Proceedings/Bildiriler Kitabı II. YAZILIM G M I. G September /Eylül 2013 Ankara / TURKEY ULUSLARARASI

Ebat: px

Şu sayfadan göstermeyi başlat:

Download "Proceedings/Bildiriler Kitabı II. YAZILIM G M I. G. 20-21 September /Eylül 2013 Ankara / TURKEY 167 6. ULUSLARARASI"

Ilhami Okyar
8 yıl önce
İzleme sayısı:

1 , - kadar aktif bir beraberinde ik tehditler ile kurumsal olarak i. Anahtar Terimler, tehdit modelleme Abstract Many companies run their businesses, operations, branches and businesses with other partners, communications and transactions conducted over web applications. Even the countries involved into e-government projects and services over this platform is rapidly activated. Rapid grow within web application usage bring with the needs to ensure the safety and security of operations and information. In this paper, secure software development, web applications and their rules, models and principles in developing secure are reviewed and discussed in terms of threats and secure enterprise software development cycles. Some suggesstions are given in terms of security and safety of operations. Index Terms Software, web applications, software security life cycle, threat modeling I. G B lar web. ci II. YAZILIM GM, September /Eylül 2013 Ankara / TURKEY 167

applications. Even the countries involved into e-government projects and services over this platform is rapidly activated.

2 e, [1]. Bu edilmelidir. belirlenen kriterler uygunluk, tehdit modelleme, gizlilik risk kaynak kod analizlerinden. Devreye d [1]. A. Yetenek Olgunluk Modeli (CMM - Capability Maturity Model var olan uygulamala Bu B. Maturity Model Integration), [3]. Bu Model verilmektedir. Bu sertifika, in C mutlaka sahip ol ve sertifikada /veya. CMMI, enmektedir [15]. C. Modeli (FAA-iCMM Federal Aviation integrated Maturity Model) - ICMM modeli,. D. CMM/Trusted Software Methodology (T-CMM, TSM)). E. (SSE-CMM -- Systems Security Engineering Capability Maturity Model) u Bu model, tems Security Engineering Association (ISSEA) devam etmektedir [3]. F. Microsoft Security Development Lifecycle (SDL) Microsoft rici bir model 2), olarak alan ve modeldir [7]. 2. Micro [7] September /Eylül 2013 Ankara / TURKEY

CMMI, enmektedir [15]. C. Modeli (FAA-iCMM Federal Aviation integrated Maturity Model) - ICMM modeli,. D. CMM/Trusted Software Methodology (T-CMM, TSM)). E.

3 [7], E hedeflenir. Analiz ve program maliyetinin belirlenmesi gibi White-box Security, D nlama min olmak gerekir. Son Bilgi Toplama G. Open Web Application Security Platform (OWASP) hedefleyen bir modeldir [12]. Bu model organizasyonun ce uygundur [12] ]. i bulunur. fonksiyonu, erir. kodlama ve yaz makta Kurulum) i Bu fonksiyonun aktiviteleri ise kurulumudur [12]. III. G G KODLAMA S olarak [8]. Bilgi Belgeleme, sistemdeki ya da sistemden yararlanan son sorusuna verilen cevap Yetkilendirme, Denetim na September /Eylül 2013 Ankara / TURKEY 169

fonksiyonu, erir. kodlama ve yaz makta Kurulum) i Bu fonksiyonun aktiviteleri ise kurulumudur [12]. III. G G KODLAMA S olarak [8].

4 Gizlilik Bütünlük, verinin bilinmeden ya da Gizlilik n iletilen Uygunluk, mevcut [8]., güvenlik, bütünlük ve k dikkat edilmesi gereken unsur nin olursa olsun w van der Stock n [2]. k [2] yaparak ilkesi ile Kademeli savunma Güvenli aksama ile kodda kodu vererek. Belirsizlik yolu ile, Basitlik Güvenlik ilkesinde ise [2]. IV. T MODELLEME giderek daha da. Tehdit genel olarak tehlikeye a [8]. Tehdit modelleme, gibi bir [10,11]. : Tehdit 10,11]. 1) Güvenlik Çember: Sisteme giren ve sistemden 2) : Sistemin genelinin 3) H 4) S bu alanlar 5) Girdilere ne. Tehditlerin Belirlenmesi [10,11]: 1) ulma. 2) dir. 3) Inkar (Repudiation): aa edilmesidir September /Eylül 2013 Ankara / TURKEY

k [2] yaparak ilkesi ile Kademeli savunma Güvenli aksama ile kodda kodu vererek. Belirsizlik yolu ile, Basitlik Güvenlik ilkesinde ise [2]. IV. T MODELLEME giderek daha da.

