Web Uygulama Saldırıları ve Klasik Çözümlerin Yetersizliği

Transkript

1 Web Uygulama Saldırıları ve Klasik Çözümlerin Yetersizliği Huzeyfe ÖNAL Bilgi Güvenliği AKADEMİSİ Web Uygulama Güvenliği Etkinliği / Ankara

2 Huzeyfe ÖNAL Bilgi Güvenliği Danışmanı & Ağ Güvenliği PenetraAon Tester Eğitmen Bilgi Güvenliği AKADEMİSİ Linux AKADEMİ ÖğreAm Görevlisi Bilgi / Bahçeşehir Üniversitesi Blogger -

3 Amaç Türkiye ve dünyadan örneklerle siber güvenlik yaklaşımları ve klasik yaklaşımların yetersizliğinin anla<mı. Günümüz güvenlik problemlerinin temelini oluşturan web uygulama zafiyetleri karşısında Firewall/IPS gibi klasik siber güvenlik sistemlerinin yetersizliği. 1 0 man<ğı ile çalışan bilişim sistemlerinin sihirli değnek olmadığının uygulamalarla anlaşılması.

4 10 Sene Önce Web Siteleri Web Uygulama Güvenliği Etkinliği / Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) BGA.COM.TR

5 Web in Güvenlik Açısından Anlam ve Önemi J Web Uygulama GGüvenliği üvenliği EEtkinliği / A Web Uygulama tkinliği / nkara Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) BGA.COM.TR

6 Web Açıklığı Nelere Sebep olabilir? Günümüz web uygulamaları tüm yerel ağı tehlikeye atabilmektedir.

7 Web ZafiyeAnden Genel Müdür Bilgisayarına Yaşanmış bir senaryo Bağlanmak! 1. adım: web uygulamasında zafiyet bulup Windows sisteme sızma AnAvirüs atlatarak arka kapı yükleme ve uzaktan erişimi açmak 2. adım:rdp üzerinden sisteme bağlan< ve Pass The Hash Domain dahil bir makine üzerinden token elde etme ve Domain Admin olma 3. Adım: Genel müdürün bilgisayarına uzak bağlan< hfp://blog.bga.com.tr/2012/09/sql- injecaon- araclgyla- domain- admin.html

8 Internet Üzerinden Web ZafiyeA Araş<rma Klasik güvenlik açıkları standart tarama ile hedef olarak belirlenip tespit edilir. Web açıklıklarında ise durum farklıdır. Birileri bizim açıklarımızı daha önce belleğe alıp arama imkanı sunar!

9 Geleneksel Güvenlik Yaklaşımı Network, işleam sistemi ve servis güvenliği Router(ACL), Firewall Intrusion DetecAon System Intrusion PrevenAon System»... Ağırlık Koruma taran için ayrılır 2000 Web uygulamalarının yaygınlaşması 2005 Web uygulama güvenliği Koruma tarannda ApplicaAon Firewall katmanı eklendi Kaç kurum WAF kullanıyor?

10 Sektörün Web Güvenliğine Bakış Açısı

11 Web Uygulamalarının Güvensizliği Web uygulamalarında amaç herkese hizmet verebilmekar Uygulama gelişarme için bir standart henüz yerleşmediği için yazılımı gelişarenler kolay hata yapabilir Web uygulamalarında yapılan hatalar daha fazla dikkat çeker ve saldırıya açık<r Birilerinin sizi takip etmesine gerek yok Google üzerinden aramalarla sayfalarınız hacklenebilir

12 Web Saldırıları İstaAsAği 2.0

13 Web Uygulama Güvenliği Kontrolleri

14 En Güvensiz(!) Internet Bankacılık Sistemi

15 Klasik Güvenlik Sistemlerini Atlatma

16 Encoding Yöntemi ile IPS Atlatma

17 Parçalanmış Paketlerle IDS atlatma echo "0" > /proc/sys/net/ipv4/conf/all/rp_filter tcp_seg 10 ip_frag 64 tcp_chaff paws order random print

18 Web Saldırılarında Firewall/IPS Atlatma Kaynak:Kevvie Fowler

19 Firewall/IPS/WAF Karşılaş<rması

20 Uygulama IPS Atlatma SQL injecaon denemesi XSS denemesi

21 Saldırı Analizinde WAF ın Önemi Apache NCSA CLF(Common Log Format) [29/Apr/2014:21:04: ] "GET /2009/03/07/coklu- internet- baglanalarinda- hat- yedekleme/ HTTP/1.0" "- " "TurniAnBot/3.0 ( hfp:// [29/Apr/2014:21:04: ] "POST /wp- cron.php? doing_wp_cron= HTTP/1.0" "- " "WordPress/3.9; hfp://blog.lifeoverip.net"

22 Web Loglarında POST Detayı [29/Apr/2014:14:17: ] "POST hfp:// tes ire.net/bank/login.aspx HTTP/1.1" - - "hfp://tes ire.net/bank/ login.aspx" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.9; rv:28.0) Gecko/ Firefox/28.0"

23 WAF ın İşe Yaramayacağı Durumlar WAF sihirli bir değnek değildir, onu yapılandıranın bilgisi kadar koruma sağlar. Barracuda WAF ve hacklenme örneği Ön tanımlı parola kullanımı Kullanıcı Adı ahmet Parola ahmet Man<ksal Hatalar Yetki arƒrımı Insecure Direct Object Reference WAF ın kendisinde çıkabilecek açıklıklar Bilgi ifşası

24 Hata Mesajlarından Bilgi İfşası

25 Trace.Axd Bilgi İfşası Cookie Ele Geçirme

26 İleAşim Bilgileri Blog İleAşim