Sistem yöneticileri ve web geliştiriler için web güvenliği sunumu

F84ac89d273315b766b830dda46d4221?s=47 Ali Okan Yüksel
February 14, 2015
Research
0
56

Sistem yöneticileri ve web geliştiriler için web güvenliği sunumu

Sistem yöneticisi ve web geliştiriciler için bilgi güvenliği notları. (sql injection, file inclusion LFI - RFI, xss cross site scripting, directory traversal, arbitrary file upload, command injection, kernel intrusion)

F84ac89d273315b766b830dda46d4221?s=128

Ali Okan Yüksel

February 14, 2015
Tweet

More Decks by Ali Okan Yüksel

See All by Ali Okan Yüksel
F84ac89d273315b766b830dda46d4221?s=48 aokan
0
42

Other Decks in Research

See All in Research
3028514229c4e7508ac896578292fbbc?s=48 madonokouki
0
110
A182964bc0a261a5fc8bb207d660c743?s=48 diracdiego
1
710
83722380372c00bd75ac920f2089f6aa?s=48 zacky1972
1
210
9e7d522690b2ea97d452a0e09d25d2ff?s=48 et771011
0
250
C6b97a47d5406cfdef50a5c755751c16?s=48 sorami
1
1.1k
09ed5afcc83ed2abfea708651c975882?s=48 shunk031
0
610
F26c65b4ad90e281e3d866f466783201?s=48 bo0om
0
600
D7ef5177ffe7ddec8dc5e11547963f99?s=48 motokimura
8
5.5k
C3bc10b8a72ed3c3bfd843793b8a9868?s=48 s3_seminar
0
140
B91bb8ea34ba992953bfcdf5a51ea457?s=48 mns54
0
880
F0aa5f405baf92b0242549266327f267?s=48 elerac
0
140
6e166ed0b8cf24a9d5aef105dacf5db7?s=48 usaito
4
1.3k

Featured

See All Featured
9cde37f47e4a800ea081ea42de8d749a?s=48 dougneiner
55
5.3k
D8fc2580cfaca035f666d9e4ee79a7f7?s=48 mongodb
23
3.7k
2f5463832ccb768ccb4a1ca3607c27ef?s=48 jacobian
254
19k
11c84dff30266b907714802088852677?s=48 jasonvnalue
80
7.9k
1f74b13f1e5c6c69cb5d7fbaabb1e2cb?s=48 sferik
608
54k
20bfe76b3d6105641f879fe45cfc9272?s=48 bkeepers
51
4k
C35e01544a0dd94a2cf1619ee8a42ebb?s=48 clairelew
13
1.3k
A9704266587836f7e784235e5073b93e?s=48 jmmastey
5
380
Ae14cc4491ac334f9cd23f9f93b4305e?s=48 orderedlist
PRO
326
35k
Dafc4723e9a1c067796c0fec6f509774?s=48 lemiorhan
622
40k
E6c6e133e74c3b83f04d2861deaa1c20?s=48 searls
202
35k
F383c6a4dc55e331bbe2987b622cee6b?s=48 stephaniewalter
256
11k

Transcript

  1. Dokuz Eylül Üniversitesi Bilgi İşlem Dairesi Sunum konusu: Web Güvenliği

  2. Bugün Türkiye'de önemli kurumların bilgi güvenliği ile ilgili zayıflıkları bulunduğunu

    görüyoruz. Bilginin güvensiz bir şekilde internet ortamında yayınlanmasının çok ağır sonuçları olabilir. Özlük bilgilerinin, banka hesaplarının, öğrenci notlarının, ticari sırların, e-postaların güvenliği önemli ve oldukça hassas bir konudur. Web Güvenliği

  3. Zayıflık nedenlerini sınıflandıralım 1. Kullanıcı taraflı zaafiyetler 2. Ağ yönetimi

    ile ilgili zaafiyetler 3. Uygulama ile ilgili zaafiyetler 4. Sistem Yönetimi ile ilgili zaafiyetler Genel olarak yapılan hataları bu şekilde sınıflandırabiliriz. Bu sınıflandırmaya ekleme ve çıkarmalar yapılabilir. Daha çok uygulama ve sistem yönetimi ile ilgili hatalar üzerinde duracağız. Sıraladığımız tüm hatalar birbiri ile içiçedir. Zaman kazanma ve bütünlük sağlama açısından uygulama ve sistem yönetimi ile ilgili zayıflıkları birarada ele alacağız.

