web uygulama güvenliği ve kariyer
TRANSCRIPT
![Page 1: Web Uygulama Güvenliği ve Kariyer](https://reader034.vdocuments.site/reader034/viewer/2022042716/55af85d51a28ab61158b4718/html5/thumbnails/1.jpg)
UYGULAMA GÜVENLIĞI VE GELECEK HAKKıNDA TAHMINLER TAHMINLERIN ÇOĞU ÇıKMAYABILIR
![Page 2: Web Uygulama Güvenliği ve Kariyer](https://reader034.vdocuments.site/reader034/viewer/2022042716/55af85d51a28ab61158b4718/html5/thumbnails/2.jpg)
KIMIM BEN ?
• Caner Özden
• Matematik ve Bilgisayar Bilimleri
• Yazılım Uzmanı ve Bilgi Güvenliği Kıdemli Uzmanı
• Aselsan, Havelsan, BGA, Avea, TT Grup
• twitter.com/canerozden
![Page 3: Web Uygulama Güvenliği ve Kariyer](https://reader034.vdocuments.site/reader034/viewer/2022042716/55af85d51a28ab61158b4718/html5/thumbnails/3.jpg)
SUNUMDA NELER VAR ?
• Uygulama güvenliği ne ola ki ?
• Neden uygulama güvenliği ? Trend mi yoksa ?
• Bu alanda ilerlersek çok para kazanılır mı ?
• Bordrolu, SGK’lı Hacker
• Gelecekte neler olur ?
![Page 4: Web Uygulama Güvenliği ve Kariyer](https://reader034.vdocuments.site/reader034/viewer/2022042716/55af85d51a28ab61158b4718/html5/thumbnails/4.jpg)
TAHMINLER
• Hendy Ford ilk Ford araçlarını ürettiği zaman insanların sadece siyah ve tek
tip araç isteyeceğini iddaa ederek farklı model araç üretimini gerekli
görmemiştir.
• Televizyon en geç altı ay içinde piyasadan silinecektir. İnsanlar her akşam
böyle bir kutuya bakmak istemezler. Daryik F. Zanuck
• http://tr.wikiquote.org/wiki/Bilimsel_gaflar
• Tahminler sadece tahmindir, ayrıca hatasız kul olmaz.
![Page 5: Web Uygulama Güvenliği ve Kariyer](https://reader034.vdocuments.site/reader034/viewer/2022042716/55af85d51a28ab61158b4718/html5/thumbnails/5.jpg)
UYGULAMA GÜVENLIĞI NEDIR ?
• Güvenliğin tanımı aksiyomatik, vakit kaybetmeye gerek yok, kabul edelim
herkes güvenlik ister. (En çok şirketler !)
• Güvenliğin Türleri
- Ağ Güvenliği
- Sistem Güvenliği
- Uygulama Güvenliği
![Page 6: Web Uygulama Güvenliği ve Kariyer](https://reader034.vdocuments.site/reader034/viewer/2022042716/55af85d51a28ab61158b4718/html5/thumbnails/6.jpg)
İLK ZAMANLAR
• Ağ Güvenliği önemliydi, tam standartlar belirlenmiş değildi.
• Şirketlerde ağ kurulumu bile yeni idi.
• Bir musibet bin nasihattan iyidir. (Güvenlik zamanla anlaşılmaya başlandı)
![Page 7: Web Uygulama Güvenliği ve Kariyer](https://reader034.vdocuments.site/reader034/viewer/2022042716/55af85d51a28ab61158b4718/html5/thumbnails/7.jpg)
UYGULAMA GÜVENLIĞI NEDIR ?
• Uygulama güvenliği, yazılımların kod seviyesinde yapılan hatalardan dolayı,
bilgi sızdırılması veya sistemlerin ele geçirilmesi ile sonuçlanan olayları
inceleyen bilim dalı, ilgi alanı.
![Page 8: Web Uygulama Güvenliği ve Kariyer](https://reader034.vdocuments.site/reader034/viewer/2022042716/55af85d51a28ab61158b4718/html5/thumbnails/8.jpg)
![Page 9: Web Uygulama Güvenliği ve Kariyer](https://reader034.vdocuments.site/reader034/viewer/2022042716/55af85d51a28ab61158b4718/html5/thumbnails/9.jpg)
UYGULAMALARDAKI HATALAR
• Yazılım geliştiricilerin gerçekleştirmesi gereken çok fazla görev var.