5 4) Disclosure): edilmesidir. 5) Sistemin hizmet veremez hale getirilmesidir. 6) Yetki Kazanma (Elevation of Privilege): Yetkisiz. enjeksiyon [13,14]. Enjeksiyon store procedure gi [13,14].Bunlara ek 5. 10,11]. Tehditlerin Derecelendirmesi sonra hangi tehdide tehdidin tehdit kutusu, [10,11]. Tehdit derecelendirilmesi dir. terleri : 1) Zarar Potansiyeli (Damage Potential): Tehdit 2) Uygulanabilirlik (Reproducibility): 3) Tehdidi 4) Tehdit 5) ik (Discoverability): olabile Tehdit [10,11]. A. HTML Enjeksiyonu (XSS) ar Korunmak, veri [5]. B. SQL Enjeksiyonu (SQL Insertion Attacks) SQL enjeksiyon, meta- ve k [14]. SQL enjeksiyon bir filtrelemeye tabi tutulmadan SQL sorgusuna TABLE WHERE username = '" + + "' AND password= '" + + "' TABLE WHERE username = ''OR''1=1'' AND Password = '' OR ''1=1'' haline getirir. Bu durum sorguda v [13,14]. TABLE WHERE ID = '" +U_ID";" V. KOD E Kod enjeksiyonu, bilgisayar bugs) n kaynaklanan bir veri kayb nitelendirilebilir. Genel olarak enjeksiyon, enjeksiyon enjeksiyon ID) TABLE WHERE ID = '" 1;DROP TABLE `DBusers`";" September /Eylül 2013 Ankara / TURKEY 171

terleri : 1) Zarar Potansiyeli (Damage Potential): Tehdit 2) Uygulanabilirlik (Reproducibility): 3) Tehdidi 4) Tehdit 5) ik (Discoverability): olabile Tehdit [10,11]. A.

6 silinecektir [13,14]. QL Enjeksiyon denilen, veya veriler n veriler f [13,14]. SQL enjeksiyonunu store procedure ni [13,14]. C. f [13,14]. D. SHELL Enjeksiyon Bu enjeksiyon [13,14]. VI. KURUMLARDA G YAZILIM G D G Kurumla gereklidir. 1) [1]. 2) uygun/uygun o bir n-model [1]. 3) Belirlenmesi dahil edilmeli, eklenebilmelidir [1]. 4) 5) Verilmesi - VII. YAZILIM G E D ER UNSURLAR A. - B. husus, web servisi, uygula C. analiz edild, filtrelerini ifade eden bir profildir. Bilgilendirme, Yetkilendirme, i ifade eder. Konfig Hassas veri, oturumda bir September /Eylül 2013 Ankara / TURKEY

3) Belirlenmesi dahil edilmeli, eklenebilmelidir [1]. 4) 5) Verilmesi - VII. YAZILIM G E D ER UNSURLAR A. - B. husus, web servisi, uygula C.

7 ifade eder. etimi, ifade eder. Denetim ve log, VIII. SONUÇ deki uy - yaz - KAYNAKLAR [1] [2] PrinciplesTRK.pdf,2010 [3] standartlari/guvenli-yazilim-gelistirme-modelleri-ve-ortak-kriterlerstandardi.html, 2010 [4] [5] [6] m- - Genel- [7] [8] [9] e Secure [10] [11] [12] [13] [14] Wikipedi [15] - Shamrock,2007 Seda YILMAZ konferans ve su Ulusal ve September /Eylül 2013 Ankara / TURKEY 173

- standartlari/guvenli-yazilim-gelistirme-modelleri-ve-ortak-kriterlerstandardi.html, 2010 [4] http://www.bilgiguvenligi.gov.tr/teknik-yazilarkategorisi/microsoftun-guvenlik-gelistirme-sureci-sdl.

Benzer belgeler

Statik Kod Analizi. Proceedings/Bildiriler Kitabı. SSE-CMM[3], ISO/IEC 15408 [3] gibi standartlarla. gereklidir.

Statik Kod Analizi. Proceedings/Bildiriler Kitabı. SSE-CMM[3], ISO/IEC 15408 [3] gibi standartlarla. gereklidir. Statik Kod Analizi, Özet, teknolojik cihazlardaki son zamanlarda g, tehdit kolay k -YGYD) ve Anahtar Kelimeler Abstract The use of technological devices in developed software has been increasing in recent