Etiket arşivi: güvenlik notları

Web Uygulamaları Güvenliği Notları

  • Sızma Hizmeti
  • Saldırıların %75’i web uygulamalarına yönelik olmasına rağmen bu alana yatırım %10’lardadır.
  • Bilgi güvenliği web sayfası
  • Hacking, sızma, exploid, vulnerability (zaviyet), penetration, kötüye kullanma.
  • Difacement – index atma. Hacklenen siteler zone-h.org sitesinde yayınlanmaktadır.
  • DNS zone transfer
  • Tamer Şahin (lamer şahin), ekşisözlük.
  • Blackhead -> midnick.k
  • Whitehead -> tim berners-lee (www cern), wozniak
  • Firebug – mozilla.
  • HTML encoding (güvenlik için önemli)
  • javascript -> livescript
  • client tarafında form denetimi
  • URL – rezerv edilmiş karakterleri kodlamak gerekli.
  • Same origin policy.

  • Information gathering (Bilgi Toplama)
    • Girdi noktaları bulma tekniği
      • form
      • linkler
      • iframe kaynakları
      • image kaynakları
      • firefox developer tool add-on
    • Bağlantı keşfi teknikleri
      • Crawling – Spidering
      • Bağlantı ağacı verilir
      • tüm linkler çıkarılır
      • anti-crawling
      • olunokta.js
      • admin sayfası bulunabilir
      • deneme yöntemi
      • webscarab
    • Otomotize Araçlar
      • siteyi test eder
      • kötü isteklerle zafiyet tespiti
      • nikto web scanner, chris sullo, W3AF – andres ricncho, poros – chinotec
      • Ticari araçlar
        • acunetix wvs
        • netsparker, mavituna security (url gir, test çeşitleri, teknikler..)
        • appscan, ibm
    • Yayınlanmış zafiyet arama teknikleri
      • havuzlardan öğrenme
      • exploid-db.com
      • shodanhq.com / exploits
  • Configuration Management
    • minimum bilgi prensibi
    • ssl
    • md5 – salt
    • calomel mozilla firefox add-on (ssltest)
    • nessus
    • bileşenler arası etkileşim
    • http metodları denetimi
    • basic authentication
    • clear text
  • Kimlik Doğrulama
    • digest
    • certificate based
    • uyarı mesajlarına dikkat edilmeli
    • hesap kilitleme ve yavaşlatma teknikleri
    • kaba kuvvet, sözlük
    • firefox add-on medusa, hydra (linux)
    • dikey – ad sabit, farklı parola, hesap kilitleme
    • yatay – parola sabit, farklı kullanıcı, ip kısıtlama
    • diyagonal – her denemede farklı , ip kısıtlama
    • ip kısıtlama çok da mantıklı olmuyor
    • one time password
    • captcha
    • password cracker
    • google re captcha
    • ocr araçları zayıf captcha’ları kırabilir.
    • single sing-on (tüm profiller bir şifre ile)
  • Girdi/Çıktı denetimi
    • cross site scripting-xss
      • yansıtılan (reflecting) xss
      • stored xss
      • dom tabanlı xss
    • Sql injection 3′ or 1=1
      • xpath, ldap, orm, xml, ssi.
      • arabellek tasmaları
      • regular expression
      • urlencode
  • Session Management
    • backtrack root/toor startx
    • dvwa security
    • tübitak ilgem
    • jsessionid
    • cross site request forgery
  • Yetkilendirme
    • forced browsing
    • root vs. kaldırılmalı

İş mantığı

  • şifremi unuttum
  • finansal algoritmalar
  • teknik olmayan hizmet dışı bırakma saldırıları
  • istemci tarafı (javascript) veri kontrolü
  • time of check – time of use
  • integer overflow

Kayıt tutma

  • gözetim inceleme, hata alma vs.
  • yasal zorunluluk (5651)
  • merkezi kayıt sistemi (SCOM vs.)
  • kayıtları arası korelasyon (OSSIM)
  • 404’ler de tutulmalı

Hata yönetimi

  • fail safe
  • bilgimikoruyorum.org.tr
  • bilgiguvenligi.gov.tr

  • XSS
    • reflected (kayıt yok)
    • kullanıcı kod yazabiliyor mu?
    • arama sayfası önceki aramaları kaydediyor
  • pozitif / negatif deneyim
  • sql injection
    • ‘ girildiğinde sql cümlesi bozulmuş olmalı -> error.aspx
    • nuh’ or ‘1=1’
    • ; ile cümle bitirilip yeni bir cümle yazılabilir. tüm database ele geçirilebilir.
  • jboss yönetim arayüzü
  • nikiton triap
  • backtrack
    • sqlmap sql injection
    • brutforce – medusa, hydra
    • works
  • csrf – facebook, twitter gibi sitelerin paylaş, beğen butonlarındaki güvenlik açıkları
  • iframe’ler eklentilerle engellenebilir
  • session fixation – oturum sabitleme
  • owasp, webscarab
  • dvwa
  • ferruh mavituna
  • sans.org -> reading room
  • exploit db
  • offensive security
  • huzeyfe önal – lifeoverip.net – websec mail grubu – acunetix (demo site)
  • bilgi güvenliği standartları
  • user agent switcher – firefox add-on
  • arp -a

