[OWASP-TR Uygulama Güvenliği Günü 2016] Özgür Alp - HTTP/2 ve Güvenlik
1 like435 views
OWASP-TR Uygulama Güvenliği Günü 2016 Özgür Alp - HTTP/2 ve Güvenlik
![[OWASP-TR Uygulama Güvenliği Günü 2016] Emre Kısa - HTTP Güvenlik Başlıkları ...](https://cdn.slidesharecdn.com/ss_thumbnails/1-emre-ksa-160330104141-thumbnail.jpg?width=560&fit=bounds)
![[OWASP-TR Uygulama Güvenliği Günü 2016] Muhammet Dilmaç - Ruby on Rails Web F...](https://cdn.slidesharecdn.com/ss_thumbnails/3-muhammet-dilmac-160330104326-thumbnail.jpg?width=560&fit=bounds)
![[OWASP-TR Uygulama Güvenliği Günü 2016] Gökmen Güreşçi - Web Uygulamalarında ...](https://cdn.slidesharecdn.com/ss_thumbnails/4-gikmen-garesci-160330104731-thumbnail.jpg?width=560&fit=bounds)
![[OWASP-TR Uygulama Güvenliği Günü 2016] Özkan Boztaş - SSL Protokolüne Karşı ...](https://cdn.slidesharecdn.com/ss_thumbnails/5-ozkan-boztas-160330104841-thumbnail.jpg?width=560&fit=bounds)
![[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Yalçın Çakmak - Social Media Apps Fo...](https://cdn.slidesharecdn.com/ss_thumbnails/yalcincakmak-socialmediaappsforensics-151109073248-lva1-app6891-thumbnail.jpg?width=560&fit=bounds)
![[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ömer Faruk Acar - Mobil Uygulamalar ...](https://cdn.slidesharecdn.com/ss_thumbnails/omerfarukacar-mobiluygulamalaricinfuzztestivebugavclg-151109072914-lva1-app6891-thumbnail.jpg?width=560&fit=bounds)
![[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Bahtiyar Bircan - PwnPhone: Cepteki ...](https://cdn.slidesharecdn.com/ss_thumbnails/bahtiyarbircan-pwnphoneceptekininja-151109072737-lva1-app6892-thumbnail.jpg?width=560&fit=bounds)
![[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Oğuzhan Topgül - iOS'da Zararlı Yazı...](https://cdn.slidesharecdn.com/ss_thumbnails/oguzhantopgul-iosdazararliyazilimyokmu-151109072532-lva1-app6892-thumbnail.jpg?width=560&fit=bounds)
![[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Mehmet Sabır Kiraz & Osmanbey Uzunko...](https://cdn.slidesharecdn.com/ss_thumbnails/mehmetsabrkirazosmanbeyuzunkol-kriptografikhesaplamalarnbulutaguvenlitevdisi-151109072324-lva1-app6892-thumbnail.jpg?width=560&fit=bounds)
![[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Sertel Şıracı - Mobil Uygulama Güven...](https://cdn.slidesharecdn.com/ss_thumbnails/sertelsiraci-mobiluygulamaguvenligivehukuk-151109072048-lva1-app6892-thumbnail.jpg?width=560&fit=bounds)
![[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ahmet Can Kan - Attacking Mobile App...](https://cdn.slidesharecdn.com/ss_thumbnails/ahmetcankan-attackingmobileapplicationsatruntime-151109071909-lva1-app6891-thumbnail.jpg?width=560&fit=bounds)
![[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Bakır Emre - Cebinizdeki Hırsız](https://cdn.slidesharecdn.com/ss_thumbnails/bakremre-cebinizdekihrsz-151109071631-lva1-app6892-thumbnail.jpg?width=560&fit=bounds)
![[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Fatih Emiral - Android Uygulamalara ...](https://cdn.slidesharecdn.com/ss_thumbnails/fatihemiralbtrisk-androiduygulamalaramalwareyerlestirme-151109071427-lva1-app6892-thumbnail.jpg?width=560&fit=bounds)
More Related Content
More from OWASP Turkiye (10)
[OWASP-TR Uygulama Güvenliği Günü 2016] Özgür Alp - HTTP/2 ve Güvenlik
- 2. HTTP/1.1 ve DeÄŸiÅŸimi history HTTP/1.1 • 1999 ïƒ 2016 • 20 KB ïƒ 5 MB • HTML ïƒ JS+FLASH+AJAX • HTTP ïƒ HTTPS 2
- 3. HTTP/1.1 ve DeÄŸiÅŸimi gnome-screenshot HTTP 3 Kaynak: F5 Networks
- 4. HTTP/1.1 ve DeÄŸiÅŸimi gnome-screenshot HTTP/1.1 4
- 5. HTTP/1.1 ve HTTP/2 Benzerlikleri diff HTTP/1.1 HTTP/2 (-) • HTTP metotları – GET, POST • Durum kodları – 200, 404, 500 • Resmi adres sistemi – URI • HTTP başlıkları ve çerezler 5
- 6. HTTP/1.1 ve HTTP/2 Farklılıkları diff HTTP/1.1 HTTP/2 (>) • Düzyazı ïƒ Binary • Sıralı istekler ïƒ Paralel istekler • Çoklu istekler ïƒ Tek istek • GZIP ïƒ HPACK • Ä°stek & cevap ïƒ Sunucudan push özelliÄŸi 6
- 7. HTTP/1.1 ve HTTP/2 Farklılıkları diff HTTP/1.1 HTTP/2 (>) https://http2.akamai.com/demo 7 Kaynak: https://http2.akamai.com/demo
- 8. Neden HTTP/1.2 Değil? mv HTTP/1.2 HTTP/2 • Farklı yapıda protokol • Geriye uyumlu değil 8
- 10. HTTP/2 Uygulamaları install HTTP/2 10 Kaynak: https://github.com/http2/http2-spec/wiki/Implementations
- 11. Güvenlik Konuları netstat -lntp | grep HTTP/2 • Protokol hataları • Şifreleme • Yeni atak yüzeyleri • Hizmet engelleme 11
- 12. Güvenlik – Protokol Hataları iptables -A INPUT -p HTTP/2 --dport 443 -j DROP 12 Kaynak: https://github.com/http2/http2-spec/issues?q=label%3Asecurity+is%3Aclosed
- 13. Güvenlik – Şifreleme openssl s_server -HTTP/2 • Bilinenin aksine TLS varsayılan değil – h2: HTTP/2 over TLS – h2c: HTTP/2 over TCP • Chrome, Firefox, IE şu anda sadece h2 destekliyor 13
- 14. Güvenlik – Yeni Atak Yüzeyleri apt-get install HTTP/2 • HPACK • Sürüm yükseltme/düşürme • Tutarsız çoğullama • Kötü biçimlendirilmiş çerçeveler • İstemciye/sunucuya gelişigüzel veri gönderme • Ana akış bağlılıkları • Geçersiz çerçeve durumları 14
- 15. Güvenlik – Hizmet Engelleme httpflood.py -p HTTP/2 -u target • Performans artışı • Uygulama seviyesindeki ataklarda düşüş 15
- 16. Güvenlik – CVE use auxiliary/scanner/http2/options 16 Kaynak: http://www.cvedetails.com/google-search-results.php?q=HTTP%2F2&sa=Search
- 17. Soru & Cevap help HTTP/2 17