WebUygulama Saldırıları ve Klasik Çözümlerin Yetersizliği
-
Upload
bga-bilgi-guevenligi-akademisi -
Category
Technology
-
view
869 -
download
2
description
Transcript of WebUygulama Saldırıları ve Klasik Çözümlerin Yetersizliği
Web Uygulama Güvenliği Etkinliği / Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Huzeyfe ÖNAL Bilgi Güvenliği AKADEMİSİ [email protected]
Web Uygulama Saldırıları ve Klasik Çözümlerin Yetersizliği
Web Uygulama Güvenliği Etkinliği / Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Web Uygulama Güvenliği Etkinliği / Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Huzeyfe ÖNAL • Bilgi Güvenliği Danışmanı & Ağ Güvenliği Araş<rmacısı @BGA
• PenetraAon Tester • Eğitmen – Bilgi Güvenliği AKADEMİSİ – Linux AKADEMİ
• ÖğreAm Görevlisi Bilgi / Bahçeşehir Üniversitesi
• Blogger -‐ www.lifeoverip.net
Web Uygulama Güvenliği Etkinliği / Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Web Uygulama Güvenliği Etkinliği / Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Amaç • Türkiye ve dünyadan örneklerle siber güvenlik yaklaşımları ve klasik yaklaşımların yetersizliğinin anla<mı.
• Günümüz güvenlik problemlerinin temelini oluşturan web uygulama zafiyetleri karşısında Firewall/IPS gibi klasik siber güvenlik sistemlerinin yetersizliği.
• 1 – 0 man<ğı ile çalışan bilişim sistemlerinin sihirli değnek olmadığının uygulamalarla anlaşılması.
Web Uygulama Güvenliği Etkinliği / Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
10 Sene Önce Web Siteleri
Web Uygulama Güvenliği Etkinliği / Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Web Uygulama Güvenliği Etkinliği / Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Web’in Güvenlik Açısından Anlam ve Önemi J
Web Uygulama Güvenliği Etkinliği / Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Web Uygulama Güvenliği Etkinliği / Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Web Açıklığı Nelere Sebep olabilir? • Günümüz web uygulamaları tüm yerel ağı tehlikeye atabilmektedir.
Web Uygulama Güvenliği Etkinliği / Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Web Uygulama Güvenliği Etkinliği / Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Web ZafiyeAnden Genel Müdür Bilgisayarına Bağlanmak!
• Yaşanmış bir senaryo • 1. adım: web uygulamasında zafiyet bulup Windows sisteme sızma – AnAvirüs atlatarak arka kapı yükleme ve uzaktan erişimi açmak
• 2. adım:RDP üzerinden sisteme bağlan< ve Pass The Hash – Domain dahil bir makine üzerinden token elde etme ve Domain Admin olma
• 3. Adım: Genel müdürün bilgisayarına uzak bağlan< hfp://blog.bga.com.tr/2012/09/sql-‐injecAon-‐araclgyla-‐domain-‐admin.html
Web Uygulama Güvenliği Etkinliği / Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Web Uygulama Güvenliği Etkinliği / Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Internet Üzerinden Web ZafiyeA Araş<rma • Klasik güvenlik açıkları standart tarama ile hedef olarak belirlenip tespit edilir.
• Web açıklıklarında ise durum farklıdır. – Birileri bizim açıklarımızı daha önce belleğe alıp arama imkanı sunar!
Web Uygulama Güvenliği Etkinliği / Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Web Uygulama Güvenliği Etkinliği / Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Geleneksel Güvenlik Yaklaşımı • Network, işleAm sistemi ve servis güvenliği • Router(ACL), Firewall – Intrusion DetecAon System
• Intrusion PrevenAon System » ....
• Ağırlık Koruma taran için ayrılır • 2000 – Web uygulamalarının yaygınlaşması
• 2005 – Web uygulama güvenliği – Koruma tarannda ApplicaAon Firewall katmanı eklendi.
• 2014 – Kaç kurum WAF kullanıyor?