  4. Kullanıcı taraflı zaafiyetler Kullanıcı tarafından tercih edilen işletim sisteminin doğru

    şekilde yönetilememesi sonucunda zararlı yazılımlarla şifre çalınması, oturum bilgilerinin çalınması (trojan, keylogger, spy gibi...). Belirlenen zayıf şifreler (12345, admin, nimda, 11111, 19831983 gibi). Aynı şifrenin heryerde kullanılması. Phishing (Sahte formlar).. Bugün oneway function yöntemi ile şifrelenmiş geri döndürülemeyeceği zannedilen hash'ler "rainbow table" olarak isimlendirilen tablo yapısı üzerinde çalıştırılan çapraz sorgularla kırılabilmektedir. Bence bu noktada yapılan en kritik hata, zayıf parola seçimleridir.

  5. Ağ Yönetimi ile ilgili zaafiyetler Ağ trafiğinin dinlenmesi, paketlerin analiz

    edilmesi... Arp spoofing, Man-in-the-middle yöntemi gibi.. Bu yöntemlerle http, pop3 gibi protokoller ile gönderilen paketler yakalanabilir...

  6. Uygulama ve sistem yönetimi ile ilgili zaafiyetler Web uygulamalarından bahsedildiğinde

    farklı kategoride, kullanılan çok sayıda programlama ve veritabanı alternatifi akla gelmektedir. Perl, Python, Java, PHP, ASP, PostgreSQL, MSSQL, MySQL, Oracle gibi. Genel olarak benzer mantık hatalarının yapıldığını görüyoruz. Örneklerde PHP programlama dilinden ve MySQL ilişkisel veritabanı yazılımından faydalanılmıştır. Web güvenliği gibi geniş bir konuyu sıraladığımız teknolojilerle sınırlandırmak elbette mümkün değildir.

  7. XSS Cross Site Scripting nedir? Alınan girdilerin süzgeçten geçirilmeden kullanılması

    sonucu, saldırgan zararlı içeriklerle programın çalışma şeklini istenmeyen etkiler doğuracak şekilde değiştirebilir. Örnek senaryo: e-posta web arabirimi gelen e-posta'daki bilgileri süzgeçten getirmeden ekrana basmaktadır.

  8. Directory Traversal nedir? Kısaca izin verilmeyen dizinlere erişim sağlanması olarak

    özetlenebilir. Örneğin; apache - php konfigurasyonu yaparken virtual hostlarınızda openbasedir tanımlaması yapmazsanız istenmeyen dizinlerdeki dosyalar için file inclusion sorunu yaşayabilirsiniz. İstenmeyen dizinlerdeki dosyalarınız okunabilir, dizinlerinize dosya yazılabilir. show_source, include, require, system, shell_exec, passthru, exec gibi fonksiyonlar ile directory traversal zayıflıklarından faydalanabilirsiniz.

  9. File Inclusion LFI - RFI Local file inclusion ve remote

    file inclusion olarak iki taraflı düşünülmelidir. <? include($_GET[“page”]); ?> GET /?page=/etc/passwd gibi uzaktaki veya yerel bir dosyanın uygulamaya dahil edilmesi söz konusu olabilir.

  10. Arbitrary file upload Dosya yüklemelerinde yapılan uzantı kontrol hataları akla

    gelmelidir. Sunucuya çalıştırılabilir, yorumlanabilir dosya yüklenmesi sonucu, sunucunuza sağlanabilecek erişimler ile sisteminiz ele geçirilebilir. CGI, PHP, ASP, PY gibi yorumlanan, çalıştırılabilir dosyaların yüklenmesi engellenmelidir.

  11. Command Injection nedir? Php programlama dili ile system, shell_exec, passthru,

    exec gibi fonksiyonlar kullanılarak sistem komutları çalıştırılabilir. Yine asp 'ler için fso (File System Object) ve diğer programlama dillerinde de benzer fonksiyon, methot veya sınıflar mevcuttur.

  12. SQL Injection nedir? Veritabanı destekli uygulamalarda girişlerin süzgeçten geçirilmemesi; sonrasında,

    sql komutları kullanılarak tabloların okunması, yazılması, değiştirilmesi... dosyaların okunup, dosyaların yüklenmesi gibi sonuçlar doğurabilecek zayıflıklar akla gelmelidir. Örnek kod 1 union sorgusu Örnek kod 2 load_file fonksiyonu Örnek kod 3 authentication bypass

  13. Kernel intrusion İşletim sisteminin çekirdeği kullanılarak yapılan saldırılar akla gelmelidir.

    Linux işletim sistemi için sistemi root'layabileceğiniz çok sayıda local root exploit i mevcuttur.

