SlideShare une entreprise Scribd logo

Gazi Universitesi Bilisim Gunleri '09

Télécharger en tant que PPT, PDF
Onur YILMAZ
Onur YILMAZ

Gazi Üniversitesi Bilgisayar Mühendisliği Topluluğu tarafından hazırlanan Bilişim Günleri '09 etkinliğinde yaptığım sunum.

Technologie
1  sur  8
Web Uygulamaları Güvenliği Onur YILMAZ www.owasp.org/index.php/Turkey www.webguvenligi.org www.onuryilmaz.info OWASP contact@onuryilmaz.info 13 Mayıs 2009 Copyright © The OWASP Foundation Gazi Üniversitesi Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation http://www.owasp.org
İçerik • Web Uygulamaları Güvenliği Kavramı • Web Uygulamalarına Yönelik Saldırılar • XSS (Cross-Site Scripting) • SQL Injection • OWASP • İletişim • Soru-Cevap 2
XSS (Cross-Site Scripting)  Saldırganın HTML kodlarının arasına istemci tabanlı kod gömmesiyle yapılan saldırı türüdür.  En çok kullanıldığı iki şekli;  Sayfa Yönlendirme  Hedef kullanıcıların çerez bilgilerinin çalınması  Önlemler  Encoding  QueryString ve Form`lardan alınan değerlerin filtrelenmesi  Demo 3
SQL Injection  SQL Nedir ?  SQL Injection, web uygulamalarında kullanıcıdan alınan veriler ile oluşturulan dinamik SQL sorgularının manipüle edilmesi şeklinde yapılan saldırılardır.  Hedef veritabanı yönetim sisteminin ve kullandığı sorgulama dilinin standartlarına göre SQL Injection atakları ile yapabilecekleriniz değişmektedir.  Genel manada veritabanındaki verilere ulaşmak amacıyla kullanılır 4
SQL Injection - II  Kullanıcıdan alınan verilerin filtrelenmemesi ve ham olarak SQL sorgusuna dinamik olarak eklenmesi, SQL Injection zafiyetini doğurmaktadır.  Video  Önlemler  Tüm meta-karakterlerden kaçınılmalıdır.  Parameterised Query kullanımına dikkat edilmelidir. 5
OWASP – Nedir?  Open Web Application Security Project (OWASP) t  Tüm OWASP ürünleri ücretsiz ve açıktır.  Güvensiz yazılımların sebep oldukları açıkları bulup, bunlarla mücadele eden bir topluluktur.  Kar amacı gütmez  Topluluga ait rakamlar  120+ (Chapter) 0  30+ Sponsor  50+ Proje  100+ E-posta listesi  Aylık bir milyon üzerinde ziyaret 6
OWASP Turkey – Web Güvenlik Topluluğu  Web uygulaması güvenliğine ülkemizde gerekli duyarlılığın gösterilmesini sağlamak  Web uygulaması güvenliği konusunda çalışan ve ilgi duyan arkadaşları bir platformda toplamak  Güvenlik konulu makaleler, dökümanlar ve projelere yer ve destek sağlamak.  Web uygulamalarının ortaya çıkardığı zararları en aza indirme yolunda çalışmalar yapmak  Dünyada yapılan web uygulaması güvenliği konulu çalışmaların takibini sağlamak  OWASP Vakfının Türkiye çalışmalarını sürdürmek 7
Teşekkürler! www.webguvenligi.org www.owasp.org E-posta listesine kayıt olmak için google: owasp turkey mail list 8

Recommandé

Dogus University-Web Application Security
Dogus University-Web Application SecurityDogus University-Web Application Security
Dogus University-Web Application Securitymtimur
 
Hardcore PHP
Hardcore PHPHardcore PHP
Hardcore PHPRoberto Luis Bisbé
 
Web Guvenligi Konferansi - Web Hacking Yontemleri
Web Guvenligi Konferansi - Web Hacking YontemleriWeb Guvenligi Konferansi - Web Hacking Yontemleri
Web Guvenligi Konferansi - Web Hacking YontemleriEPICROUTERS
 
Web Uygulama Pentest Eğitimi
Web Uygulama Pentest EğitimiWeb Uygulama Pentest Eğitimi
Web Uygulama Pentest EğitimiBGA Cyber Security
 
