ݺߣ

ݺߣShare a Scribd company logo

OWASP ZAP

Alper Başaran
Alper Başaran

OWASP ZAP aracı ile zafiyet taraması ve web uygulama süreçleri konusunda düzenlediğimiz webinarda kullanılan sunudur.

1 of 15
Download to read offline
OWASP Ankara Webinar Zed Attack Proxy (ZAP) OWASP Ankara | basaranalper@gmail.com Alper Başaran basaranalper@gmail.com
5N1K • OWASP yazılım güvenliği konusunda çalışan kar amacı gütmeyen bir kuruluştur • Sızma testi/danışmanlık yapıyorum • Ürün/marka konuşmayacağız • Sunumu paylaşacağım • Kayıt ediyoruz, paylaşacağım • Bana ulaşmak için: basaranalper@gmail.com OWASP Ankara | basaranalper@gmail.com OWASP Ankara
Konularımız • Web uygulaması sızma testi süreci • OWASP sızma testi rehberi • Web uygulaması sızma testi kontrol listesi • OWASP Zed Attack Proxy (ZAP) • ZAP ile keşif çalışmaları • ZAP ile pasif tarama • ZAP ile aktif zafiyet taraması • Bulguların değerlendirmesi • OWASP Top 10 • Kurumsal zafiyet yönetimi döngüsü OWASP Ankara | basaranalper@gmail.com OWASP Ankara
Web uygulaması sızma testi süreci • PTES: • Hazırlık çalışmaları • Bilgi toplama • Tehdit modelleme • Zafiyet analizi • İstismar • İstismar sonrası • Raporlama http://www.pentest-standard.org/index.php/PTES_Technical_Guidelines OWASP Ankara | basaranalper@gmail.com OWASP Ankara
OWASP sızma testi rehberi • OWASP tarafından derlenen test rehberi • 224 sayfa • https://owasp.org/www-pdf-archive/OTGv4.pdf OWASP Ankara | basaranalper@gmail.com OWASP Ankara
OWASP sızma testi rehberi • Bilgi toplama • Konfigürasyon ve kurulum yönetimi testleri • Kimlik yönetimi testleri • Kimlik doğrulama testleri • Yetki denetimi testleri • Oturum yönetimi testleri OWASP Ankara | basaranalper@gmail.com OWASP Ankara
OWASP sızma testi rehberi • Girdi kontrolü testleri • Hata yönetimi testleri • Zayıf kripto kullanımı testleri • İş mantığı testleri • İstemci tarafı testleri OWASP Ankara | basaranalper@gmail.com OWASP Ankara
Web uygulaması sızma testi kontrol listesi • Test rehberi sayfa 211’den itibaren OWASP Ankara | basaranalper@gmail.com OWASP Ankara
OWASP Zed Attack Proxy (ZAP) • Dünyanın en çok kullanılan açık kaynak web uygulama güvenlik çözümü • Mart 2020: • 85.000’den fazla indirme • Docker imajı 220.000’den fazla çağrıldı • 1.000.000’dan fazla kez başlatıldı https://www.zaproxy.org/ OWASP Ankara | basaranalper@gmail.com OWASP Ankara
ZAP • Konumlandırma OWASP Ankara | basaranalper@gmail.com OWASP Ankara Tarayıcı Uygulama
OWASP Top 10 1. Injection 2. Broken Authentication 3. Sensitive Data Exposure 4. XML External Entities (XXE) 5. Broken Access Control 6. Security Misconfiguration 7. Cross-Site Scripting XSS 8. Insecure Deserialization 9. Using Components with Known Vulnerabilities 10. Insufficient Logging & Monitoring OWASP Ankara | basaranalper@gmail.com OWASP Ankara
Bulguların değerlendirmesi OWASP Ankara | basaranalper@gmail.com OWASP Ankara
Kurumsal zafiyet yönetimi döngüsü OWASP Ankara | basaranalper@gmail.com OWASP Ankara
Kurumsal zafiyet yönetimi döngüsü OWASP Ankara | basaranalper@gmail.com OWASP Ankara Keşif Tarama AnalizGider Ölç
Teşekkür ederim! Alper Başaran basaranalper@gmail.com OWASP Ankara | basaranalper@gmail.com

