Web  Uygulama  Güvenliği  Etkinliği  /  Ankara   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

Huzeyfe  ÖNAL  Bilgi  Güvenliği  AKADEMİSİ  Huzeyfe.onal@bga.com.tr  

Web  Uygulama  Saldırıları  ve  Klasik  Çözümlerin  Yetersizliği  

Web  Uygulama  Güvenliği  Etkinliği  /  Ankara   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  Web  Uygulama  Güvenliği  Etkinliği  /  Ankara   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

Huzeyfe  ÖNAL  •  Bilgi   Güvenliği   Danışmanı   &   Ağ   Güvenliği  Araş<rmacısı  @BGA  

•  PenetraAon  Tester  •  Eğitmen  – Bilgi  Güvenliği  AKADEMİSİ  – Linux  AKADEMİ  

•  ÖğreAm  Görevlisi  Bilgi  /  Bahçeşehir  Üniversitesi  

•  Blogger  -­‐  www.lifeoverip.net  

Web  Uygulama  Güvenliği  Etkinliği  /  Ankara   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  Web  Uygulama  Güvenliği  Etkinliği  /  Ankara   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

Amaç  •  Türkiye   ve   dünyadan   örneklerle   siber   güvenlik  yaklaşımları   ve   klasik   yaklaşımların   yetersizliğinin  anla<mı.  

•  Günümüz   güvenlik   problemlerinin   temelini  oluşturan   web   uygulama   zafiyetleri   karşısında    Firewall/IPS   gibi   klasik   siber   güvenlik   sistemlerinin  yetersizliği.  

•  1   –   0  man<ğı   ile   çalışan   bilişim   sistemlerinin   sihirli  değnek  olmadığının  uygulamalarla  anlaşılması.  

Web  Uygulama  Güvenliği  Etkinliği  /  Ankara   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

10  Sene  Önce  Web  Siteleri  

Web  Uygulama  Güvenliği  Etkinliği  /  Ankara   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  Web  Uygulama  Güvenliği  Etkinliği  /  Ankara   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

Web’in  Güvenlik  Açısından  Anlam  ve  Önemi  J  

Web  Uygulama  Güvenliği  Etkinliği  /  Ankara   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  Web  Uygulama  Güvenliği  Etkinliği  /  Ankara   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

Web  Açıklığı  Nelere  Sebep  olabilir?  •  Günümüz  web  uygulamaları  tüm  yerel  ağı  tehlikeye  atabilmektedir.  

Web  Uygulama  Güvenliği  Etkinliği  /  Ankara   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  Web  Uygulama  Güvenliği  Etkinliği  /  Ankara   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

Web  ZafiyeAnden  Genel  Müdür  Bilgisayarına  Bağlanmak!    

•  Yaşanmış  bir  senaryo  •  1.  adım:  web  uygulamasında  zafiyet  bulup  Windows  sisteme  sızma  – AnAvirüs  atlatarak  arka  kapı  yükleme  ve  uzaktan  erişimi  açmak  

•  2.  adım:RDP  üzerinden  sisteme  bağlan<  ve  Pass  The  Hash  – Domain  dahil  bir  makine  üzerinden  token  elde  etme  ve  Domain  Admin  olma  

•  3.  Adım:  Genel  müdürün  bilgisayarına  uzak  bağlan<  hfp://blog.bga.com.tr/2012/09/sql-­‐injecAon-­‐araclgyla-­‐domain-­‐admin.html  

Web  Uygulama  Güvenliği  Etkinliği  /  Ankara   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  Web  Uygulama  Güvenliği  Etkinliği  /  Ankara   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

Internet  Üzerinden  Web  ZafiyeA  Araş<rma  •  Klasik  güvenlik  açıkları  standart  tarama  ile  hedef  olarak  belirlenip  tespit  edilir.  

•  Web  açıklıklarında  ise  durum  farklıdır.  – Birileri  bizim  açıklarımızı  daha  önce  belleğe  alıp  arama  imkanı  sunar!  

Web  Uygulama  Güvenliği  Etkinliği  /  Ankara   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  Web  Uygulama  Güvenliği  Etkinliği  /  Ankara   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

Geleneksel  Güvenlik  Yaklaşımı  •  Network,  işleAm  sistemi  ve  servis  güvenliği  •  Router(ACL),  Firewall  –  Intrusion  DetecAon  System  

•  Intrusion  PrevenAon  System  »  ....  

•  Ağırlık  Koruma  taran  için  ayrılır  •  2000  – Web  uygulamalarının  yaygınlaşması  

•  2005  – Web  uygulama  güvenliği  –  Koruma  tarannda  ApplicaAon  Firewall  katmanı  eklendi.  

•  2014  –  Kaç  kurum  WAF  kullanıyor?  

Web  Uygulama  Güvenliği  Etkinliği  /  Ankara   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  Web  Uygulama  Güvenliği  Etkinliği  /  Ankara   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

Sektörün  Web  Güvenliğine  Bakış  Açısı  

Web  Uygulama  Güvenliği  Etkinliği  /  Ankara   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  Web  Uygulama  Güvenliği  Etkinliği  /  Ankara   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

Web  Uygulamalarının  Güvensizliği  •  Web  uygulamalarında  amaç  herkese  hizmet  verebilmekAr  

•  Uygulama  gelişArme  için  bir  standart  henüz  yerleşmediği  için  yazılımı  gelişArenler  kolay  hata  yapabilir  

•  Web  uygulamalarında  yapılan  hatalar  daha  fazla  dikkat  çeker  ve  saldırıya  açık<r  

•  Birilerinin  sizi  takip  etmesine  gerek  yok  – Google  üzerinden  aramalarla  sayfalarınız  hacklenebilir  

