsanlığı Bedirhan URGUN"— Sunum transkripti:

1 TÜBİTAK UEKAE ULUSAL ELEKTRONİK VE KRİPTOLOJİ ARAŞTIRMA ENSTİTÜSÜ Uygulamalı Oturum Korsanlığı Bedirhan URGUN burgun@uekae.tubitak.gov.tr, urgunb@hotmail.com

2 Web Uygulama Güvenliği - TÜBİTAK UEKAE2 İçerik Bir web uygulama (Bank of Horizon) Senaryo Saldırı Savunma

3 Web Uygulama Güvenliği - TÜBİTAK UEKAE3 Uygulama Bank Of Horizon Internet Bankacılığı DEMO

4 Web Uygulama Güvenliği - TÜBİTAK UEKAE4 XSS Tip 1 Yansıtılan XSS ve oturum korsanlığı

5 Web Uygulama Güvenliği - TÜBİTAK UEKAE5 XSS Tip 2 Depolanmış XSS ve oturum korsanlığı

6 Web Uygulama Güvenliği - TÜBİTAK UEKAE6 XSS Tip 1 ve 2 Hibrid XSS ve oturum korsanlığı

7 Web Uygulama Güvenliği - TÜBİTAK UEKAE7 XST HttpOnly’e karşı HTTP TRACE (XST) TRACE /BankHorizon HTTP/1.1 Host: www.bankhorizon.com Content-Length: 0 Cookie: JSESSIONID=720041e13b… HTTP/1.1 200 OK Host: www.bankhorizon.com Referer: http://www.bankhorizon.com/... TRACE /BankHorizon HTTP/1.1 Host: www.bankhorizon.com Max-Forwards: 0 Date: Thu, 16 Feb 2006 08:36:35 GMT Cookie: JSESSIONID=720041e13b…

8 Web Uygulama Güvenliği - TÜBİTAK UEKAE8 Bir Web Uygulama Güvenliği Sözlüğü http://sozluk.enderunix.org/webappsec