Recommended

Hacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziHacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu Analizi
BGA Cyber Security
LLMNR ve NetBIOS Poisoning
LLMNR ve NetBIOS PoisoningLLMNR ve NetBIOS Poisoning
LLMNR ve NetBIOS Poisoning
BGA Cyber Security
Metasploit Framework Eğitimi
Metasploit Framework EğitimiMetasploit Framework Eğitimi
Metasploit Framework Eğitimi
BGA Cyber Security
PAROLA KIRMA SALDIRILARI
PAROLA KIRMA SALDIRILARIPAROLA KIRMA SALDIRILARI
PAROLA KIRMA SALDIRILARI
BGA Cyber Security
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm ÖnerileriDNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
BGA Cyber Security
3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?
BGA Cyber Security
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıZararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
BGA Cyber Security
WEB ve MOBİL SIZMA TESTLERİ
WEB ve MOBİL SIZMA TESTLERİ WEB ve MOBİL SIZMA TESTLERİ
WEB ve MOBİL SIZMA TESTLERİ
BGA Cyber Security
PORT TARAMA ve KEŞİF ÇALIŞMALARI
PORT TARAMA ve KEŞİF ÇALIŞMALARI PORT TARAMA ve KEŞİF ÇALIŞMALARI
PORT TARAMA ve KEŞİF ÇALIŞMALARI
BGA Cyber Security
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimiBeyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
Kurtuluş Karasu
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı AnaliziKurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
BGA Cyber Security
Nmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım KılavuzuNmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Mehmet Caner Köroğlu
Arp protokolu ve guvenlik zafiyeti
Arp protokolu ve guvenlik zafiyetiArp protokolu ve guvenlik zafiyeti
Arp protokolu ve guvenlik zafiyeti
BGA Cyber Security
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
BGA Cyber Security
Caldera İle Saldırı Simülasyonu
Caldera İle Saldırı SimülasyonuCaldera İle Saldırı Simülasyonu
Caldera İle Saldırı Simülasyonu
BGA Cyber Security
Saldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log YönetimiSaldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log Yönetimi
Oğuzcan Pamuk
Zararlı Yazılım Analizi İçin Lab Ortamı Hazırlamak
Zararlı Yazılım Analizi İçin Lab Ortamı HazırlamakZararlı Yazılım Analizi İçin Lab Ortamı Hazırlamak
Zararlı Yazılım Analizi İçin Lab Ortamı Hazırlamak
BGA Cyber Security
Yazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriYazılım Güvenliği Temelleri
Yazılım Güvenliği Temelleri
BGA Cyber Security
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
BGA Cyber Security
Metasploit El Kitabı
Metasploit El KitabıMetasploit El Kitabı
Metasploit El Kitabı
BGA Cyber Security
Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1
BGA Cyber Security
BackTrack Linux-101 Eğitimi
BackTrack Linux-101 EğitimiBackTrack Linux-101 Eğitimi
BackTrack Linux-101 Eğitimi
BGA Cyber Security
Temel ağ bilgisi
Temel ağ bilgisiTemel ağ bilgisi
Temel ağ bilgisi
Begüm Erol
Beyaz Şapkalı Hacker (CEH) Lab Kitabı
Beyaz Şapkalı Hacker (CEH) Lab KitabıBeyaz Şapkalı Hacker (CEH) Lab Kitabı
Beyaz Şapkalı Hacker (CEH) Lab Kitabı
BGA Cyber Security
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
Windows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiWindows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı Tespiti
Sparta Bilişim
BTRİSK Web Uygulama Güvenliği Denetimi Eğitim Sunumu
BTRİSK Web Uygulama Güvenliği Denetimi Eğitim SunumuBTRİSK Web Uygulama Güvenliği Denetimi Eğitim Sunumu
BTRİSK Web Uygulama Güvenliği Denetimi Eğitim Sunumu
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
Kablosuz Ağ Saldırı Araçları
Kablosuz Ağ Saldırı AraçlarıKablosuz Ağ Saldırı Araçları
Kablosuz Ağ Saldırı Araçları
BGA Cyber Security
Siber Güvenlik Tatbikatı
Siber Güvenlik TatbikatıSiber Güvenlik Tatbikatı
Siber Güvenlik Tatbikatı
Alper Başaran
Rusya kaynaklı siber saldırılar
Rusya kaynaklı siber saldırılarRusya kaynaklı siber saldırılar
Rusya kaynaklı siber saldırılar
Alper Başaran

More Related Content

What's hot (20)

