�ݺ�ߣ

@owaspistanbul - rumeysabozdemir@gmail.com

RUMEYSA BOZDEMİR
• Computer Programming - Associate Degree
• Management Information System - Bachelor’s Degree
• ITIL 4 Foundation Certificate in IT Service Management
• ISO27001 LA - CQI|IRCA
• C|EH - EC - Council
• IT Expertise – BEM
• Cyber Security Specialist – TUBITAK
• OWASP Chapter Leaders - Istanbul

OWASP
• Kar amacı gütmeyen ve yazılım güvenliğini artırmak için çalışan bir
kuruluştur.
• Yaklaşık 20 yıldır hizmet vermektedir.
• Açık kaynak yazılım projeleri
• Yüzlerce yerel bölüm
• On binlerce üye
• Eğitim / Konferans

OWASP
@owaspistanbul
@rumeysabzdmr
@owaspistanbul

OWASP INFO
• Web uygulaması nedir?
• Web uygulaması sızma testi nedir?
• Web uygulama sızma testi adımları nelerdir?
• Web uygulama testlerinde kullanılan yazılımlar nelerdir?
• Web uygulama sızma testi yazılımları nasıl kullanılır?
• Zafiyet analizi ve sızma testi arasındaki fark nedir?
• SQLMAP ile SQL Injection zafiyeti nasıl istismar edilir?

OWASP | WEP APP NEDİR?
Web uygulaması, İnternet ve Intranet gibi ağ kanalları üzerinden erişilen
programların genel adıdır. Bu tanım, web tarayıcıları tarafından
işletilebilen bir dille yazılmış betikleri de kapsamaktadır.

OWASP | WEP APP TÜRLERİ
Programlama dillerine göre;
Statik Web Uygulamalar Dinamik Web Uygulamalar
 HTML işaretleme dili ile yazılır.
 Veritabanı yoktur.
 Yönetim paneli yoktur.
 ASP, ASPX ( .net ), ve PHP gibi
programlama dilleri ile yazılır.
 Veritabanı vardır.
 Yönetim paneli vardır.

OWASP | WEP APP TÜRLERİ
Hangisi ve neden hacklenir?

OWASP | WEP APP SIZMA TESTİ NEDİR?
• Web uygulaması geliştirdiğinde fonksiyonel ve fonksiyonel olmayan
testleri gerçekleştirilir. Bu testler yazılım geliştiriciler ve test
mühendisleri tarafından yapılır.
• Geliştirme tarafındaki testler bittikten sonra kaynak kod analizi ve
sızma testi yapılır.
• Sızma testi; bir uygulamada son kullanıcın erişmemesi gereken
kaynaklara erişilebilirliğini ölçen bir testtir.

OWASP | WEP APP SIZMA TESTİ ADIMLARI
• Bilgi toplama (https://youtu.be/OeiP9f_sfas)
• Planlama
• Saldırı
• Çıktıları toplama
• Raporlama

OWASP | YAZILIMLAR & ARAÇLAR
• Acunetix
• Netsparker
• OWASP Zap
• VEGA
• SQLMAP
• WPScan
• Nikto
.
.

OWASP | ACUNETIX NASIL KULLANILIR?

OWASP | ACUNETIX HEDEF EKLEME

OWASP | ZAFİYET ANALİZİ & SIZMA TESTİ
Zafiyet analizi ve sızma testi arasındaki fark nedir?

OWASP | ACUNETIX RAPOR

OWASP | SQLMAP KULLANIMI

1. MySQL 5.0.12'den büyük yada eşit gibi ve enjekte edilebilir görünüyor, arka uç database bilgisi MySQL. Diğer
database türleri için sorgu denemeyi atlamak istiyor musunuz? (Yes diyoruz.)

2. Kalan testler için sağlanan level 1 ve risk 1 seviyelerinin değerlerini genişleten sorguları MySQL için dahil
etmek istiyor musunuz? (Yes diyoruz.)

3. GET isteği ile giden name değişkenine Generic UNION sorgusu ile 1 - 20 arasonda sütun enjekte edilebilir.
Name değişkesi savunmasız! Diğer değişkenler için test sorgusu görmeye devam etmek istiyor musunuz? (Hayır
diyoruz. Çünkü şu an sadece name değişkenine odaklanmış durumdayız.)

OWASP

KAYNAKLAR
• Yazılım test çeşitleri
• https://www.acunetix.com/support/

�ݺ�ߣ

Web App Hacking | OWASP Istanbul

More Related Content

Web App Hacking | OWASP Istanbul