Halil ÖZTÜRKCİ, MVP CISSP, CISA,GPEN,CEH,CHFI BT Güvenlik Hizmetleri Direktörü

Ebat: px

Şu sayfadan göstermeyi başlat:

Download "Halil ÖZTÜRKCİ, MVP CISSP, CISA,GPEN,CEH,CHFI BT Güvenlik Hizmetleri Direktörü halil.ozturkci@adeo.com.tr"

Eser Kinali
8 yıl önce
İzleme sayısı:

1 Halil ÖZTÜRKCİ, MVP CISSP, CISA,GPEN,CEH,CHFI BT Güvenlik Hizmetleri Direktörü

2 AnkaSec Organizasyon Kurulu Üyesi-İsim Babası Microsoft MVP, Enterprise Security Profesyonel Penetration Tester Adli Bilişim Uzmanı SANS Mentor ( ADEO Kurucu Ortak&Güvenlik Birimi Yöneticisi CISSP, GPEN, CISA, CHFI, CEH

Adli Bilişim Uzmanı SANS Mentor (www.sans.

3 Firewall um var, güvendeyim. Web sunucularımızın üzerinde en güncel antivirüs yazılımları çalışıyor. Beni mi bulacaklar? XSS den ne çıkar? Parolaları MD5 ile saklıyoruz....

4 Data thieves steal credit card data from supermarket chain March 18, 2008 Robert McMillan Retailers Hannaford Brothers and Sweetbay admit to being the targets of a massive credit-card data theft disclosed Monday. stealing an estimated 4.2 million credit and debit card numbers. some cases of identity theft had been associated with the incident 'BusinessWeek' site hacked September 15, 2008 By Elinor Mills Hackers have broken into BusinessWeek's online site.. The hackers used an increasingly common form of attack called SQL injection, in which a small malicious script is inserted into a database that feeds information to the BusinessWeek Web site. 11 March

some cases of identity theft had been associated with the incident 'BusinessWeek' site hacked September 15, 2008 By Elinor Mills Hackers have broken into

8 2009 un ilk yarısında çok fazla sayıda otomatik SQL injection saldırıları ile karşılaşıldı. Detaylı analiz için aşağıdaki makaleler bakılabilir. Anatomy of a SQL Injection Incident (March 14, 2008) Anatomy of a SQL Injection Incident, Part 2: Meat (March 15, 2008)

Detaylı analiz için aşağıdaki makaleler bakılabilir.

10 2009'un ilk yarısında açıklanan zafiyet oranı bir önceki yılın ikinci yarısına oranla%28,4 azalmış durumda. Açıklanan işletim sistemi zafiyetleri stabil şekilde devam ediyor. Kaynak:Microsoft Güvenlik İstihbarat Raporu Volume 7

Açıklanan işletim sistemi zafiyetleri stabil şekilde

11 Uygulamalar Sunucular Network Uygulamalar: İhmal Edilmiş ve Korumasız Sunucular: Saldırı Tespit Sistemleri tarafından korunuyor Network: Firewall lar tarafından korunuyor Taranan 31,373 sitenin %85 inde hacker lar tarafından kötüye kullanıma sebep olacak ve sonucundaki kritik dataların okunmasına, değiştirilmesine yada transfer edilmesine sebep olacak açıklıklar tespit edilmiştir. -- Web Application Security Consortium

inde hacker lar tarafından kötüye kullanıma sebep olacak ve sonucundaki kritik dataların okunmasına,

12 DMZ Güvenilen Kullanıcılar/ Müşteriler Sadece port 80 ve 443(SSL) açık Sadece Web Server Uygulama Sunucusuna erişebiliyor İç Network Internet (veya Intranet) Web Server Application Server Database Server Hacker

Sunucusuna erişebiliyor İç Network Internet (veya

13 Güvenlik Zafiyeti Session Hijack Cross-Site Request Forgery (CSRF) Open Redirect Insecure Data Storage Yansımaları Risk Görev-Kritik Uygulamarın Hizmet Verememesi Hasta, müşteri yada kredi kart bilgilerinin yetkisiz kişilerin eline geçmesi Uyumluluk Kaybı Yasal Mesuliyet Kazanç Kaybı Telif Hakları Müşteri inancının zedelenmesi

Hasta, müşteri yada kredi kart bilgilerinin yetkisiz kişilerin eline geçmesi

14 Unvalidated Input Broken Access Control Broken Authentication and Authorization Cross Site Scripting (XSS) Buffer Overflows Injection Flaws Improper Error Handling Insecure Storage Denial of Service Insecure Configuration Management

Flaws Improper Error Handling Insecure Storage Denial of Service

15 Güvenlik Uzmanları -Biz yazılımdan anlamayız ki! Birisi bu boşluğu doldurmalı Yazılım Geliştiriciler -Motivayonum fonksiyonel yazılım geliştirmek. Güvenli yazılım nasıl geliştirilir ki!