• Fonksiyonellik
• Hatasız çalışma
• Kullanım kolaylığı
• Zaman kısıtı
![Page 10: Web Uygulama Güvenliği ve Kariyer](https://reader034.vdocuments.site/reader034/viewer/2022042716/55af85d51a28ab61158b4718/html5/thumbnails/10.jpg)
DEADLINE GELİŞTİRİCİNİN DÜŞMANI
• Saldırganlar yazılımcıların yaptıkları yazılımsal hatalardan yararlanırlar.
• Zaman kısıtı altında ve standartlara uygun geliştirilmeyen yazılımlar
• Sürekli iş değiştiren yazılımcılar
• Kodlar bir zaman sonra karışıyor (Spagetti kod)
![Page 11: Web Uygulama Güvenliği ve Kariyer](https://reader034.vdocuments.site/reader034/viewer/2022042716/55af85d51a28ab61158b4718/html5/thumbnails/11.jpg)
NE TIP HATALAR
• Şüpheci Yaklaşım
• Doğrulama Eğilimi
• Akışkan ve saydam bir sıvının su olma öngörüsü
• Userid değişkeninin integer alma öngörüsü
![Page 12: Web Uygulama Güvenliği ve Kariyer](https://reader034.vdocuments.site/reader034/viewer/2022042716/55af85d51a28ab61158b4718/html5/thumbnails/12.jpg)
NE TIP HATALAR
• Girdi Denetimi -> En önemlisi
• İş mantığındaki hatalar
![Page 13: Web Uygulama Güvenliği ve Kariyer](https://reader034.vdocuments.site/reader034/viewer/2022042716/55af85d51a28ab61158b4718/html5/thumbnails/13.jpg)
HATA VE BILGI MESAJLARINDAN FAYDALANMAK
![Page 14: Web Uygulama Güvenliği ve Kariyer](https://reader034.vdocuments.site/reader034/viewer/2022042716/55af85d51a28ab61158b4718/html5/thumbnails/14.jpg)
OWASP
• Open Web Application Security Project
• Web uygulamalarının güvenliği ile ilgilenen bir kuruluş, kar amacı gütmez.
• Her sene en çok çıkan 10 zafiyet türünü belirleyip, konu hakkında yayınlar
çıkarır.
![Page 15: Web Uygulama Güvenliği ve Kariyer](https://reader034.vdocuments.site/reader034/viewer/2022042716/55af85d51a28ab61158b4718/html5/thumbnails/15.jpg)
HATALARI ÖNCEDEN BELIRLEMEK
• Uygulama güvenlik uzmanlarının en temel görevlerinden biri, geliştirilmiş ve
canlı ortama çıkmak üzere hazırlanmış uygulamaları güvenlik açısından
inceleyerek bu hata durumlarını raporlayıp, düzeltilmesine yardımcı olmaktır.
![Page 16: Web Uygulama Güvenliği ve Kariyer](https://reader034.vdocuments.site/reader034/viewer/2022042716/55af85d51a28ab61158b4718/html5/thumbnails/16.jpg)
HATALAR NASIL BELIRLENIR
• Tehdit Modelleme
• Kaynak Kod Analizi
• Uygulama Zafiyet Testi (Pentest diye de bilinir)
![Page 17: Web Uygulama Güvenliği ve Kariyer](https://reader034.vdocuments.site/reader034/viewer/2022042716/55af85d51a28ab61158b4718/html5/thumbnails/17.jpg)
TEHDIT MODELLEME
• Uygulama tehdit modelleme, uygulamaların functional ve non-functional
özelliklerini içeren tasarımlar üzerinde abuse case (use case’den hatırlayın)
çizerek, olası güvenlik zafiyetleri ile ilgili sorunları ortaya çıkarmak için
yapılan işlemdir.