Web App Hacking | OWASP Istanbul
Web App Hacking | OWASP IstanbulWeb App Hacking | OWASP Istanbul
Web App Hacking | OWASP IstanbulRumeysa Bozdemir
 
Osquery İle Open Source EDR
Osquery İle Open Source EDROsquery İle Open Source EDR
Osquery İle Open Source EDRBGA Cyber Security
 
Oylg2013 web uygulamalari sizmatesti
Oylg2013 web uygulamalari sizmatestiOylg2013 web uygulamalari sizmatesti
Oylg2013 web uygulamalari sizmatestiMehmet Ince
 
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ahmet Can Kan - Attacking Mobile App...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ahmet Can Kan - Attacking Mobile App...[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ahmet Can Kan - Attacking Mobile App...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ahmet Can Kan - Attacking Mobile App...OWASP Turkiye
 

Recommandé

Dogus University-Web Application Security
Dogus University-Web Application SecurityDogus University-Web Application Security
Dogus University-Web Application Securitymtimur
 
Hardcore PHP
Hardcore PHPHardcore PHP
Hardcore PHPRoberto Luis Bisbé
 
Web Guvenligi Konferansi - Web Hacking Yontemleri
Web Guvenligi Konferansi - Web Hacking YontemleriWeb Guvenligi Konferansi - Web Hacking Yontemleri
Web Guvenligi Konferansi - Web Hacking YontemleriEPICROUTERS
 
Web Uygulama Pentest Eğitimi
Web Uygulama Pentest EğitimiWeb Uygulama Pentest Eğitimi
Web Uygulama Pentest EğitimiBGA Cyber Security
 
Web App Hacking | OWASP Istanbul
Web App Hacking | OWASP IstanbulWeb App Hacking | OWASP Istanbul
Web App Hacking | OWASP IstanbulRumeysa Bozdemir
 
Osquery İle Open Source EDR
Osquery İle Open Source EDROsquery İle Open Source EDR
Osquery İle Open Source EDRBGA Cyber Security
 
Oylg2013 web uygulamalari sizmatesti
Oylg2013 web uygulamalari sizmatestiOylg2013 web uygulamalari sizmatesti
Oylg2013 web uygulamalari sizmatestiMehmet Ince
 
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ahmet Can Kan - Attacking Mobile App...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ahmet Can Kan - Attacking Mobile App...[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ahmet Can Kan - Attacking Mobile App...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ahmet Can Kan - Attacking Mobile App...OWASP Turkiye
 
OWASP kaynak kod analizi metodolojisi
OWASP kaynak kod analizi metodolojisiOWASP kaynak kod analizi metodolojisi
OWASP kaynak kod analizi metodolojisiAlper Başaran
 
Yeni Teknolojilerle Mobil için SEO ve PWA Uygulamaları
Yeni Teknolojilerle Mobil için SEO ve PWA UygulamalarıYeni Teknolojilerle Mobil için SEO ve PWA Uygulamaları
Yeni Teknolojilerle Mobil için SEO ve PWA UygulamalarıSinan Yesiltas
 
Information security Bilgi Guvenligi
Information security Bilgi GuvenligiInformation security Bilgi Guvenligi
Information security Bilgi GuvenligiBilal Dursun
 
Modern Web Uygulama Geliştirme
Modern Web Uygulama GeliştirmeModern Web Uygulama Geliştirme
Modern Web Uygulama Geliştirmeİbrahim ATAY
 
Web Application Firewall Tercih Rehberi
Web Application Firewall Tercih RehberiWeb Application Firewall Tercih Rehberi
Web Application Firewall Tercih RehberiBGA Cyber Security
 
Kod günleri veritabnı
Kod günleri veritabnıKod günleri veritabnı
Kod günleri veritabnıMustafa Tepe
 
Kod günleri veritabnı
Kod günleri veritabnıKod günleri veritabnı
Kod günleri veritabnıMurad İmanbayli
 
Owasp top 10 inceleme
Owasp top 10 incelemeOwasp top 10 inceleme
Owasp top 10 incelemeCyber-Warrior.org
 