Web  Uygulama  Güvenliği  Etkinliği  /  Ankara   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  Web  Uygulama  Güvenliği  Etkinliği  /  Ankara   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

Web  Saldırıları  İstaAsAği  2.0  

Web  Uygulama  Güvenliği  Etkinliği  /  Ankara   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  Web  Uygulama  Güvenliği  Etkinliği  /  Ankara   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

Web  Uygulama  Güvenliği  Kontrolleri  

Web  Uygulama  Güvenliği  Etkinliği  /  Ankara   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  Web  Uygulama  Güvenliği  Etkinliği  /  Ankara   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

En  Güvensiz(!)  Internet  Bankacılık  Sistemi  

Web  Uygulama  Güvenliği  Etkinliği  /  Ankara   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  Web  Uygulama  Güvenliği  Etkinliği  /  Ankara   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

Klasik  Güvenlik  Sistemlerini  Atlatma  

Web  Uygulama  Güvenliği  Etkinliği  /  Ankara   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  Web  Uygulama  Güvenliği  Etkinliği  /  Ankara   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

Encoding  Yöntemi  ile  IPS  Atlatma  

Web  Uygulama  Güvenliği  Etkinliği  /  Ankara   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  Web  Uygulama  Güvenliği  Etkinliği  /  Ankara   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

Parçalanmış  Paketlerle  IDS  atlatma  •  echo  "0"  >  /proc/sys/net/ipv4/conf/all/rp_filter  

tcp_seg  10  ip_frag  64  tcp_chaff  paws  order  random  print  

Web  Uygulama  Güvenliği  Etkinliği  /  Ankara   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  Web  Uygulama  Güvenliği  Etkinliği  /  Ankara   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

Web  Saldırılarında  Firewall/IPS  Atlatma  

Kaynak:Kevvie  Fowler  

Web  Uygulama  Güvenliği  Etkinliği  /  Ankara   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  Web  Uygulama  Güvenliği  Etkinliği  /  Ankara   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

Firewall/IPS/WAF  Karşılaş<rması  

Web  Uygulama  Güvenliği  Etkinliği  /  Ankara   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  Web  Uygulama  Güvenliği  Etkinliği  /  Ankara   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

Uygulama  |  IPS  Atlatma  •  SQL  injecAon  denemesi  •  XSS  denemesi  

Web  Uygulama  Güvenliği  Etkinliği  /  Ankara   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  Web  Uygulama  Güvenliği  Etkinliği  /  Ankara   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

Saldırı  Analizinde  WAF’ın  Önemi  •  Apache  NCSA  CLF(Common  Log  Format)  

38.111.147.84  -­‐  -­‐  [29/Apr/2014:21:04:35  +0300]  "GET  /2009/03/07/coklu-­‐internet-­‐baglanAlarinda-­‐hat-­‐yedekleme/  HTTP/1.0"  200  11167  "-­‐"  "TurniAnBot/3.0  (hfp://www.turniAn.com/robot/crawlerinfo.html)”    

178.18.195.170  -­‐  -­‐  [29/Apr/2014:21:04:36  +0300]  "POST  /wp-­‐cron.php?doing_wp_cron=1398794675.9938828945159912109375  HTTP/1.0"  200  211  "-­‐"  "WordPress/3.9;  hfp://blog.lifeoverip.net"  

Web  Uygulama  Güvenliği  Etkinliği  /  Ankara   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  Web  Uygulama  Güvenliği  Etkinliği  /  Ankara   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

Web  Loglarında  ”POST”  Detayı  

192.168.20.109  -­‐  -­‐  [29/Apr/2014:14:17:00  -­‐0400]  "POST  hfp://tes�ire.net/bank/login.aspx  HTTP/1.1"  -­‐  -­‐  "hfp://tes�ire.net/bank/login.aspx"  "Mozilla/5.0  (Macintosh;  Intel  Mac  OS  X  10.9;  rv:28.0)  Gecko/20100101  Firefox/28.0"  

Web  Uygulama  Güvenliği  Etkinliği  /  Ankara   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  Web  Uygulama  Güvenliği  Etkinliği  /  Ankara   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

WAF’ın  İşe  Yaramayacağı  Durumlar  •  WAF  sihirli  bir  değnek  değildir,  onu  yapılandıranın  bilgisi  kadar  koruma  sağlar.  – Barracuda  WAF  ve  hacklenme  örneği  

•  Ön  tanımlı  parola  kullanımı  

•  Man<ksal  Hatalar  – Yetki  ar�rımı  –  Insecure  Direct  Object  Reference  

•  WAF’ın  kendisinde  çıkabilecek  açıklıklar  •  Bilgi  ifşası  

Kullanıcı  Adı   ahmet  

Parola     ahmet  

Web  Uygulama  Güvenliği  Etkinliği  /  Ankara   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  Web  Uygulama  Güvenliği  Etkinliği  /  Ankara   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

Hata  Mesajlarından  Bilgi  İfşası  

Web  Uygulama  Güvenliği  Etkinliği  /  Ankara   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  Web  Uygulama  Güvenliği  Etkinliği  /  Ankara   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

Trace.Axd  Bilgi  İfşası  –  Cookie  Ele  Geçirme  

Web  Uygulama  Güvenliği  Etkinliği  /  Ankara   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  Web  Uygulama  Güvenliği  Etkinliği  /  Ankara   BGA  (BİLGİ  GÜVENLİĞİ  AKADEMİSİ)  |BGA.COM.TR  

İleAşim  Bilgileri  

• www.lifeoverip.net  • Blog.bga.com.tr  Blog  

• @bgakademisi  • @huzeyfeonal  Twifer  

• huzeyfe@lifeoverip.net  • Huzeyfe.onal@bga.com.tr  İleAşim