Web Uygulama Saldırıları ve Klasik Çözümlerin Yetersizliği Huzeyfe ÖNAL Bilgi Güvenliği AKADEMİSİ Huzeyfe.onal@bga.com.tr Web Uygulama Güvenliği Etkinliği / Ankara
Huzeyfe ÖNAL Bilgi Güvenliği Danışmanı & Ağ Güvenliği Araş<rmacısı @BGA PenetraAon Tester Eğitmen Bilgi Güvenliği AKADEMİSİ Linux AKADEMİ ÖğreAm Görevlisi Bilgi / Bahçeşehir Üniversitesi Blogger - www.lifeoverip.net
Amaç Türkiye ve dünyadan örneklerle siber güvenlik yaklaşımları ve klasik yaklaşımların yetersizliğinin anla<mı. Günümüz güvenlik problemlerinin temelini oluşturan web uygulama zafiyetleri karşısında Firewall/IPS gibi klasik siber güvenlik sistemlerinin yetersizliği. 1 0 man<ğı ile çalışan bilişim sistemlerinin sihirli değnek olmadığının uygulamalarla anlaşılması.
10 Sene Önce Web Siteleri Web Uygulama Güvenliği Etkinliği / Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) BGA.COM.TR
Web in Güvenlik Açısından Anlam ve Önemi J Web Uygulama GGüvenliği üvenliği EEtkinliği / A Web Uygulama tkinliği / nkara Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) BGA.COM.TR
Web Açıklığı Nelere Sebep olabilir? Günümüz web uygulamaları tüm yerel ağı tehlikeye atabilmektedir.
Web ZafiyeAnden Genel Müdür Bilgisayarına Yaşanmış bir senaryo Bağlanmak! 1. adım: web uygulamasında zafiyet bulup Windows sisteme sızma AnAvirüs atlatarak arka kapı yükleme ve uzaktan erişimi açmak 2. adım:rdp üzerinden sisteme bağlan< ve Pass The Hash Domain dahil bir makine üzerinden token elde etme ve Domain Admin olma 3. Adım: Genel müdürün bilgisayarına uzak bağlan< hfp://blog.bga.com.tr/2012/09/sql- injecaon- araclgyla- domain- admin.html
Internet Üzerinden Web ZafiyeA Araş<rma Klasik güvenlik açıkları standart tarama ile hedef olarak belirlenip tespit edilir. Web açıklıklarında ise durum farklıdır. Birileri bizim açıklarımızı daha önce belleğe alıp arama imkanı sunar!
Geleneksel Güvenlik Yaklaşımı Network, işleam sistemi ve servis güvenliği Router(ACL), Firewall Intrusion DetecAon System Intrusion PrevenAon System»... Ağırlık Koruma taran için ayrılır 2000 Web uygulamalarının yaygınlaşması 2005 Web uygulama güvenliği Koruma tarannda ApplicaAon Firewall katmanı eklendi. 2014 Kaç kurum WAF kullanıyor?
Sektörün Web Güvenliğine Bakış Açısı
Web Uygulamalarının Güvensizliği Web uygulamalarında amaç herkese hizmet verebilmekar Uygulama gelişarme için bir standart henüz yerleşmediği için yazılımı gelişarenler kolay hata yapabilir Web uygulamalarında yapılan hatalar daha fazla dikkat çeker ve saldırıya açık<r Birilerinin sizi takip etmesine gerek yok Google üzerinden aramalarla sayfalarınız hacklenebilir
Web Saldırıları İstaAsAği 2.0
Web Uygulama Güvenliği Kontrolleri
En Güvensiz(!) Internet Bankacılık Sistemi
Klasik Güvenlik Sistemlerini Atlatma
Encoding Yöntemi ile IPS Atlatma
Parçalanmış Paketlerle IDS atlatma echo "0" > /proc/sys/net/ipv4/conf/all/rp_filter tcp_seg 10 ip_frag 64 tcp_chaff paws order random print
Web Saldırılarında Firewall/IPS Atlatma Kaynak:Kevvie Fowler
Firewall/IPS/WAF Karşılaş<rması
Uygulama IPS Atlatma SQL injecaon denemesi XSS denemesi
Saldırı Analizinde WAF ın Önemi Apache NCSA CLF(Common Log Format) 38.111.147.84 - - [29/Apr/2014:21:04:35 +0300] "GET /2009/03/07/coklu- internet- baglanalarinda- hat- yedekleme/ HTTP/1.0" 200 11167 "- " "TurniAnBot/3.0 ( hfp://www.turnian.com/robot/crawlerinfo.html) 178.18.195.170 - - [29/Apr/2014:21:04:36 +0300] "POST /wp- cron.php? doing_wp_cron=1398794675.9938828945159912109375 HTTP/1.0" 200 211 "- " "WordPress/3.9; hfp://blog.lifeoverip.net"
Web Loglarında POST Detayı 192.168.20.109 - - [29/Apr/2014:14:17:00-0400] "POST hfp:// tes ire.net/bank/login.aspx HTTP/1.1" - - "hfp://tes ire.net/bank/ login.aspx" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.9; rv:28.0) Gecko/20100101 Firefox/28.0"
WAF ın İşe Yaramayacağı Durumlar WAF sihirli bir değnek değildir, onu yapılandıranın bilgisi kadar koruma sağlar. Barracuda WAF ve hacklenme örneği Ön tanımlı parola kullanımı Kullanıcı Adı ahmet Parola ahmet Man<ksal Hatalar Yetki arƒrımı Insecure Direct Object Reference WAF ın kendisinde çıkabilecek açıklıklar Bilgi ifşası
Hata Mesajlarından Bilgi İfşası
Trace.Axd Bilgi İfşası Cookie Ele Geçirme
İleAşim Bilgileri Blog www.lifeoverip.net Blog.bga.com.tr Twifer @bgakademisi @huzeyfeonal İleAşim huzeyfe@lifeoverip.net Huzeyfe.onal@bga.com.tr