PORT TARAMA ve KEŞİF ÇALIŞMALARI
PORT TARAMA ve KEŞİF ÇALIŞMALARI PORT TARAMA ve KEŞİF ÇALIŞMALARI
PORT TARAMA ve KEŞİF ÇALIŞMALARI
BGA Cyber Security
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimiBeyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
Kurtuluş Karasu
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı AnaliziKurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
BGA Cyber Security
Nmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım KılavuzuNmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Mehmet Caner Köroğlu
Arp protokolu ve guvenlik zafiyeti
Arp protokolu ve guvenlik zafiyetiArp protokolu ve guvenlik zafiyeti
Arp protokolu ve guvenlik zafiyeti
BGA Cyber Security
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
BGA Cyber Security
Caldera İle Saldırı Simülasyonu
Caldera İle Saldırı SimülasyonuCaldera İle Saldırı Simülasyonu
Caldera İle Saldırı Simülasyonu
BGA Cyber Security
Saldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log YönetimiSaldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log Yönetimi
Oğuzcan Pamuk
Zararlı Yazılım Analizi İçin Lab Ortamı Hazırlamak
Zararlı Yazılım Analizi İçin Lab Ortamı HazırlamakZararlı Yazılım Analizi İçin Lab Ortamı Hazırlamak
Zararlı Yazılım Analizi İçin Lab Ortamı Hazırlamak
BGA Cyber Security
Yazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriYazılım Güvenliği Temelleri
Yazılım Güvenliği Temelleri
BGA Cyber Security
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
BGA Cyber Security
Metasploit El Kitabı
Metasploit El KitabıMetasploit El Kitabı
Metasploit El Kitabı
BGA Cyber Security
Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1
BGA Cyber Security
BackTrack Linux-101 Eğitimi
BackTrack Linux-101 EğitimiBackTrack Linux-101 Eğitimi
BackTrack Linux-101 Eğitimi
BGA Cyber Security
Temel ağ bilgisi
Temel ağ bilgisiTemel ağ bilgisi
Temel ağ bilgisi
Begüm Erol
Beyaz Şapkalı Hacker (CEH) Lab Kitabı
Beyaz Şapkalı Hacker (CEH) Lab KitabıBeyaz Şapkalı Hacker (CEH) Lab Kitabı
Beyaz Şapkalı Hacker (CEH) Lab Kitabı
BGA Cyber Security
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
Windows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiWindows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı Tespiti
Sparta Bilişim
BTRİSK Web Uygulama Güvenliği Denetimi Eğitim Sunumu
BTRİSK Web Uygulama Güvenliği Denetimi Eğitim SunumuBTRİSK Web Uygulama Güvenliği Denetimi Eğitim Sunumu
BTRİSK Web Uygulama Güvenliği Denetimi Eğitim Sunumu
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
Kablosuz Ağ Saldırı Araçları
Kablosuz Ağ Saldırı AraçlarıKablosuz Ağ Saldırı Araçları
Kablosuz Ağ Saldırı Araçları
BGA Cyber Security
PORT TARAMA ve KEŞİF ÇALIŞMALARI
PORT TARAMA ve KEŞİF ÇALIŞMALARI PORT TARAMA ve KEŞİF ÇALIŞMALARI
PORT TARAMA ve KEŞİF ÇALIŞMALARI
BGA Cyber Security
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimiBeyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
Kurtuluş Karasu
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı AnaliziKurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
BGA Cyber Security
Nmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım KılavuzuNmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Mehmet Caner Köroğlu
Arp protokolu ve guvenlik zafiyeti
Arp protokolu ve guvenlik zafiyetiArp protokolu ve guvenlik zafiyeti
Arp protokolu ve guvenlik zafiyeti
BGA Cyber Security
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
BGA Cyber Security
Caldera İle Saldırı Simülasyonu
Caldera İle Saldırı SimülasyonuCaldera İle Saldırı Simülasyonu
Caldera İle Saldırı Simülasyonu
BGA Cyber Security
Saldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log YönetimiSaldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log Yönetimi
Oğuzcan Pamuk
Zararlı Yazılım Analizi İçin Lab Ortamı Hazırlamak
Zararlı Yazılım Analizi İçin Lab Ortamı HazırlamakZararlı Yazılım Analizi İçin Lab Ortamı Hazırlamak
Zararlı Yazılım Analizi İçin Lab Ortamı Hazırlamak
BGA Cyber Security
Yazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriYazılım Güvenliği Temelleri
Yazılım Güvenliği Temelleri
BGA Cyber Security
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
BGA Cyber Security
Metasploit El Kitabı
Metasploit El KitabıMetasploit El Kitabı
Metasploit El Kitabı
BGA Cyber Security
Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1
BGA Cyber Security
BackTrack Linux-101 Eğitimi
BackTrack Linux-101 EğitimiBackTrack Linux-101 Eğitimi
BackTrack Linux-101 Eğitimi
BGA Cyber Security
Temel ağ bilgisi
Temel ağ bilgisiTemel ağ bilgisi
Temel ağ bilgisi
Begüm Erol
Beyaz Şapkalı Hacker (CEH) Lab Kitabı
Beyaz Şapkalı Hacker (CEH) Lab KitabıBeyaz Şapkalı Hacker (CEH) Lab Kitabı
Beyaz Şapkalı Hacker (CEH) Lab Kitabı
BGA Cyber Security
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
Windows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiWindows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı Tespiti
Sparta Bilişim
BTRİSK Web Uygulama Güvenliği Denetimi Eğitim Sunumu
BTRİSK Web Uygulama Güvenliği Denetimi Eğitim SunumuBTRİSK Web Uygulama Güvenliği Denetimi Eğitim Sunumu
BTRİSK Web Uygulama Güvenliği Denetimi Eğitim Sunumu
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
Kablosuz Ağ Saldırı Araçları
Kablosuz Ağ Saldırı AraçlarıKablosuz Ağ Saldırı Araçları
Kablosuz Ağ Saldırı Araçları
BGA Cyber Security