  14. Kernel intrusion KERNEL 2.2.* 2.2.x Exploit : ptrace. KERNEL 2.4.*

    2.4.17 Exploits : ptrace, uselib24, ong_bak, mremap, newlocal, brk, brk2. 2.4.18 Exploits : ptrace, uselib24, ong_bak, mremap, newlocal, brk, brk2 2.4.19 Exploits : ptrace, uselib24, ong_bak, mremap, newlocal, brk, brk2 2.4.20 Exploits : ptrace, uselib24, ong_bak, mremap, module_loader, elflbl, brk, brk2 2.4.21 Exploits : ptrace, uselib24, ong_bak, mremap, brk, brk2, w00t 2.4.22 Exploits : ptrace, uselib24, ong_bak, mremap, hatorihanzo, brk, brk2, w00t 2.4.23 Exploit : ptrace, uselib24, ong_bak, mremap 2.4.24 Exploit : ptrace, uselib24, ong_bak, mremap 2.4.25 Exploits : ptrace, uselib24, ong_bak, mremap 2.4.26 Exploits : ptrace, uselib24, ong_bak, mremap 2.4.27 Exploits : ptrace, uselib24, ong_bak, mremap KERNEL 2.6.* 2.6.2 Exploit : mremap_ptea 2.6.3 Exploit : Krad 2.6.4 Exploit : Krad 2.6.5 Exploit : Krad 2.6.6 Exploit : Krad 2.6.7 Exploit : Krad 2.6.8 Exploit : Krad

  15. Önlemler *Linux sistem yönetimi ile ilgili tercihler *Linux partition tablosu

    ile ilgili yapılabilecek düzenlemeler ve nedenleri *MySQL kullanıcıları ile ilgili seçimler *php.ini dosyasının düzenlenmesi *Apache virtualhost tanımlamaları

  16. Linux sistem yönetimi ile ilgili tercihler Sistem yöneticisi kesinlikle linux

    kernel'i için güvenlik yamaları yapmalıdır, dosya dizinler ile ilgili izinler gözden geçirilmelidir.

  17. Linux partition tablosu ile ilgili yapılabilecek düzenlemeler ve nedenleri Bildiğiniz

    gibi tmp dizini izinleri herkes tarafından okunabilir ve yazılabilir şekilde düzenlenmiştir. /tmp 'i ayrı bir partition olarak tanımlamak fstab dosyasında no- exec, no-suid olarak bağlamak mantıklı olacaktır. Aksi durumda saldırganın dosya atabileceği bir dizin olarak düşünürülürse dosyaların çalıştırılması kesinlikle sorun yaratacaktır.

  18. MySQL kullanıcıları ile ilgili seçimler Global yetkileri olan mysql kullanıcısı

    ile kesinlikle web uygulamları kullanmamanızı öneriyorum. load_file fonksiyonu genel kullanıcılar tarafından kullanılan bir fonksiyondur. Dolayısıyla eğer genel kullanıcı ile web uygulaması geliştiriyorsanız bunun sonuçlarına katlanmak zorunda kalabilirsiniz.

  19. php.ini dosyasının düzenlenmesi php.ini dosyasında allow_url_fopen off yapmalısınız. Disable_functions bölümüne

    aşağıda fonksiyonları eklemelisiniz: disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, po pen, proc_open

  20. Apache virtualhost tanımlamaları Örnek virtual host tanımlaması: <VirtualHost 212.174.115.20:80> ServerName

    blackdaemons.com:80 ServerAlias www.blackdaemons.com ServerAdmin "okan@izmirx.com" DocumentRoot /home/okan/domains2/blackdaemons.com/httpdocs Alias /webmail /var/www/data/webmail DirectoryIndex index.php index.html Options -Indexes php_admin_value open_basedir "/home/okan/domains2/blackdaemons.com/httpd ocs:/var/tmp:/usr/local/www/data/webmail" CBandLimit 4000M CBandExceededURL http://www.izmirx.com/hata/bandwidth_exceeded.html CBandScoreboard /home/okan/domains2/blackdaemons.com/httpdocs/scoreboard CBandPeriod 4W <Location /cband-status> SetHandler cband-status </Location> <Location /cband-status-me> SetHandler cband-status-me </Location> <Directory /home/okan/domains2/blackdaemons.com/httpdocs> order allow,deny allow from all </Directory> </VirtualHost>

  21. Sorularınız Hazırlayan: Ali Okan YÜKSEL E-posta: okan@deu.edu.tr Dokuz Eylül Üniveritesi

    Bilgi İşlem Dairesi Şubat 2007, İZMİR