Kişisel Web Site Uygulama Örneği:myWeb
Kişisel Web Site Uygulama Örneği:myWebKişisel Web Site Uygulama Örneği:myWeb
Kişisel Web Site Uygulama Örneği:myWebveliakcakaya
 
Sql Injection
Sql Injection Sql Injection
Sql Injection Mehmet Tuncer
 
Uni stay 2017-2018
Uni stay 2017-2018 Uni stay 2017-2018
Uni stay 2017-2018 Muhammed GÖKKAYA
 
Google Güvenli Yapay Zeka Framework Yaklaşımı(Türkçe Çeviri)
Google Güvenli Yapay Zeka Framework Yaklaşımı(Türkçe Çeviri)Google Güvenli Yapay Zeka Framework Yaklaşımı(Türkçe Çeviri)
Google Güvenli Yapay Zeka Framework Yaklaşımı(Türkçe Çeviri)AISecLab
 

Contenu connexe

Similaire à Gazi Universitesi Bilisim Gunleri '09

OWASP kaynak kod analizi metodolojisi
OWASP kaynak kod analizi metodolojisiOWASP kaynak kod analizi metodolojisi
OWASP kaynak kod analizi metodolojisiAlper Başaran
 
Yeni Teknolojilerle Mobil için SEO ve PWA Uygulamaları
Yeni Teknolojilerle Mobil için SEO ve PWA UygulamalarıYeni Teknolojilerle Mobil için SEO ve PWA Uygulamaları
Yeni Teknolojilerle Mobil için SEO ve PWA UygulamalarıSinan Yesiltas
 
Information security Bilgi Guvenligi
Information security Bilgi GuvenligiInformation security Bilgi Guvenligi
Information security Bilgi GuvenligiBilal Dursun
 
Modern Web Uygulama Geliştirme
Modern Web Uygulama GeliştirmeModern Web Uygulama Geliştirme
Modern Web Uygulama Geliştirmeİbrahim ATAY
 
Web Application Firewall Tercih Rehberi
Web Application Firewall Tercih RehberiWeb Application Firewall Tercih Rehberi
Web Application Firewall Tercih RehberiBGA Cyber Security
 
Kod günleri veritabnı
Kod günleri veritabnıKod günleri veritabnı
Kod günleri veritabnıMustafa Tepe
 
Kişisel Web Site Uygulama Örneği:myWeb
Kişisel Web Site Uygulama Örneği:myWebKişisel Web Site Uygulama Örneği:myWeb
Kişisel Web Site Uygulama Örneği:myWebveliakcakaya
 
Google Güvenli Yapay Zeka Framework Yaklaşımı(Türkçe Çeviri)
Google Güvenli Yapay Zeka Framework Yaklaşımı(Türkçe Çeviri)Google Güvenli Yapay Zeka Framework Yaklaşımı(Türkçe Çeviri)
Google Güvenli Yapay Zeka Framework Yaklaşımı(Türkçe Çeviri)AISecLab
 

Similaire à Gazi Universitesi Bilisim Gunleri '09 (12)

OWASP kaynak kod analizi metodolojisi
OWASP kaynak kod analizi metodolojisiOWASP kaynak kod analizi metodolojisi
OWASP kaynak kod analizi metodolojisi
 
Yeni Teknolojilerle Mobil için SEO ve PWA Uygulamaları
Yeni Teknolojilerle Mobil için SEO ve PWA UygulamalarıYeni Teknolojilerle Mobil için SEO ve PWA Uygulamaları
Yeni Teknolojilerle Mobil için SEO ve PWA Uygulamaları
 
Information security Bilgi Guvenligi
Information security Bilgi GuvenligiInformation security Bilgi Guvenligi
Information security Bilgi Guvenligi
 
Modern Web Uygulama Geliştirme
Modern Web Uygulama GeliştirmeModern Web Uygulama Geliştirme
Modern Web Uygulama Geliştirme
 
Web Application Firewall Tercih Rehberi
Web Application Firewall Tercih RehberiWeb Application Firewall Tercih Rehberi
Web Application Firewall Tercih Rehberi
 
Kod günleri veritabnı
Kod günleri veritabnıKod günleri veritabnı
Kod günleri veritabnı
 
Kod günleri veritabnı
Kod günleri veritabnıKod günleri veritabnı
Kod günleri veritabnı
 