More from Alper Başaran (20)

Siber Güvenlik Tatbikatı
Siber Güvenlik TatbikatıSiber Güvenlik Tatbikatı
Siber Güvenlik Tatbikatı
Alper Başaran
Rusya kaynaklı siber saldırılar
Rusya kaynaklı siber saldırılarRusya kaynaklı siber saldırılar
Rusya kaynaklı siber saldırılar
Alper Başaran
Finding Bugs FASTER with Fuzzing
Finding Bugs FASTER with FuzzingFinding Bugs FASTER with Fuzzing
Finding Bugs FASTER with Fuzzing
Alper Başaran
Olay Mudahale ve EDR
Olay Mudahale ve EDROlay Mudahale ve EDR
Olay Mudahale ve EDR
Alper Başaran
Zararlı Yazılım Analizi (ÖZET)
Zararlı Yazılım Analizi (ÖZET)Zararlı Yazılım Analizi (ÖZET)
Zararlı Yazılım Analizi (ÖZET)
Alper Başaran
Belediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik ÖnerileriBelediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik Önerileri
Alper Başaran
Microsoft Windows İşletim Sistemi Sıkılaştırma
Microsoft Windows İşletim Sistemi SıkılaştırmaMicrosoft Windows İşletim Sistemi Sıkılaştırma
Microsoft Windows İşletim Sistemi Sıkılaştırma
Alper Başaran
Windows işletim sistemi sıkılaştırma
Windows işletim sistemi sıkılaştırmaWindows işletim sistemi sıkılaştırma
Windows işletim sistemi sıkılaştırma
Alper Başaran
Sparta 2019 siber tehdit beklentileri
Sparta 2019 siber tehdit beklentileriSparta 2019 siber tehdit beklentileri
Sparta 2019 siber tehdit beklentileri
Alper Başaran
Tedarikci siber risk_giris
Tedarikci siber risk_girisTedarikci siber risk_giris
Tedarikci siber risk_giris
Alper Başaran
KamuNet'e dahil olmak için asgari güvenlik gereksinimleri
KamuNet'e dahil olmak için asgari güvenlik gereksinimleriKamuNet'e dahil olmak için asgari güvenlik gereksinimleri
KamuNet'e dahil olmak için asgari güvenlik gereksinimleri
Alper Başaran
WannaCry - NotPetya Olayları
WannaCry - NotPetya OlaylarıWannaCry - NotPetya Olayları
WannaCry - NotPetya Olayları
Alper Başaran
OWASP kaynak kod analizi metodolojisi
OWASP kaynak kod analizi metodolojisiOWASP kaynak kod analizi metodolojisi
OWASP kaynak kod analizi metodolojisi
Alper Başaran
RECOVERY: Olay sonrası sistemleri düzeltmek
RECOVERY: Olay sonrası sistemleri düzeltmekRECOVERY: Olay sonrası sistemleri düzeltmek
RECOVERY: Olay sonrası sistemleri düzeltmek
Alper Başaran
APT Saldırıları
APT SaldırılarıAPT Saldırıları
APT Saldırıları
Alper Başaran
QR Code'lardaki Tehlike
QR Code'lardaki TehlikeQR Code'lardaki Tehlike
QR Code'lardaki Tehlike
Alper Başaran
Siber Olaylara Müdahale ve Hukuki Boyutları
Siber Olaylara Müdahale ve Hukuki BoyutlarıSiber Olaylara Müdahale ve Hukuki Boyutları
Siber Olaylara Müdahale ve Hukuki Boyutları
Alper Başaran
Siber Olay Müdahale Kontrol Listesi
Siber Olay Müdahale Kontrol ListesiSiber Olay Müdahale Kontrol Listesi
Siber Olay Müdahale Kontrol Listesi
Alper Başaran
Garnizon dns guvenligi
Garnizon dns guvenligiGarnizon dns guvenligi
Garnizon dns guvenligi
Alper Başaran
Kritik Altyapılarda Siber Güvenlik
Kritik Altyapılarda Siber GüvenlikKritik Altyapılarda Siber Güvenlik
Kritik Altyapılarda Siber Güvenlik
