Web Uygulamalarında Sık Karşılaşılan Güvenlik Açıkları

30 Nisan’da gerçekleşen Web Uygulama Güvenliği konulu NetSec Topluluk Buluşmasında yaptığım sunum dosyası aşağıda bulunabilir.

2010 yılında denetlenen 100’ün üzerinde özel geliştirilmiş web uygulamasında en sık karşılaşılan güvenlik problemleri bu şekildeydi. Ayrıca kategori bazında, eskiden ne tip durumlarla karşılaştığımız ve günümüzde bunun nasıl değiştiği de konuşuldu.

İstatistik detaylarında o kategoriye ait güvenlik açıklarının alt detayları, en sık karşılaşılandan daha az karşılaşılana göre sıralandı. Sunuma biraz hareket katmak için denetimler sırasında karşılaşılan ilginç güvenlik problemlerinden de bazıları sözlü olarak anlatıldı, bazılarıysa özel oluşturulmuş gerçeğe benzer örnek ekran görüntüleriyle açıklandı.

Bu istatistikler uğraştıran bir çalışmanın sonunda oluşturuldu. İstatistikler güvenlik açığının hedef uygulamada var olup olmadığına göre değerlendirildi. Örneğin XPath Injection denetlenen uygulamada var veya yok olarak değerlendirildi. 3 noktada XPath Injection vardır diye istatistiklere alınmadı.

Buna göre düşündüğünüzde SQL’e Sızma(SQL Injection) ortalama 100 uygulamanın 29’unda karşımıza çıkmıştır diye düşünebilirsiniz. O 29 uygulamanın kaç noktasında SQL Injection vardır bilgisi bu istatistiklerde görülmüyor.

Yurt dışında otomatik denetim yapan bazı firmalar, veritabanından direk bu istatistikleri sağlayabiliyorlar. Ben de ileride daha detaylı istatistikler sağlamak üzere raporlama yazılımlarını değiştirmeyi düşünüyorum.

Katılan herkese teşekkür ederim.

Sunumu indirmek için tıklayınız.

AIX Sistemlerde Parola Kirma

Normal bir kullanıcı olarak ele geçirdiğiniz veya /etc/passwd dosyasını okuyabildiğiniz AIX sistemlerde, sisteme giriş yapma yetkisi olan kullanıcıları tahmin/tespit edebilirsiniz.

root olarak ele geçirdiğiniz AIX sistemlerin parolalarını, John the Ripper yazılımını kullanarak kırabilirsiniz. Bu bize, deneme-yanılma saldırısıyla(brute-force) çok zaman kaybetmeden, komşu sistemlere gürültüsüz şekilde erişebilmemizi sağlayabilir.

AIX sistemlerdeki bazı ufak farklılıkları, /etc/passwd ve /etc/security/passwd dosyalarındaki detayları bu yazıda özetlemeye çalıştım.

Read the rest of this entry »

Blogger -> WordPress

Malum Türkiye’deki blogger engellemelerinden dolayı, hafta içi siteyi blogger’dan wordpress’e geçirmek zorunda kaldım.

Varolan yazıları ve yorumları kolayca import ettim, ama aktarılan yazıların formatı biraz kaymış olabilir. WordPress’i çok sevmiyorum, alışmam kolay olmayacak…

Web sunucunuz iç IP adresini ele veriyor mu?

Bazı web sunucuları, yapılan isteklere verdikleri yanıtlarda kendi iç IP adreslerini açığa çıkartmaktadır.

Yapılan özel bir HTTP GET isteği sonucunda, hedef web servisi “3XX Object Moved” HTTP hata mesajı yanıtı ile birlikte sunucu iç IP adresini veya makina adını açığa çıkartabilir.

Bu güvenlik problemini kontrol eden bir yazılım hazırladım. Internal IP Address Disclosure Scanner yazılımını buradan indirerek kendi sistemlerinizi test edebilirsiniz.

Örnek Kullanım ve Problemin Giderilmesi
Read the rest of this entry »

mssqlquery – Microsoft SQL sorgu yazılımı

Platform bağımsız MSSQL sorguları yapabileceğiniz ufak bir script hazırlamıştım. Temel amacım güvenlik denetimlerinde zayıf şifreye sahip Microsoft SQL veritabanlarında, Linux üzerinden belirli sorgular çalıştırabilmekti.
SQL Query Analyzer vb yazılımların bulunmadığı durumlarda basit bir osql, isql alternatifi olarak da kullanılabilir.