16 ?? JavaScript PHP JAVA FLASH PHP?.NET ASP JAVA? Web Services JavaScript Web Services.NET FLASH FLASH? JAVA JAVA ASP JavaScript PHP Web Services??JAVA FLASH FLASH Web Services? PHP? PHP JavaScript Şirketleri ve Kurumların birçoğunda 100'lerce, 1000'lerce web uygulaması var ve bu sayı gün geçtikçe artıyor! HANGİ uygulamalarım var? HANGİ uygulamaların kritik/değerli veri içeriyor? NASIL güvenlik kapsamını genişletebilirim? NEREYE yoğunlaşmalıyım?

Web Services??JAVA FLASH FLASH Web Services? PHP?

17 Gerçeklenen Fonksiyonellik İstenen Fonksiyonellik

18 Gerçeklenen Fonksiyonellik İstenen Fonksiyonellik Sahib Olunan Özellikler Bug lar İstenmeden Gerçekleştirilen ve Dokümante Edilmemiş Fonksiyonellik

20 Uygulama çalışır durumdayken testler gerçekleştirilir. Testler Uygulama Güvenlik Zafiyet Tarayıcıları tarafından gerçekleştirilir. Genellikle uygulamalardaki teknik hataları, sıkıntıları black-box yöntemiyle bulma yönünde motive olmuşlardır. Öncelikle test edilecek uygulama crawl edilerek bütün input noktaları tespit edilir yılında Gartner tarafından yapılan analizde Uygulama Güvenlik Tarayıcılar için aşağıdakiler öngörülmekteydi; 2010 yılına kadar web uygulamalarını bir uygulama güvenlik tarayıcıiletarayankurumlarıın uygulamalarındaki zafiyetlerin kötüye kullanım oranı %70 e yakın azalma gösterecek yılısonunakadarenterprise segmenttekifirmaların%40'ı web uygulama güvenlik tarayıcılarını geliştirme süreçlerine entegre edecekler.

Öncelikle test edilecek uygulama crawl edilerek bütün input noktaları tespit edilir.

21 Güvenlik Uzmanı HP WebInspect Results Web Application - Black Box olarak adlandırılır -1 konu başlığı birden fazla problemi işaret ediyor olabilir -Bir çok farklı konu başlığı tek bir problemi işaret ediyor olabilir. - Yazılım Geliştiricilere Verilen -URL ler ve kullanılan hacking tekniği -Doğrulama için gerekli değerler Yazılımcı 21

22 Güvenlik Uzmanı Yazılımcı 22

23 Güvenlik Uzmanı HP WebInspect Web Application Results Source Code Hybrid Results Results Fortify Source Code Analysis Yazılımcılar 23

24 Fortify Runtime Analysis Pen Tester HP WebInspect Web Application Results Source Code Hybrid+ Results Results Fortify Source Code Analysis Yazılımcı 24

25 Runtime Data olarak adlandırabileceğimiz Stack Trace ler, Oturum Bilgileri, Parametreler ve Değişken Değerleri Runtime Analysis üzerinden geliyor. Fortify Runtime Analysis + WebInspect = Hybrid 2.0 SAST/DAST sonuçlarını uygun şekilde ortüştürmek için Runtime Analysis e ihtiyaç var. Runtime Analysis güvenlik testi yapanlara ve uygulamayı geliştirenlere tespit edilen zafiyetlere uygulama içinden bakabilme imkanı tanır. 25

26 2010 yılınndanitibarendast ve SAST üreticilerihibridbiryaklaşımaolanstatic ve dinamik uygulama güvenlik testi yaklaşımına doğru kayacaklar yılından itibaren lider uygulama güvenliktest aracıüreticilerisaas(software as a Service) yaklaşımı çerçevesinde servis olarak müşterilerine bu hizmetleri sunmaya başlayacaklar yılıiçerisindesast (Static Application Security Testing) ürünleri markette standalone birürünolmaktançıkıpteknolojive servis üreticisi firmaların yazılım yaşam döngüsü(slc-software Life Cycle) platformlarına entegre ettikleri bir teknoloji olarakyaşamlarınısürdürecekler.

27 Gelişmiş bir Uygulama Güvenliği Programı nı inşa etmek, bir uygulama zafiyet tarayıcısını alıp çalıştırmak ya da bir WAF'ı devreye almak kadar kolay bir süreç değildir Güvenli yazılım geliştirmek için her adımında güvenliğide hesabakatanbiryazılım Geliştirme Yaşam Döngüsü'ne ihtiyaç vardır. Güvenliyazılımgeliştirmesürecinisüreklihale getirmek için gerek organizasyonun yapısından gerek kurum kültüründen gerekse de iş baskısından kaynalanan sıkıntılar adreslenmelidir ve çözülmelidir.

Benzer belgeler

WEB UYGULAMA GÜVENLİĞİ HAKKINDA. Mesut Güngör İzmir Yüksek Teknoloji Enstitüsü Bilgi İşlem Daire Başkanlığı

WEB UYGULAMA GÜVENLİĞİ HAKKINDA Mesut Güngör İzmir Yüksek Teknoloji Enstitüsü Bilgi İşlem Daire Başkanlığı İçindekiler Bilinen en popüler web uygulama atakları Güvenli yazılım geliştirme Prosedürler Bilinen