  • BACKTRACK 5 
    • root – toor – startx
    • ids / ips identification
    • nessus / vulnerability scanners
    • honeypot – sunucu korumak için
    • aircrack, airmon – wireless
    • offline – john the ripper
    • online – hydra, medusa
    • msfpayload – backdoor
    • hping2/hping3 – dos saldırıları
    • recordmydesktop
    • macchanger
    • webcrawlers  – proxy
    • nikto – tarama
    • dirbuster – linkleri buluyor
    • shodan
    • the hardester – mail

  • seminer.linux.org.tr
  • Fatih Özavcı – fatih.ozavci@gamasec.net
  • sistem sızma güvenlik
  • güvenlik denetmeni
  • nessus
  • blind sql injection (ferruh mavituna tool)
  • saldırgan gözü – denetmen gözü
  • Bilgi toplama ve ağ haritalama
  • RFI – request for information
  • hizmet ve gizlilik sözleşmesi
  • servis engelleme test edilmez
  • bilgi kurum dışına çıkarılamaz
  • ‘en güvenli’ yok
  • nat / nmap
  • security focus – web sitesi
  • tamer şahin
  • se…f..com/bid/1806/exploit
  • hping.org
  • e-posta
    • mesajın kaynağını göster
    • hata mesajları kullanılabilir
  • medusa – mysql, snmp, mssql vs.
  • W3AF.sourceforge.net
  • ettercap – chroot, jailbrake, kernel

KABLOSUZ AĞ SALDIRILARI

  • olay radyo sinyalleri değil
  • kablodaki tüm saldırılar kullanılabilir
  • mac spoofing
  • wpa2-aes – şimdilik sağlam
  • kismet, aircrack-ng (her ayrı olay için ayrı modül)
  • faraday kafesi
  • sinyal emici boyalar
  • bssid ile hashleme
  • kar-metasploit fw + aircrack ng
  • karmesploit
  • wireshark
  • kismac – mac’te çalışır
  • ettercap

  • voip-voice over ip
  • sipvicious.org
  • sipsak.org

Sisteme Sızma Süreci

  • exploit – güvenlik açığını kullanma
  • payload – exploit’ten sonraki işlemi  yapacak içerik (assembly)
  • shikata ga nai
  • polimorfik virüs
  • format string attacks
    • buffer overflow vs.
  • smashing shark for fun or profit
  • murat balaban (buffer overflow)
  • rainbow tables

Saldırı Uygulamaları

  • Bilgi toplama metodolojileri
    • awasp-security checklist
    • osstm – isecom.com
    • issaf
  • network / voip / wireless / oracle + checklist
  • host.linux.org.tr – IP (64 byte)
    • ttl – time to leave (64 ise en az 6 yönlendirici var)
  • ncat – firewall > router > kendisi
    • ncat -vn 193.140.0.214 23
    • connection timed out (firewall – bir sonraki atlama noktasını deniyoruz – 22.port)
  • n cat -v www.linux.org.tr
  • tcpdump -v -n ‘host …’
  • wireshark
  • nmap -sS -p1 -5000 IP -v -n (portlar taranıyor)
  • gizlenmek güvenli değildir
  • hping -3 www.linux.org.tr
  • haberleşme – diğerleşme, ip, mac
  • arada routing varsa mac adresi devreden çıkar
  • DDOS / Syn flood
  • cat /etc/pswd
  • nmap ile taramalar – port taramaları ve çalışan servislerin zaafiyetlerinin olup olmadığı
  • usr/share/nmap
  • show exploids / patloads
  • use exploid/windows/smb – deerpc – browser
  • vnc
  • meterpreter
  • opfcrack – windows nt şifre
  • wpa tkip crack

AĞ TRAFİĞİ İZLEME

  • snmp
  • netflow (günlük trafik)
  • uygulama bazlı trafik izleme
  • ipp2p ile 7-22 arası torrent yasaklı
  • ddl / p2p
  • broadband, baseband
  • genişbant uç kullanıcı bağlantısı
  • can (ticari), pan (personal), fan (family) – VPN