Web Uygulama Güvenliği Etkinliği / Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Web Uygulama Güvenliği Etkinliği / Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Sektörün Web Güvenliğine Bakış Açısı
Web Uygulama Güvenliği Etkinliği / Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Web Uygulama Güvenliği Etkinliği / Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Web Uygulamalarının Güvensizliği • Web uygulamalarında amaç herkese hizmet verebilmekAr
• Uygulama gelişArme için bir standart henüz yerleşmediği için yazılımı gelişArenler kolay hata yapabilir
• Web uygulamalarında yapılan hatalar daha fazla dikkat çeker ve saldırıya açık<r
• Birilerinin sizi takip etmesine gerek yok – Google üzerinden aramalarla sayfalarınız hacklenebilir
Web Uygulama Güvenliği Etkinliği / Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Web Uygulama Güvenliği Etkinliği / Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Web Saldırıları İstaAsAği 2.0
Web Uygulama Güvenliği Etkinliği / Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Web Uygulama Güvenliği Etkinliği / Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Web Uygulama Güvenliği Kontrolleri
Web Uygulama Güvenliği Etkinliği / Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Web Uygulama Güvenliği Etkinliği / Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
En Güvensiz(!) Internet Bankacılık Sistemi
Web Uygulama Güvenliği Etkinliği / Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Web Uygulama Güvenliği Etkinliği / Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Klasik Güvenlik Sistemlerini Atlatma
Web Uygulama Güvenliği Etkinliği / Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Web Uygulama Güvenliği Etkinliği / Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Encoding Yöntemi ile IPS Atlatma
Web Uygulama Güvenliği Etkinliği / Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Web Uygulama Güvenliği Etkinliği / Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Parçalanmış Paketlerle IDS atlatma • echo "0" > /proc/sys/net/ipv4/conf/all/rp_filter
tcp_seg 10 ip_frag 64 tcp_chaff paws order random print
Web Uygulama Güvenliği Etkinliği / Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Web Uygulama Güvenliği Etkinliği / Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Web Saldırılarında Firewall/IPS Atlatma
Kaynak:Kevvie Fowler
Web Uygulama Güvenliği Etkinliği / Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Web Uygulama Güvenliği Etkinliği / Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Firewall/IPS/WAF Karşılaş<rması
Web Uygulama Güvenliği Etkinliği / Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Web Uygulama Güvenliği Etkinliği / Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Uygulama | IPS Atlatma • SQL injecAon denemesi • XSS denemesi
Web Uygulama Güvenliği Etkinliği / Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Web Uygulama Güvenliği Etkinliği / Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Saldırı Analizinde WAF’ın Önemi • Apache NCSA CLF(Common Log Format)
38.111.147.84 -‐ -‐ [29/Apr/2014:21:04:35 +0300] "GET /2009/03/07/coklu-‐internet-‐baglanAlarinda-‐hat-‐yedekleme/ HTTP/1.0" 200 11167 "-‐" "TurniAnBot/3.0 (hfp://www.turniAn.com/robot/crawlerinfo.html)”
178.18.195.170 -‐ -‐ [29/Apr/2014:21:04:36 +0300] "POST /wp-‐cron.php?doing_wp_cron=1398794675.9938828945159912109375 HTTP/1.0" 200 211 "-‐" "WordPress/3.9; hfp://blog.lifeoverip.net"
Web Uygulama Güvenliği Etkinliği / Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Web Uygulama Güvenliği Etkinliği / Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Web Loglarında ”POST” Detayı
192.168.20.109 -‐ -‐ [29/Apr/2014:14:17:00 -‐0400] "POST hfp://tes�ire.net/bank/login.aspx HTTP/1.1" -‐ -‐ "hfp://tes�ire.net/bank/login.aspx" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.9; rv:28.0) Gecko/20100101 Firefox/28.0"
Web Uygulama Güvenliği Etkinliği / Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Web Uygulama Güvenliği Etkinliği / Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
WAF’ın İşe Yaramayacağı Durumlar • WAF sihirli bir değnek değildir, onu yapılandıranın bilgisi kadar koruma sağlar. – Barracuda WAF ve hacklenme örneği
• Ön tanımlı parola kullanımı
• Man<ksal Hatalar – Yetki ar�rımı – Insecure Direct Object Reference
• WAF’ın kendisinde çıkabilecek açıklıklar • Bilgi ifşası
Kullanıcı Adı ahmet
Parola ahmet
Web Uygulama Güvenliği Etkinliği / Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Web Uygulama Güvenliği Etkinliği / Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Hata Mesajlarından Bilgi İfşası
Web Uygulama Güvenliği Etkinliği / Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Web Uygulama Güvenliği Etkinliği / Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Trace.Axd Bilgi İfşası – Cookie Ele Geçirme
Web Uygulama Güvenliği Etkinliği / Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Web Uygulama Güvenliği Etkinliği / Ankara BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
İleAşim Bilgileri
• www.lifeoverip.net • Blog.bga.com.tr Blog
• @bgakademisi • @huzeyfeonal Twifer
• [email protected] • [email protected] İleAşim