![Page 18: Web Uygulama Güvenliği ve Kariyer](https://reader034.vdocuments.site/reader034/viewer/2022042716/55af85d51a28ab61158b4718/html5/thumbnails/18.jpg)
TEHDIT MODELLEME
![Page 19: Web Uygulama Güvenliği ve Kariyer](https://reader034.vdocuments.site/reader034/viewer/2022042716/55af85d51a28ab61158b4718/html5/thumbnails/19.jpg)
MICROSOFT SECURE SDLC
• Oooooooo Microsoft mu ? Yoksa sen ?!?
• Owasp Secure SDLC konusunda en çok Microsoft yayınlarından faydalanır.
• Adam Shostack (Microsoft Secure SDLC ve Thread Modeling)
![Page 20: Web Uygulama Güvenliği ve Kariyer](https://reader034.vdocuments.site/reader034/viewer/2022042716/55af85d51a28ab61158b4718/html5/thumbnails/20.jpg)
KAYNAK KOD ANALIZI
• Kod güvenlik açısından incelenir, zafiyet içeren kod desenleri taranarak
raporlanır.
• HP Fortify
• IBM Appscan
• Checkmarx (Yeni bir startup, Israil’de)
![Page 21: Web Uygulama Güvenliği ve Kariyer](https://reader034.vdocuments.site/reader034/viewer/2022042716/55af85d51a28ab61158b4718/html5/thumbnails/21.jpg)
CHECKMARX WWW.GAMEOFHACKS.COM
![Page 22: Web Uygulama Güvenliği ve Kariyer](https://reader034.vdocuments.site/reader034/viewer/2022042716/55af85d51a28ab61158b4718/html5/thumbnails/22.jpg)
GAME OF HACKS - SORULAR
![Page 23: Web Uygulama Güvenliği ve Kariyer](https://reader034.vdocuments.site/reader034/viewer/2022042716/55af85d51a28ab61158b4718/html5/thumbnails/23.jpg)
PENETRASTON TESTLERI / PENTEST
• 3’e ayrılır.
- Black Box (Saldırgan Gözü)
- White Box (Bilgi Alarak)
- Grey Box (Karışık)
![Page 24: Web Uygulama Güvenliği ve Kariyer](https://reader034.vdocuments.site/reader034/viewer/2022042716/55af85d51a28ab61158b4718/html5/thumbnails/24.jpg)
PENTEST NEDIR
• Uygulamalar saldırgan gözü ile denetlenerek hack’lenmeye çalışılır.
• Sadece uygulama güvenliği ile ilgili değil, network zafiyetleri de incelenir.
• Otomatize araçlar ve manuel olarak gerçekleştirilir.
![Page 25: Web Uygulama Güvenliği ve Kariyer](https://reader034.vdocuments.site/reader034/viewer/2022042716/55af85d51a28ab61158b4718/html5/thumbnails/25.jpg)
OTOMATIZE ARAÇLAR
• Netsparker (Türkiye girişimi)
• Acunetix
• IBM Appscan
• HP Web Inspect
![Page 26: Web Uygulama Güvenliği ve Kariyer](https://reader034.vdocuments.site/reader034/viewer/2022042716/55af85d51a28ab61158b4718/html5/thumbnails/26.jpg)
MANUELDE KULLANıLAN ARAÇLAR
• Burp Suite (Tek geçerim)
• Owasp ZAP
• SQL Map
• Kali Linux içerisindeki araçlar
![Page 27: Web Uygulama Güvenliği ve Kariyer](https://reader034.vdocuments.site/reader034/viewer/2022042716/55af85d51a28ab61158b4718/html5/thumbnails/27.jpg)
ZAFIYET TÜRLERI
![Page 28: Web Uygulama Güvenliği ve Kariyer](https://reader034.vdocuments.site/reader034/viewer/2022042716/55af85d51a28ab61158b4718/html5/thumbnails/28.jpg)
HEPSINE BAKMAK IMKANSıZ
• Bir uygulama güvenliği eğitimi en az 3 gün sürmekte.
• Yazılım geliştirme tecrübesi
• Deneme, deneme, deneme !
