onur yılmaz - http güvenlik başlıkları
TRANSCRIPT
![Page 1: Onur Yılmaz - Http Güvenlik Başlıkları](https://reader030.vdocuments.site/reader030/viewer/2022020106/55ad042b1a28abed468b45fd/html5/thumbnails/1.jpg)
OnurYılmaz, CypSec, 2015
![Page 2: Onur Yılmaz - Http Güvenlik Başlıkları](https://reader030.vdocuments.site/reader030/viewer/2022020106/55ad042b1a28abed468b45fd/html5/thumbnails/2.jpg)
@netsparker – Güvenlik Araştırmacısı @owasptr – Board Member
![Page 3: Onur Yılmaz - Http Güvenlik Başlıkları](https://reader030.vdocuments.site/reader030/viewer/2022020106/55ad042b1a28abed468b45fd/html5/thumbnails/3.jpg)
Set-Cookie ile oluşturulan cookilere HttpOnlyözelliği kazandırılırsa cookie’ler sadece HTTP header’ları üzerinden gider ve JavaScript ileclient tarafından erişilemezler.
![Page 4: Onur Yılmaz - Http Güvenlik Başlıkları](https://reader030.vdocuments.site/reader030/viewer/2022020106/55ad042b1a28abed468b45fd/html5/thumbnails/4.jpg)
Set-Cookie: user=fbsvs58; path=/; HttpOnly
![Page 5: Onur Yılmaz - Http Güvenlik Başlıkları](https://reader030.vdocuments.site/reader030/viewer/2022020106/55ad042b1a28abed468b45fd/html5/thumbnails/5.jpg)
Bu neyi çözer ?
XSS saldırılarını engellemez. Sadececookie’lerin çalınmasını engeller.
Keywords: XSS Tunnel, XSS Shell, BeEF
![Page 6: Onur Yılmaz - Http Güvenlik Başlıkları](https://reader030.vdocuments.site/reader030/viewer/2022020106/55ad042b1a28abed468b45fd/html5/thumbnails/6.jpg)
![Page 7: Onur Yılmaz - Http Güvenlik Başlıkları](https://reader030.vdocuments.site/reader030/viewer/2022020106/55ad042b1a28abed468b45fd/html5/thumbnails/7.jpg)
Eğer cookie’ye secure özelliği kazandırıldıysa, ilgili cookie değeri sadece HTTPs üzerindeniletilecektir.
![Page 8: Onur Yılmaz - Http Güvenlik Başlıkları](https://reader030.vdocuments.site/reader030/viewer/2022020106/55ad042b1a28abed468b45fd/html5/thumbnails/8.jpg)
Set-Cookie: user=fbsvs58; path=/; Secure
![Page 9: Onur Yılmaz - Http Güvenlik Başlıkları](https://reader030.vdocuments.site/reader030/viewer/2022020106/55ad042b1a28abed468b45fd/html5/thumbnails/9.jpg)
Bu neyi çözer ?
Bir uygulamada eğer sadece uygulamaya girişalanında SSL kullanılmış, kalan işlemler HTTP üzerinden yapılıyorsa network sniff edilerekilgili cookie değerinin okunmasını engeller.
![Page 10: Onur Yılmaz - Http Güvenlik Başlıkları](https://reader030.vdocuments.site/reader030/viewer/2022020106/55ad042b1a28abed468b45fd/html5/thumbnails/10.jpg)
Clickjacking saldırılarına önlem almak adınadoğmuştur.
Saldırganın sahip olduğu web sitesi üzerindeniframe ile sizin siteniz çağrılarak kullanıcılarafarklı işlemler yaptırılabilmektedir.
![Page 11: Onur Yılmaz - Http Güvenlik Başlıkları](https://reader030.vdocuments.site/reader030/viewer/2022020106/55ad042b1a28abed468b45fd/html5/thumbnails/11.jpg)
3 farklı parametre almaktadır;
Deny: Tamamen engeller.
SAMEORIGIN: Kendi domaininden başka biryerden çağrılmasını engeller.
ALLOW-FROM uri: İstenilen domainlere izin verir.
![Page 12: Onur Yılmaz - Http Güvenlik Başlıkları](https://reader030.vdocuments.site/reader030/viewer/2022020106/55ad042b1a28abed468b45fd/html5/thumbnails/12.jpg)
Apache içinHeader always append X-Frame-Options SAMEORIGIN
IIS için – web.config<httpProtocol>
<customHeaders><add name="X-Frame-Options"
value="SAMEORIGIN" /></customHeaders>
</httpProtocol>
![Page 13: Onur Yılmaz - Http Güvenlik Başlıkları](https://reader030.vdocuments.site/reader030/viewer/2022020106/55ad042b1a28abed468b45fd/html5/thumbnails/13.jpg)
![Page 14: Onur Yılmaz - Http Güvenlik Başlıkları](https://reader030.vdocuments.site/reader030/viewer/2022020106/55ad042b1a28abed468b45fd/html5/thumbnails/14.jpg)
XSS saldırılarının çalışmasını engellemek içinkullanılır. XSS sorununu çözmez, sadecederinlemesine defans sağlar.
![Page 15: Onur Yılmaz - Http Güvenlik Başlıkları](https://reader030.vdocuments.site/reader030/viewer/2022020106/55ad042b1a28abed468b45fd/html5/thumbnails/15.jpg)
Apache içinHeader always append X-XSS-Protection 1
IIS için<httpProtocol><customHeaders>
<add name="X-XSS-Protection" value="1" /></customHeaders>
</httpProtocol>
![Page 16: Onur Yılmaz - Http Güvenlik Başlıkları](https://reader030.vdocuments.site/reader030/viewer/2022020106/55ad042b1a28abed468b45fd/html5/thumbnails/16.jpg)
Tüm içeriğin render edilmesini engellemekisterseniz;
X-XSS-Protection: 1; mode=block
![Page 17: Onur Yılmaz - Http Güvenlik Başlıkları](https://reader030.vdocuments.site/reader030/viewer/2022020106/55ad042b1a28abed468b45fd/html5/thumbnails/17.jpg)
![Page 18: Onur Yılmaz - Http Güvenlik Başlıkları](https://reader030.vdocuments.site/reader030/viewer/2022020106/55ad042b1a28abed468b45fd/html5/thumbnails/18.jpg)
[email protected] www.netsparker.com twitter/netsparker twitter/onuryilmazinfo