Microsoft SQL query yazılımına buradan ulaşabilirsiniz. Python ile yazılmıştır. pymssql kütüphanesine ihtiyaç duymaktadır.

Örnek kullanım:

$ ./mssqlquery.py -s 192.168.0.14 -u sa
Enter password for sa:
Connected to 192.168.0.14!
mssqlquery> select name from sysdatabases
master
tempdb
model
msdb
HR
CRM
mssqlquery> select @@version
Microsoft SQL Server 2008 (SP2) – 10.0.4000.0 (Intel X86)
Sep 16 2010 20:09:22
Copyright (c) 1988-2008 Microsoft Corporation
Enterprise Evaluation Edition on Windows NT 6.0 (Build 6002: Service Pack 2)
mssqlquery>

Bahaneyle mssqlcmd yazılımını da güncelledim. Microsoft SQL brute-force yazılımı yeni pymssql kütüphanesiyle çalışmıyor. Zaten bu işi gayet iyi yapan birden fazla yazılım olduğu için pek ihtiyaç duyulmayacağını tahmin ediyorum.

(IN)SECURE Magazine Sayı 29 Çıktı

Ücretsiz bilgi güvenliği dergisi (IN)SECURE‘un 29. sayısı çıktı.

Yeni sayıya buradan ulaşabilirsiniz.

Konu başlıkları şu şekilde:

  • Virtual machines: Added planning to the forensic acquisition process
  • Review: iStorage diskGenie
  • Managers are from Mars, information security professionals are from Venus
  • PacketWars: A cyber security sport for a cyber age
  • Q&A: Graham Cluley on Facebook security and privacy
  • Financial Trojans: Following the money
  • Mobile encryption: The new frontier
  • Report: RSA Conference 2011
  • Combating public sector fraud with better information analysis
  • Q&A: Stefan Frei on security research and vulnerability management
  • The expanding role of digital certificates in more places than you think
  • 5 questions to ask when reevaluating your data security solution
  • How to achieve strong authentication on the Web while balancing security, usability and cost

Windows Komut Satırı Kılavuzu (Denetim Yapanlar İçin)

Güvenlik denetimi yapanlar için bir Windows komut satırı kılavuzu hazırladım. Aşağıdaki komutların tümünün özelliği interaktif komut olmamalarıdır. (Uğraştım bir shell elde ettim, bir komutla işleri elime yüzüme bulaştırmayayım modu)

Bu kılavuz aşağıdaki bölümlere ayrılmıştır:

  • Temel Komutlar
  • Dosya Oluşturma ve Düzenleme
  • Ele Geçirilen Sistemin Analizi
  • Ağ Servisleri ve Firewall Analizi
  • İşlemler ve Çalışan Servisler
  • Registry Erişimi ve Düzenleme
  • Kullanıcı/Grup Analizi ve Kullanıcı Ekleme
  • Komşu Hedeflerin Keşfi
  • Yeni Sürümlerde Paket Yönetimi

Read the rest of this entry »

Blog ve domain değişiklikleri

2010’da ne burada, ne de İngilizce yazarım diye oluşturduğum Automated Scanning blog’unda tek kelime yazmamışım. Yazmam konusunda beni destekleyen, itekleyen arkadaşlara teşekkür ediyorum. 2011’de eksikleri telafi edeceğim.

Yeni bir heyecan lazım dedim ve hem adresi, hem de tasarımı değiştirdim.

Domain değişikliği
2005’te oluşturduğum onalti.blogspot.com adresindeki blogumu sertankolat.com domain’ine taşıdım. Bu aralar eski RSS feed’ini kullananlarda bazı ufak sorunlar olabilir. Istatistiklere gore 177 kisi takip ediyor. Bu nedenle eski adresleri de koruyorum.

Feed değişikliği
Yeni üye olacakların http://feeds.feedburner.com/skolat adresini kullanmalarını rica ederim.
Sitenin sağ bölümündeki zamazingoyu kullanarak mail ile de güncellemeleri alabilirsiniz. Feedburner günde en fazla 1 mail gelecek şekilde gönderiyor.

