Web Uygulama Güvenliği Kontrol Listesi 2010
WGT`nin bir projesi daha çıktı. Daha önce bir yazımda, web uygulama güvenliği konusunda checklist hazırlamanın zorluğundan bahsetmiştim. Fakat eğitim, seminer ve sohbetler toplantılarında herkesin "ben maddelere bakayım, ona göre sonuç üreteyim" tadında konuşmaları oldu. Bunun üzerine OWASP-TR`den arkadaşlarla "Ne yapabiliriz?" üzerine düşünmeye başlayıp, her yıl güncelleyeceğimiz bir kontrol listesi oluşturduk.
Bu kontrol listesini bir süredir hazırda tutuyorduk. E-Dergi projesinin 1. yaş günü ile paylaşalım istedik ve bu gün itibari ile herkesin kullanımına açtık. Bu yıl için temel olacak bu listeye eğer katkıda bulunmak isteyen olursa lütfen irtibata geçmeyi unutmasın. Zira birden fazla gözün bakış açısı, çoğunlukla sezgisel olan web uygulama güvenliği kontrollerinde önemli bir rol olacağı düşüncesindeyim.
En çok zorlandığım kısım: Açıkçası maddeleri sıralamak çok zor değil. Hatta bir kaç arkadaş ile nerdeyse %90 kadarını bir kalemde listeyebiliyorsunuz. Fakat bu kontollerin karakteristik özelliklerini belirlemeye çalıştığınızda (kategori, seviye, sorumlu v.b.) gerçekten biraz dikkatli olmak gerekiyor. Bu tarz çalışmalarda bulunacak arkadaşlara da bir temel (taslak) olacağını ümit ediyorum.
Çalışmaya katkıda bulunanları listeleyerek hepsine teşekkür etmek istiyorum.
Bedirhan Urgun [bedirhan.urgun@gmail.com]
Bünyamin Demir [bunyamindemir~gmail.com]
Onur Yılmaz [contact~onuryilmaz.info]
Kubilay Onur Güngör [ko.gungor~gmail.com]
A.Kadir Altan [kadiraltan~hotmail.com]
Volkan Altan [volkanaltan~gmail.com]
Muharrem Aydın [thsunamy~gmail.com]
Canberk Bolat [canberk.bolat~gmail.com]
Web Güvenliği E-Dergi Bir Yaşında!
Bir yıl önce başladığımız "Web Güvenliği E-Dergi" projesi 6. sayısı ile bir yaşını doldurdu. Öncelikle, tüm sayılar için desteğini esirgemeyen arkadaşlarıma teşekkür ederim.
Gelecek yıllarda da bu dergi çalışmasını devam ettirmek istiyoruz. Fakat bir öz eleştiri yapmak gerekirse, açıkçası "web uygulama güvenliği" eksenli yazılar yazmak çok kolay olmuyor. Zira ilk akla gelenleri kağıda dökmeye başlayınca, internet aleminde mükerrer bir sürü yazı oluşacağı kaygısı doğuyor. Hadi farklı birşey yazalım dediğimizde de, bunu "Temel web güvenliği bilgisi olmayan birine nasıl aktarırız?" problemi doğuyor.
Umarım gelecek sayılar için hem konuk yazar için gelecek talepler fazlalaşır, hemde okunmak istenene konular hakkında talepler. Açıkçası bu fikre çok sıcağım ama geri bildirim konusunda (özellikle talep ve katılım) az diyebilirim.
Yine de bir yıldır bizi takip eden okurlara teşekkür ederim. Umarım diğer yıllarda daha zengin içerikle görücüye çıkarız :).
my Oracle Database Security thesis
I just finish my thesis about “Oracle Database Security”. Really, it took lots of time for me. Because when you have a job, the master degree could be hard for you. if you have time, you can do what you want. You just need a plan :).
I read many books about database security in last 6 months. I want to thanks for more usefull information from Ron Ben Natan`s book ( How To Secure Oracle 10g and 11G) and many other database security guys.
After my thesis, i was think about most critical database security problems and i decide to prepare top 5.
- Unpatched databases
- Default, blank username&password
- Misconfiguration
- Unencrypted sensitive data at rest or transit
- Privilege escalation
Please be carefull for these topic. Because if you have not a policy for that i think you have a problem on your Oracle database system.
