2. İçerik
• Web Uygulamaları Güvenliği Kavramı
• Web Uygulamalarına Yönelik Saldırılar
• XSS (Cross-Site Scripting)
• SQL Injection
• OWASP
• İletişim
• Soru-Cevap
2
3. XSS (Cross-Site Scripting)
Saldırganın HTML kodlarının arasına istemci tabanlı kod
gömmesiyle yapılan saldırı türüdür.
En çok kullanıldığı iki şekli;
Sayfa Yönlendirme
Hedef kullanıcıların çerez bilgilerinin çalınması
Önlemler
Encoding
QueryString ve Form`lardan alınan değerlerin filtrelenmesi
Demo
3
4. SQL Injection
SQL Nedir ?
SQL Injection, web uygulamalarında kullanıcıdan alınan veriler
ile oluşturulan dinamik SQL sorgularının manipüle edilmesi
şeklinde yapılan saldırılardır.
Hedef veritabanı yönetim sisteminin ve kullandığı sorgulama
dilinin standartlarına göre SQL Injection atakları ile
yapabilecekleriniz değişmektedir.
Genel manada veritabanındaki verilere ulaşmak amacıyla
kullanılır
4
5. SQL Injection - II
Kullanıcıdan alınan verilerin filtrelenmemesi ve ham olarak
SQL sorgusuna dinamik olarak eklenmesi, SQL Injection
zafiyetini doğurmaktadır.
Video
Önlemler
Tüm meta-karakterlerden kaçınılmalıdır.
Parameterised Query kullanımına dikkat edilmelidir.
5
6. OWASP – Nedir?
Open Web Application Security Project (OWASP)
t
Tüm OWASP ürünleri ücretsiz ve açıktır.
Güvensiz yazılımların sebep oldukları açıkları bulup,
bunlarla mücadele eden bir topluluktur.
Kar amacı gütmez
Topluluga ait rakamlar
120+ (Chapter)
0
30+ Sponsor
50+ Proje
100+ E-posta listesi
Aylık bir milyon üzerinde ziyaret
6
7. OWASP Turkey – Web Güvenlik Topluluğu
Web uygulaması güvenliğine ülkemizde gerekli
duyarlılığın gösterilmesini sağlamak
Web uygulaması güvenliği konusunda çalışan ve ilgi
duyan arkadaşları bir platformda toplamak
Güvenlik konulu makaleler, dökümanlar ve projelere yer
ve destek sağlamak.
Web uygulamalarının ortaya çıkardığı zararları en aza
indirme yolunda çalışmalar yapmak
Dünyada yapılan web uygulaması güvenliği konulu
çalışmaların takibini sağlamak
OWASP Vakfının Türkiye çalışmalarını sürdürmek 7
8. Teşekkürler!
www.webguvenligi.org
www.owasp.org
E-posta listesine kayıt olmak için
google: owasp turkey mail list
8