Alper Başaran
Siber Güvenlik Tatbikatı
Siber Güvenlik TatbikatıSiber Güvenlik Tatbikatı
Siber Güvenlik Tatbikatı
Alper Başaran
Rusya kaynaklı siber saldırılar
Rusya kaynaklı siber saldırılarRusya kaynaklı siber saldırılar
Rusya kaynaklı siber saldırılar
Alper Başaran
Finding Bugs FASTER with Fuzzing
Finding Bugs FASTER with FuzzingFinding Bugs FASTER with Fuzzing
Finding Bugs FASTER with Fuzzing
Alper Başaran
Olay Mudahale ve EDR
Olay Mudahale ve EDROlay Mudahale ve EDR
Olay Mudahale ve EDR
Alper Başaran
Zararlı Yazılım Analizi (ÖZET)
Zararlı Yazılım Analizi (ÖZET)Zararlı Yazılım Analizi (ÖZET)
Zararlı Yazılım Analizi (ÖZET)
Alper Başaran
Belediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik ÖnerileriBelediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik Önerileri
Alper Başaran
Microsoft Windows İşletim Sistemi Sıkılaştırma
Microsoft Windows İşletim Sistemi SıkılaştırmaMicrosoft Windows İşletim Sistemi Sıkılaştırma
Microsoft Windows İşletim Sistemi Sıkılaştırma
Alper Başaran
Windows işletim sistemi sıkılaştırma
Windows işletim sistemi sıkılaştırmaWindows işletim sistemi sıkılaştırma
Windows işletim sistemi sıkılaştırma
Alper Başaran
Sparta 2019 siber tehdit beklentileri
Sparta 2019 siber tehdit beklentileriSparta 2019 siber tehdit beklentileri
Sparta 2019 siber tehdit beklentileri
Alper Başaran
Tedarikci siber risk_giris
Tedarikci siber risk_girisTedarikci siber risk_giris
Tedarikci siber risk_giris
Alper Başaran
KamuNet'e dahil olmak için asgari güvenlik gereksinimleri
KamuNet'e dahil olmak için asgari güvenlik gereksinimleriKamuNet'e dahil olmak için asgari güvenlik gereksinimleri
KamuNet'e dahil olmak için asgari güvenlik gereksinimleri
Alper Başaran
WannaCry - NotPetya Olayları
WannaCry - NotPetya OlaylarıWannaCry - NotPetya Olayları
WannaCry - NotPetya Olayları
Alper Başaran
OWASP kaynak kod analizi metodolojisi
OWASP kaynak kod analizi metodolojisiOWASP kaynak kod analizi metodolojisi
OWASP kaynak kod analizi metodolojisi
Alper Başaran
RECOVERY: Olay sonrası sistemleri düzeltmek
RECOVERY: Olay sonrası sistemleri düzeltmekRECOVERY: Olay sonrası sistemleri düzeltmek
RECOVERY: Olay sonrası sistemleri düzeltmek
Alper Başaran
APT Saldırıları
APT SaldırılarıAPT Saldırıları
APT Saldırıları
Alper Başaran
QR Code'lardaki Tehlike
QR Code'lardaki TehlikeQR Code'lardaki Tehlike
QR Code'lardaki Tehlike
Alper Başaran
Siber Olaylara Müdahale ve Hukuki Boyutları
Siber Olaylara Müdahale ve Hukuki BoyutlarıSiber Olaylara Müdahale ve Hukuki Boyutları
Siber Olaylara Müdahale ve Hukuki Boyutları
Alper Başaran
Siber Olay Müdahale Kontrol Listesi
Siber Olay Müdahale Kontrol ListesiSiber Olay Müdahale Kontrol Listesi
Siber Olay Müdahale Kontrol Listesi
Alper Başaran
Garnizon dns guvenligi
Garnizon dns guvenligiGarnizon dns guvenligi
Garnizon dns guvenligi
Alper Başaran
Kritik Altyapılarda Siber Güvenlik
Kritik Altyapılarda Siber GüvenlikKritik Altyapılarda Siber Güvenlik
Kritik Altyapılarda Siber Güvenlik
Alper Başaran

