ºÝºÝߣ

ºÝºÝߣShare a Scribd company logo

Gazi Universitesi Bilisim Gunleri '09

•Download as PPT, PDF•
•
Onur YILMAZ
Onur YILMAZ

Gazi Üniversitesi Bilgisayar Mühendisliği Topluluğu tarafından hazırlanan Bilişim Günleri '09 etkinliğinde yaptığım sunum.

1 of 8
Downloaded 10 times
Web Uygulamaları Güvenliği Onur YILMAZ www.owasp.org/index.php/Turkey www.webguvenligi.org www.onuryilmaz.info OWASP contact@onuryilmaz.info 13 Mayıs 2009 Copyright © The OWASP Foundation Gazi Üniversitesi Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation http://www.owasp.org
İçerik • Web Uygulamaları Güvenliği Kavramı • Web Uygulamalarına Yönelik Saldırılar • XSS (Cross-Site Scripting) • SQL Injection • OWASP • İletişim • Soru-Cevap 2
XSS (Cross-Site Scripting)  Saldırganın HTML kodlarının arasına istemci tabanlı kod gömmesiyle yapılan saldırı türüdür.  En çok kullanıldığı iki şekli;  Sayfa Yönlendirme  Hedef kullanıcıların çerez bilgilerinin çalınması  Önlemler  Encoding  QueryString ve Form`lardan alınan değerlerin filtrelenmesi  Demo 3
SQL Injection  SQL Nedir ?  SQL Injection, web uygulamalarında kullanıcıdan alınan veriler ile oluşturulan dinamik SQL sorgularının manipüle edilmesi şeklinde yapılan saldırılardır.  Hedef veritabanı yönetim sisteminin ve kullandığı sorgulama dilinin standartlarına göre SQL Injection atakları ile yapabilecekleriniz değişmektedir.  Genel manada veritabanındaki verilere ulaşmak amacıyla kullanılır 4
SQL Injection - II  Kullanıcıdan alınan verilerin filtrelenmemesi ve ham olarak SQL sorgusuna dinamik olarak eklenmesi, SQL Injection zafiyetini doğurmaktadır.  Video  Önlemler  Tüm meta-karakterlerden kaçınılmalıdır.  Parameterised Query kullanımına dikkat edilmelidir. 5
OWASP – Nedir?  Open Web Application Security Project (OWASP) t  Tüm OWASP ürünleri ücretsiz ve açıktır.  Güvensiz yazılımların sebep oldukları açıkları bulup, bunlarla mücadele eden bir topluluktur.  Kar amacı gütmez  Topluluga ait rakamlar  120+ (Chapter) 0  30+ Sponsor  50+ Proje  100+ E-posta listesi  Aylık bir milyon üzerinde ziyaret 6
OWASP Turkey – Web Güvenlik Topluluğu  Web uygulaması güvenliğine ülkemizde gerekli duyarlılığın gösterilmesini sağlamak  Web uygulaması güvenliği konusunda çalışan ve ilgi duyan arkadaşları bir platformda toplamak  Güvenlik konulu makaleler, dökümanlar ve projelere yer ve destek sağlamak.  Web uygulamalarının ortaya çıkardığı zararları en aza indirme yolunda çalışmalar yapmak  Dünyada yapılan web uygulaması güvenliği konulu çalışmaların takibini sağlamak  OWASP Vakfının Türkiye çalışmalarını sürdürmek 7
°Õ±ðÅŸ±ð°ì°ìü°ù±ô±ð°ù! www.webguvenligi.org www.owasp.org E-posta listesine kayıt olmak için google: owasp turkey mail list 8

More Related Content

Gazi Universitesi Bilisim Gunleri '09

  • 1. Web Uygulamaları GüvenliÄŸi Onur YILMAZ www.owasp.org/index.php/Turkey www.webguvenligi.org www.onuryilmaz.info OWASP contact@onuryilmaz.info 13 Mayıs 2009 Copyright © The OWASP Foundation Gazi Ãœniversitesi Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation http://www.owasp.org
  • 2. İçerik • Web Uygulamaları GüvenliÄŸi Kavramı • Web Uygulamalarına Yönelik Saldırılar • XSS (Cross-Site Scripting) • SQL Injection • OWASP • Ä°letiÅŸim • Soru-Cevap 2
  • 3. XSS (Cross-Site Scripting)  Saldırganın HTML kodlarının arasına istemci tabanlı kod gömmesiyle yapılan saldırı türüdür.  En çok kullanıldığı iki ÅŸekli;  Sayfa Yönlendirme  Hedef kullanıcıların çerez bilgilerinin çalınması  Önlemler  Encoding  QueryString ve Form`lardan alınan deÄŸerlerin filtrelenmesi  Demo 3
  • 4. SQL Injection  SQL Nedir ?  SQL Injection, web uygulamalarında kullanıcıdan alınan veriler ile oluÅŸturulan dinamik SQL sorgularının manipüle edilmesi ÅŸeklinde yapılan saldırılardır.  Hedef veritabanı yönetim sisteminin ve kullandığı sorgulama dilinin standartlarına göre SQL Injection atakları ile yapabilecekleriniz deÄŸiÅŸmektedir.  Genel manada veritabanındaki verilere ulaÅŸmak amacıyla kullanılır 4
  • 5. SQL Injection - II  Kullanıcıdan alınan verilerin filtrelenmemesi ve ham olarak SQL sorgusuna dinamik olarak eklenmesi, SQL Injection zafiyetini doÄŸurmaktadır.  Video  Önlemler  Tüm meta-karakterlerden kaçınılmalıdır.  Parameterised Query kullanımına dikkat edilmelidir. 5
  • 6. OWASP – Nedir?  Open Web Application Security Project (OWASP) t  Tüm OWASP ürünleri ücretsiz ve açıktır.  Güvensiz yazılımların sebep oldukları açıkları bulup, bunlarla mücadele eden bir topluluktur.  Kar amacı gütmez  Topluluga ait rakamlar  120+ (Chapter) 0  30+ Sponsor  50+ Proje  100+ E-posta listesi  Aylık bir milyon üzerinde ziyaret 6
  • 7. OWASP Turkey – Web Güvenlik TopluluÄŸu  Web uygulaması güvenliÄŸine ülkemizde gerekli duyarlılığın gösterilmesini saÄŸlamak  Web uygulaması güvenliÄŸi konusunda çalışan ve ilgi duyan arkadaÅŸları bir platformda toplamak  Güvenlik konulu makaleler, dökümanlar ve projelere yer ve destek saÄŸlamak.  Web uygulamalarının ortaya çıkardığı zararları en aza indirme yolunda çalışmalar yapmak  Dünyada yapılan web uygulaması güvenliÄŸi konulu çalışmaların takibini saÄŸlamak  OWASP Vakfının Türkiye çalışmalarını sürdürmek 7
  • 8. °Õ±ðÅŸ±ð°ì°ìü°ù±ô±ð°ù! www.webguvenligi.org www.owasp.org E-posta listesine kayıt olmak için google: owasp turkey mail list 8