IstSec -Istanbul Güvenlik Konferansları- Türkiye’de eksikliği hissedilen ürün/teknoloji bağımsız güvenlik anlayışına katkı amacıyla düşünülmüş bir etkinlik serisidir. Yılda iki kere yapılması planlanan IstSec etkinliklerinin ilki geçtiğimiz günlerde düzenlenmiştir.
Bu etkinliğin bir bacağı olan yarışmanın web güvenliği bölümü WGT tarafından hazırlanmıştır. Bu yazıda; ilgili bölümün detaylarına ve adım adım çözümüne değinilmektedir.
Yazılımcılar ve Denetimciler için Web Uygulamaları Güvenliği genel başlıklı yazı dizisinin beşinci bölümü, XSS ve XSS’in özel bir parçası olan Javascript Enjeksiyonu konularına değinmektedir.
Farklı Reflected XSS tekniklerini öğrenip uygulayabileceğiniz bir oyun grubu uygulamasına burdan erişebilirsiniz. Ayrıca favori (ticari veya ticari olmayan) web açıklık tarayıcılarınızı da üzerinde denemek serbest!
Yedi (7) farklı test türünü barındıran uygulamadaki test tipleri;
1. Raw Echo
2. HTML Attribute
3. HTML Attribute Interactive (with < and > filtered)
4. Javascript Injection
5. innerHTML ByPass
6. UTF-7
7. CSS
ActiveX, Microsoft’un Windows platformları için geliştirdiği bir nesne bileşeni modelidir (COM). Yazılım tabanlı olan ActiveX teknolojisi Internet Explorer eklentisi ve web sayfalarına iliştirilmiş ActiveX tabanlı uygulama olarak çalışır…
Serhat Dündar, clbr.fentanyl{at}gmail.com tarafından yazılan doküman ActiveX teknolojisi ile beraber gelen güvenlik risklerini, teknolojinin tarayıcılar ile etkileşimini ve güvenli ayarlarını, örnek saldırı vektörlerini ve güvenlik denetimini detaylı olarak anlatmaktadır.
Yazılımcılar ve Denetimciler için Web Uygulamaları Güvenliği genel başlıklı yazı dizisinin dördüncü bölümü, ASP.NET tabanlı web uygulamalarında ASP.NET çatısında bulunan varsayılı karaliste girdi denetimine değinmektedir.
Çok etkili olan bu denetimin en büyük dezavantajı, zaman zaman üzerinde çıkan atlatma problemleri ve eksik anlaşılmalar nedeniyle geliştiricilere verdiği yanlış güvenlik hissidir (false sense of security).
webguvenligi.org üzerinde kurulu MSALParser uygulamasının Windows Mobile (6.1) yüklü akıllı cihazlarda kullanılabilecek web uygulama güvenlik duvarı log analizi aracı olan MSALMobile‘ın ilk versiyonu yayınlanımştır.
MSALMobile için aynı zamanda temel bir web servis de yazılmıştır: MSALService.
Bu kapsamda webguvenligi.org alan adina yapılan ve web uygulama güvenlik duvarı tarafından yakalanan bütün istekler, temel özellikleri gösterilip “bir miktar” da anonim hale getirilerek herkese açılmıştır;
Web uygulamaları üzerinde fuzz ve esnek veri çıkarma işlemleri için kullanılabilecek ultra modüler bir fuzzer olan Freaking Simple Fuzzer (aka FSF) .NET uygulamasına ve detaylarına http://www.webguvenligi.org/projeler/fm-fsf sayfasından ulaşabilirsiniz.
FM-FSF uygulaması Ferruh Mavituna (ferruh{at}mavituna.org) tarafından VB.NET ile geliştirilmiş olup .NET framework 3.5 (Windows) ve Mono (OSX ve Linux) sistemlerde çalışmaktadır.
KOUBM 2009 bahar etkinlikleri kapsamında Bilişim Günleri etkinliğinde ve Kocaeli Universitesi Matematik bölümünde Bünyamin Demir (bunyamin{at}owasp.org) tarafından ve Gazi Üniversitesi Bilgisayar Mühendisliği Topluluğu tarafından hazırlanan Bilişim Günleri’09 etkinliğinde, Onur Yılmaz (contact{at}onuryilmaz.info) tarafından yapılan sunumlara ve fotoğralara aşağıda belirtilen linklerden erişim sağlanabilir.
Kocaeli Universitesi Matematik Bölümü’ne, Kocaeli Üniversitesi Bilgisayar Mühendisliği Mezunları ve Bilgisayar Mühendisliği Kulübü’ne ve Gazi Üniversitesi Bilgisayar Mühendisliği Topluluğu’na gösterdikleri yakın ilgiden ötürü WGT ve OWASP/TR adına teşekkür ediyoruz.
| Sunum İsmi | Sunum Linki |
|---|---|
| Web Uygulamalarında Güvenlik Problemleri | Sunum (ppt) |
| Web Uygulamaları Güvenliği | Sunum (ppt) |
Sunumlar esnasında çekilen fotoğraflara her zamanki flickr adresinden erişim sağlanabilir.
Yazılımcılar ve Denetimciler için Web Uygulamaları Güvenliği genel başlıklı yazı dizisinin üçüncü bölümü, web uygulamalarında yaygın olarak görülen bir saldırı vektörü HTML enjeksiyonu‘ndan ve önlemlerinden bahsetmektedir.
Enjeksiyon saldırılarının bir alt türü olan HTML Enjeksiyonu, genel olarak XSS olarak girdi denetimi eksikliğinden kaynaklanan problemlerin istemci tarafından sadece javascript çalıştırmaktan ibaret olmadığını göstermektedir.
KOUBM 2009 bahar etkinlikleri kapsamında, Kocaeli Üniversitesi Bilgisayar Mühendisliği Mezunları ve Bilgisayar Mühendisliği Kulübu tarafından hazırlanan Bilişim Günleri etkinliğinde Bünyamin Demir tarafından verilecek Web Uyguşlamalarında Güvenli Kod Geliştirme Teknikleri başlıklı konuşmanın detayları aşağıda belirtilmiştir;
Etkinlik: Kocaeli Üniversitesi Bilişim Günleri
Yer: Umuttepe Teknik Eğitim Fakültesi Konferans Salonu
Tarih: 13 Mayıs Çarşamba 2009
Zaman: 14:45 – 15:45
Web: http://www.koubm.org