![Page 29: Web Uygulama Güvenliği ve Kariyer](https://reader034.vdocuments.site/reader034/viewer/2022042716/55af85d51a28ab61158b4718/html5/thumbnails/29.jpg)
MAP.IPVIKING.COM
• Zafiyetleri real-time izleme
![Page 30: Web Uygulama Güvenliği ve Kariyer](https://reader034.vdocuments.site/reader034/viewer/2022042716/55af85d51a28ab61158b4718/html5/thumbnails/30.jpg)
SEKTÖR HAKKINDA TAHMINLER 1
• Güvenlik denetimlerinde pentest’in yerini Secure SDLC ve Kaynak Kod Analizi
alacak
• Oraya yönelin !
• Soru ???
![Page 31: Web Uygulama Güvenliği ve Kariyer](https://reader034.vdocuments.site/reader034/viewer/2022042716/55af85d51a28ab61158b4718/html5/thumbnails/31.jpg)
SEKTÖR HAKKINDA TAHMINLER 2
• Güvenlik önlemleri artık framework’lere daha fazla bırakılmaya başlanacak.
• Geleneksel güvenliğin yeri daha fazla sistemlere devredilmeye başlanacak.
![Page 32: Web Uygulama Güvenliği ve Kariyer](https://reader034.vdocuments.site/reader034/viewer/2022042716/55af85d51a28ab61158b4718/html5/thumbnails/32.jpg)
SEKTÖR HAKKINDA TAHMINLER 3
• Geleneksel güvenlik araçlarını yerini yeni nesil araçlar alacak.
• Yeni nesil güvenlik aracı nedir ?
• İmza tabanlı araçların yerini davranışsal analiz yapan araçlar alacak.
![Page 33: Web Uygulama Güvenliği ve Kariyer](https://reader034.vdocuments.site/reader034/viewer/2022042716/55af85d51a28ab61158b4718/html5/thumbnails/33.jpg)
SEKTÖR HAKKINDA TAHMINLER 4
• Incident Response (Anında Müdahale) ekipleri revaçta
• Computer Forensics öğrenmeye bakın.
• Pentest bilmeden olmaz !!!
![Page 34: Web Uygulama Güvenliği ve Kariyer](https://reader034.vdocuments.site/reader034/viewer/2022042716/55af85d51a28ab61158b4718/html5/thumbnails/34.jpg)
SEKTÖR HAKKINDA TAHMINLER 5
• Zero day ataklar artacak
• Önlem mekanizmaları neler olabilir ?
• Araştırma konusu ???
• Yeni start up’lar çıkabilir.
![Page 35: Web Uygulama Güvenliği ve Kariyer](https://reader034.vdocuments.site/reader034/viewer/2022042716/55af85d51a28ab61158b4718/html5/thumbnails/35.jpg)
BLOG TUTUN !!!
• Yaptığım en büyük hata
• Kitap okuyun !
• Sürekli deneme yapın !!!
![Page 36: Web Uygulama Güvenliği ve Kariyer](https://reader034.vdocuments.site/reader034/viewer/2022042716/55af85d51a28ab61158b4718/html5/thumbnails/36.jpg)
DEMO
• Shape Security
• Malware ve RoBot’lara karşı önlemler
![Page 37: Web Uygulama Güvenliği ve Kariyer](https://reader034.vdocuments.site/reader034/viewer/2022042716/55af85d51a28ab61158b4718/html5/thumbnails/37.jpg)
BOTWALL
• Post datası üzerinde obfuscation işlemi
• Sıralamayı karıştırmak
• Başka neler yapılabilir ?
• Tüm HTML ve HTTP elemanları
![Page 38: Web Uygulama Güvenliği ve Kariyer](https://reader034.vdocuments.site/reader034/viewer/2022042716/55af85d51a28ab61158b4718/html5/thumbnails/38.jpg)
PERFORMANS
• Bu sistemdeki tek sorun performans sorunu yaşanması
• WAF ile entegrasyon yapılabilir.
• PoC için IIS Module yazılmakta.
• Html ve Javascript parsing işlemi için AST kullanılıyor. (Abstract syntax tree)
![Page 39: Web Uygulama Güvenliği ve Kariyer](https://reader034.vdocuments.site/reader034/viewer/2022042716/55af85d51a28ab61158b4718/html5/thumbnails/39.jpg)
SORULAR