OWASP-Turkey Chapter Football Activity
Who wants to play football with OWASP-Turkey chapter guys. :) We will do second football activity after lots of mails. I think turkish security guys like football more than web app security :). I will take lots of photo and will add on blog.
For news: http://www.webguvenligi.org/haberler/owasp-tr-sahaya-iniyor-2.html
Play a game!
Web Application Pentest Eğitimi 26 Haziran 2010
26 Haziran tarihin de yeni bir "web application pentest" konulu eğitim açılmıştır. İlgili arkadaşları eğitime beklerim.
Gelecek kişilerin temel HTML, SQL, Javascript, HTTP protokolü gibi bilgileri bilmesini önemle rica ediyorum. En azından bilenler de tekrar etse çok güzel olur.
Kullanıcı adıma bak, IP adresimle avun, COOKIE ile tut, beni HATIRLA
"Beni hatırla" gibi, herkesin karşısındaki yazılımı, insan yerine koyduğu o cânım özelliği bilirsiniz. Hani genel de yanında bir checkbox olur ve basınca da "artık internet camiasın da tanınıyorum" edasına kapılırsınız ya, işte o.
Bu gün facebook ve twitter gibi popüler sitelere girdiğinizde de göreceğiniz gibi bu özellik aktif durumda. Peki, güvenlik önlemlerimizden biri de oturum bilgilerinin çalınmaması için destroy edilmesi değil midir? Açıkçası bu özelliğin güvenlik zaafiyeti doğuracağına inanıyorum. Tabi farklı düşünceler olabilir ama "verinin" tarayıcı üzerinde saklanmaması, hatta en önemlisi oturum verisinin hiç saklanmamasını da biliyoruzdur.
Bakalım bu yazıdan sonra kaç kişi fikrini değiştirecek.
Web Güvenliği Toğluluğu – E-Dergi Sayı:5
5. sayı dün itibariyle duyurulmuş oldu. Yardımı geçen tüm arkadaşlara teşekkür ederim.
Sayı içerğini listeleyecek olursak;
Bedirhan Urgun - Web Uygulamalarında DoS Denetimi
Ferruh Mavituna - Web Uygulamalarında Güvenli Platform Seçimi
Onur Yılmaz - Zaman Tabanlı SQL Injection Saldırıları
Bünyamin Demir - Web Uygulama Güvenliği Temel Kontrol Listesi
Umarım beğenerek okunuyordur. Aksi durumda boşuna kürek sallamış olmayalım :).
Bir sonraki sayı için konu talebi olan varsa değerlendirmeye almak isterim.
Not: CTF yarışmasına da muhakkak uğrayınız. Onur Yılmaz`a CTF için teşekkür ederim.
Yine Hüsran
Muhtemelen benim gibi Fenerbahçe tutkusu yaşayan tüm arkadaşlarım yaşadıkları hissi durumu kelimelere dökemiyorlardır ama bu sızıdan ancak yazarak kurtulabileceğimi düşünerek, klavye yi kucağıma aldım ve Rıdvan hocayı dinleyerek son derece uç noktalar da olan hislerimi aktarmaya çalışacağım.
Biz bu filmi zaten daha önce de izlemiştik. Bir Denizli faciası yaşandı -ki ozaman inanın sokağa çıkıp ağlamak istemiştim. Şimdi ise malesef üzüntüden ağlamak yerine, sinirden ağlamak üzereyim. Koskoca bir sezon geçmiş. Eskişehirspor maçının tamamı ve Beşiktaş maçının ilk yarısı hariç, Türkiyenin en pahalı kulüplerinden biri, ruhunu ortaya koyup savaştığı bir maç izletememiştir. Düşünün ki şampiyonluk umudunu rakip sahadan gelen habere bağlamış ve son dakikalarını bile bunla heba etmiş bir takım. Yani burdan sisteme giydirmek, hocaya giydirmek, oyunculara giydirmek nekadar anlamlı bilmiyorum ama lütfen ruhlarınızı sahaya koyun. Her zaman işi son dakikaya bırakıp, son dakikada da sitres yapıp maçı bırakıyoruz. Aslında bazen rakip yerine kendisiyle oynadığına inanıyorum. İçimden "artık yeter" demek geliyor ama yapacak birşey yok. Umutlarımızı gelecek bahara saklayıp, akıllı, doğru transferler bekleyip, ruhunu ortaya koyan bir takım isteyerek kenara çekiliyoruz.