Tasarım değişikliği
Blogumdaki ilk temanın görüntüsünü nostalji amaçlı bu yazıda saklamışım. 2009’da geçtiğim blog teması ise bana o yıl yazmam için gereken gazı vermiş, fakat 2010’da tam tersi etki yapmış. İki yıldır aşağıdaki görünüm ziyaretçileri karşılıyordu.

Zaten çok yazmıyorum. Çok yazamamanın bir nedeni de Google Reader, friendfeed ve twitter hesapları vasıtasıyla bilgi paylaşmanın çok daha hızlı olması. İnsanı tembelleştiriyor. Yeni blogda kısa da olsa, bilinse de, eski de olsa yazmaya çalışacağım. Hadi bakalım.

Herkese selamlar, iyi seneler.

Bilgi güvenligi bilinçlendirme ve Son kullanıcıların dikkat etmesi gerekenler

Son altı yıldır olduğu gibi bu yıl da Ekim, ABD’de Ulusal Bilgi Güvenliği Farkındalığı ayı. Duyurusu burada bulunabilir. Geçen sene bilgi güvenliği farkındalığı ile ilgili bu yazıda biraz bilgi aktarmıştım.

Bu ay tüm bilgisayar kullanıcılarının kendilerini ev, işyeri ve okullarda tehditlere karşı korumaları açısından yardımcı olunması için çeşitli etkinlikler düzenleniyor, bilgilendirmeler yapılıyor.
Bu birikimler bu konularda Türkçe içerik oluşturmak isteyenlere de katkı sağlayacaktır. Bu sayede bizim kullanıcılarımız da bilinçlenerek, kişisel varlık ve bilgilerini koruyabilirler.
Son kullanıcıların dikkat etmesi gerekenler
Lisanslı yazılım kullanın, lisanssız yazılımları sağlayan kişiler bu yazılımlara farkedemeyeceğiniz zararlı kodlar yerleştirebilirler.
Güvenlik güncellemelerini yapın, işletim sistemi ve kullandığınız diğer yazılımlar güvenlik problemlerine karşı sürekli güncellenmektedir.
Mutlaka bir Antivirus yazılımı kullanın. Mac OS X kullanıyorum ve bana zararlı yazılım bulaşmaz diye düşünerek, şahsi bilgilerinizi pazarlama stratejilerine kurban etmeyin. Antivirus yazılımlarına ücret ödemek istemiyorsanız, Microsoft Security Essentials‘ı kurup kullanabilirsiniz.
– Bilgisayarınızın güvenlik duvarını(Firewall) aktif hale getirin.
Online bankacılık sistemlerinde bulunan güvenlik kalkanı adlı bileşenleri yükleyin.
Online bankacılık sistemlerinde şifre güvenliği için, mutlaka şifrematik benzeri cihazlar kullanın.
Tüm e-posta’lara inanmayın, bankalar ve çeşitli kuruluşlardan geliyor gibi gözüken e-mailler, kişisel bilgilerinizi elde etme amaçlı olabilir.
Yalnızca güvendiğiniz bilgisayarları kullanın, farklı bilgisayarlarda yaptığınız kişisel işlemler (şifre, kişisel verilerin girilmesi, çeşitli bilgi paylaşımı) kötü niyetli kişiler tarafından elde edilebilir.
Şifrelerinizde büyük harf, küçük harf ve rakam bulunsun, bu çok zor değil, örneğin Persembe1969! daha kolay akılda kalır, deneme yanılma ile bulunması daha zordur.
Şifrelerinizi düzenli olarak değiştirin,
Şifreleriniz birbirinden farklı olsun, en azından finansal işlemler, e-posta şifreleri, önem verdiğiniz web siteleri ve diğer web siteleri olarak 4 farklı şifreniz olsun. Bu sayede bir şifrenizi elde eden saldırgan, tüm verilerinize erişemez.
Bunlar şu an aklıma gelenler. Çeşitli Türkçe kaynaklarda bulunan, bilgisayar güvenliği için dikkat etmeniz gerekenler yazılarını okuyarak bilincinizi arttırabilirsiniz.
Örneğin bankaların güvenlik sayfalarında, online bankacılık güvenliği hakkında bilgi olduğu gibi, bu işin olması için temel gereksinim olan bilgisayar güvenliği için de bilgiler bulunmaktadır (Türkiye İş Bankası Güvenlik sayfası, Garanti Bankası Güvenlik sayfası, Yapı Kredi 10 Altın İpucu sayfası).