Owasp top 10 inceleme
Owasp top 10 incelemeOwasp top 10 inceleme
Owasp top 10 inceleme
 
Kişisel Web Site Uygulama Örneği:myWeb
Kişisel Web Site Uygulama Örneği:myWebKişisel Web Site Uygulama Örneği:myWeb
Kişisel Web Site Uygulama Örneği:myWeb
 
Sql Injection
Sql Injection Sql Injection
Sql Injection
 
Uni stay 2017-2018
Uni stay 2017-2018 Uni stay 2017-2018
Uni stay 2017-2018
 
Google Güvenli Yapay Zeka Framework Yaklaşımı(Türkçe Çeviri)
Google Güvenli Yapay Zeka Framework Yaklaşımı(Türkçe Çeviri)Google Güvenli Yapay Zeka Framework Yaklaşımı(Türkçe Çeviri)
Google Güvenli Yapay Zeka Framework Yaklaşımı(Türkçe Çeviri)
 

Gazi Universitesi Bilisim Gunleri '09

  • 1. Web Uygulamaları Güvenliği Onur YILMAZ www.owasp.org/index.php/Turkey www.webguvenligi.org www.onuryilmaz.info OWASP contact@onuryilmaz.info 13 Mayıs 2009 Copyright © The OWASP Foundation Gazi Üniversitesi Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation http://www.owasp.org
  • 2. İçerik • Web Uygulamaları Güvenliği Kavramı • Web Uygulamalarına Yönelik Saldırılar • XSS (Cross-Site Scripting) • SQL Injection • OWASP • İletişim • Soru-Cevap 2
  • 3. XSS (Cross-Site Scripting)  Saldırganın HTML kodlarının arasına istemci tabanlı kod gömmesiyle yapılan saldırı türüdür.  En çok kullanıldığı iki şekli;  Sayfa Yönlendirme  Hedef kullanıcıların çerez bilgilerinin çalınması  Önlemler  Encoding  QueryString ve Form`lardan alınan değerlerin filtrelenmesi  Demo 3
  • 4. SQL Injection  SQL Nedir ?  SQL Injection, web uygulamalarında kullanıcıdan alınan veriler ile oluşturulan dinamik SQL sorgularının manipüle edilmesi şeklinde yapılan saldırılardır.  Hedef veritabanı yönetim sisteminin ve kullandığı sorgulama dilinin standartlarına göre SQL Injection atakları ile yapabilecekleriniz değişmektedir.  Genel manada veritabanındaki verilere ulaşmak amacıyla kullanılır 4
  • 5. SQL Injection - II  Kullanıcıdan alınan verilerin filtrelenmemesi ve ham olarak SQL sorgusuna dinamik olarak eklenmesi, SQL Injection zafiyetini doğurmaktadır.  Video  Önlemler  Tüm meta-karakterlerden kaçınılmalıdır.  Parameterised Query kullanımına dikkat edilmelidir. 5
  • 6. OWASP – Nedir?  Open Web Application Security Project (OWASP) t  Tüm OWASP ürünleri ücretsiz ve açıktır.  Güvensiz yazılımların sebep oldukları açıkları bulup, bunlarla mücadele eden bir topluluktur.  Kar amacı gütmez  Topluluga ait rakamlar  120+ (Chapter) 0  30+ Sponsor  50+ Proje  100+ E-posta listesi  Aylık bir milyon üzerinde ziyaret 6
  • 7. OWASP Turkey – Web Güvenlik Topluluğu  Web uygulaması güvenliğine ülkemizde gerekli duyarlılığın gösterilmesini sağlamak  Web uygulaması güvenliği konusunda çalışan ve ilgi duyan arkadaşları bir platformda toplamak  Güvenlik konulu makaleler, dökümanlar ve projelere yer ve destek sağlamak.  Web uygulamalarının ortaya çıkardığı zararları en aza indirme yolunda çalışmalar yapmak  Dünyada yapılan web uygulaması güvenliği konulu çalışmaların takibini sağlamak  OWASP Vakfının Türkiye çalışmalarını sürdürmek 7
  • 8. Teşekkürler! www.webguvenligi.org www.owasp.org E-posta listesine kayıt olmak için google: owasp turkey mail list 8