Bursaspor takımı da şampiyonluğu sonuna kadar hak etmiştir. Kendilerini yürekten kutluyorum. Özellikle Ertuğrul hocayı, geçen sene bizi Bülent hoca gibi bunaltmadığı, her fırsatta medyaya çıkıp, ön planda tutmadığı ve alçak gönüllülüğü nedeniyle ayrıca kutluyorum.
Kıbrıs Hatırası
Bir süredir yazmıyorum ve tekrar blog post sayfamı açayım dedim. Lanet bir üşengeçlik içinde olduğumdan ve aynı zaman da tez çalışmamın sonuna geldiğim için malesef post yazma veya yazdırma azminde olamıyorum.
İş gereği bir hafta Kıbrıs`ta bulundum. Özellikle Bellapais manastırını ve olduğu yerin manzarasını çok sevdim. Eski Maraş olarak adlandırılan bölge de ilgimi çekti. Canlı bir şehrin yanında kimsesiz, talana uğramış binalar, sizi savaşın o soğuk tarafına bir defa daha götürüyor. Tabi savaşın izlerini görmek için çok yakınlaşmaya gerek yok, uzaktan da kokusunu alabiliyorsunuz. Bir otelin çatısında bulunan reklam panosunun tek çivi tarafından hayata tutunmasını izlemek sanırım bu duyguyu ben dahil bir çoğumuza yaşatacaktır.
Gideceklere tavsiyem; Girne de ikamet etmeleri, Bellapais`e uğramaları, Şeftali kebabı yemeleri ve kumar oynayan yaşlı amca ve teyzeleri izlemeleri :). Çok şaşırtıcı bir şekilde 70-80 yaş arasında kurmarbazlar görüdüm. Sanırım geleceğe yatırım için ordalardı :).
İki Güzel Yazı
Bu gün rastladığım ve çok hoşuma giden iki güzel yazıyı paylaşmak istedim.
1. Oracle kurulum dökümanı: Oracle`ye yeni başlayanlar için, ekran görüntüleriyle hazırlanmış gayet basit bir döküman. Genel de Oracle kurulum dökümanları biraz karmaşık olur. Bu yüzden hoşuma gitti. Ayrıca kurulum esnasında gerekli komutlar için, makale sahibi 3 adet script yazmış, bunlar da işinizi kolaylaştırıyor. Bence yeni başlayan herkese lazım olabilir, not düşelim.
2. Sohbet anında hep geçer, "Bu uygulama güvenliği için bir check list yok mu?". Benim şahsi fikrim "yok" olduğundan yana. Zira bazı maddeleri check list haline getirebiliriz ama yinede genel konseptin sezgisel olduğuna inanıyorum.
Örnek vermek gerekirse; Bir network pentest için "X port açık mı?" diye sorup, karşısına da "Evet/Hayır" işaretlemek kolay. Fakat Web güvenliğin de "XSS var mı?" bunun karşısına "Evet/Hayır" koymak okadar kolay değil (mantığın 1-0 arasinda sonsuz tane cevabina benziyor). Zira kontrol edeceğiniz kısım bir tane olsa evet, ama bir test için de 10 tane XSS buldunuz, bir dahaki test için 10 ve daha fazlası veya daha azı olabilir. Hatta bir önceki testinizden daha az girdi noktası bulma ihtimaliniz bile olabilir. Bu yüzden uygulama güvenliğinin tümü için "check list"`i pek mantıklı bulmuyorum. Tabi bu bazı şeylerin kontrol edilmeyeceği anlamına da gelmez. "HTTP Metodlarinda PUT/DELETE açık mı?". İşte buna "Evet/Hayır " demek mümkün.
Konuyu çok boğmadan özete gelelim. Bahsi geçen makale içinde ise PHP güvenlik önlemleri için bir check list hazırlanmış. Bence yararlanılabilir, özellikle herkes tarafından bir göz gezdirilmesinde fayda var. Sonuçta diğer dillerde de aynı işi gören aynı/farklı adlarda fonksiyon ve yöntemler var. Bir de bunu PDF haline getirip, özetlemesi çok hoş.