OWASP ZAP

  • 1. OWASP Ankara Webinar Zed Attack Proxy (ZAP) OWASP Ankara | basaranalper@gmail.com Alper Başaran basaranalper@gmail.com
  • 2. 5N1K • OWASP yazılım güvenliği konusunda çalışan kar amacı gütmeyen bir kuruluştur • Sızma testi/danışmanlık yapıyorum • Ürün/marka konuşmayacağız • Sunumu paylaşacağım • Kayıt ediyoruz, paylaşacağım • Bana ulaşmak için: basaranalper@gmail.com OWASP Ankara | basaranalper@gmail.com OWASP Ankara
  • 3. Konularımız • Web uygulaması sızma testi süreci • OWASP sızma testi rehberi • Web uygulaması sızma testi kontrol listesi • OWASP Zed Attack Proxy (ZAP) • ZAP ile keşif çalışmaları • ZAP ile pasif tarama • ZAP ile aktif zafiyet taraması • Bulguların değerlendirmesi • OWASP Top 10 • Kurumsal zafiyet yönetimi döngüsü OWASP Ankara | basaranalper@gmail.com OWASP Ankara
  • 4. Web uygulaması sızma testi süreci • PTES: • Hazırlık çalışmaları • Bilgi toplama • Tehdit modelleme • Zafiyet analizi • İstismar • İstismar sonrası • Raporlama http://www.pentest-standard.org/index.php/PTES_Technical_Guidelines OWASP Ankara | basaranalper@gmail.com OWASP Ankara
  • 5. OWASP sızma testi rehberi • OWASP tarafından derlenen test rehberi • 224 sayfa • https://owasp.org/www-pdf-archive/OTGv4.pdf OWASP Ankara | basaranalper@gmail.com OWASP Ankara
  • 6. OWASP sızma testi rehberi • Bilgi toplama • Konfigürasyon ve kurulum yönetimi testleri • Kimlik yönetimi testleri • Kimlik doğrulama testleri • Yetki denetimi testleri • Oturum yönetimi testleri OWASP Ankara | basaranalper@gmail.com OWASP Ankara
  • 7. OWASP sızma testi rehberi • Girdi kontrolü testleri • Hata yönetimi testleri • Zayıf kripto kullanımı testleri • İş mantığı testleri • İstemci tarafı testleri OWASP Ankara | basaranalper@gmail.com OWASP Ankara
  • 8. Web uygulaması sızma testi kontrol listesi • Test rehberi sayfa 211’den itibaren OWASP Ankara | basaranalper@gmail.com OWASP Ankara
  • 9. OWASP Zed Attack Proxy (ZAP) • Dünyanın en çok kullanılan açık kaynak web uygulama güvenlik çözümü • Mart 2020: • 85.000’den fazla indirme • Docker imajı 220.000’den fazla çağrıldı • 1.000.000’dan fazla kez başlatıldı https://www.zaproxy.org/ OWASP Ankara | basaranalper@gmail.com OWASP Ankara
  • 10. ZAP • Konumlandırma OWASP Ankara | basaranalper@gmail.com OWASP Ankara Tarayıcı Uygulama
  • 11. OWASP Top 10 1. Injection 2. Broken Authentication 3. Sensitive Data Exposure 4. XML External Entities (XXE) 5. Broken Access Control 6. Security Misconfiguration 7. Cross-Site Scripting XSS 8. Insecure Deserialization 9. Using Components with Known Vulnerabilities 10. Insufficient Logging & Monitoring OWASP Ankara | basaranalper@gmail.com OWASP Ankara
  • 12. Bulguların değerlendirmesi OWASP Ankara | basaranalper@gmail.com OWASP Ankara
  • 13. Kurumsal zafiyet yönetimi döngüsü OWASP Ankara | basaranalper@gmail.com OWASP Ankara
  • 14. Kurumsal zafiyet yönetimi döngüsü OWASP Ankara | basaranalper@gmail.com OWASP Ankara Keşif Tarama AnalizGider Ölç