Geçtiğimiz yıl başında 2010′un ses getiren bilişim güvenliği olaylarını yazmıştım.
Peki 2011′de neler oldu? Durumu Mert ve Ömer’le birlikte değerlendirdik. Bu aynı zamanda aylık olarak yapmayı planladığımız podcast serisinin de ilki oldu.
Buyrun, 2011′de neler oldu hatırlayalım.
Web sunucularının vermiş olduğu HTTP başlıkları incelenerek; hedef web sunucusu, uygulama altyapısı, yük dengeleme cihazları, iç IP yapılandırması gibi bir çok bilgiye ulaşılabilir. Bu bilgiler güvenlik denetimlerinde, yapılacak olan diğer saldırıları destekleme amaçlı kullanılabilmektedir.
Web sunucusunun HTTP GET, HEAD, POST, OPTIONS isteklerine verdiği yanıtlar başta olmak üzere, TRACE, CONNECT, PUT, DELETE ve ek modüllerle aktif hale gelen birden fazla isteğe verdiği yanıtlardan çeşitli bilgiler elde edebiliriz [1]. Lab ortamında fuzzing yöntemleriyle bu isteklerin belirli bölümleri değiştirilerek, web sunucusu zaafiyet analizi de gerçekleştirilebilir.
Web sunucuları F5 BIGIP yük dengeleme cihazları arkasına ise, F5 cihazı kullanıcıya bir tanımlama bilgisi(Cookie) atayarak, aynı kullanıcının sonraki isteklerini içerideki ilgili web sunucusuna yönlendirmektedir.
F5 tarafından atanan bu Cookie değeri, bilinen bir algoritmayla kodlandığından, aynı kodlama yöntemi tersine uygulanarak F5 arkasındaki web sunucusunun gerçek IP adresini ve web sunucu port numarasını öğrenmek mümkün olabilmektedir.
Yazının devamını okuyun / Read the rest of this entry »
3-4 Haziran 2011′de Bilgi Üniversitesi Dolapdere Kampüsünde gerçekleşen, İstanbul Bilgi Güvenliği Konferansı IstSec’te yaptığım sunumu aşağıda bulabilirsiniz.
Penetrasyon Testlerinde Düşülebilecek Hatalar, zaman içerisinde tecrübeyle edinilmiş bilgi birikiminden oluşan penetrasyon testi ipuçlarını içeriyor. Amacım profesyonel olarak penetasyon testi yapan veya bu işte henüz yeterince tecrübe kazanmamış kişilere ipuçları vererek belirli noktalarda kötü tecrübe yaşamalarını önlemek ve genel denetim kalitesini arttırmaktı.
Tabi ki sunum 45 dakikaya sığabilecek temel noktaları içeriyor. Bir kısmı bir çok kişi tarafından bilinse de, her seviyeden katılımcının kendisine bir şeyler kattığını duymak benim için sevindiriciydi.
Gelen herkese teşekkür ederim.
Cisco, IOS Software Checker yazılımını duyurdu. Belirttiğiniz IOS sürümünün, Cisco tarafından duyurulmuş hangi güvenlik problemlerinden etkilendiğini bu sayede hızlıca görüntüleyebilirsiniz.
Ayrıca cihazınızın show version çıktısını veya ağınızda bulunan cihazların IOS sürümlerini toplu olarak da bu yazılıma gönderebiliyorsunuz. Yapılan güvenlik denetimleri sırasında da kullanılabilir.
Cisco IOS Software Checker‘ı kullarak cihazlarınıza yönelik tehditleri görüntüleyin. Örnek çıktı ekran görüntüsünde görülebilir.
Bu yılki IstSec konferansı 3-4 Haziran tarihlerinde İstanbul Bilgi Üniversitesi Dolapdere kampüsünde yapılacaktır. Detaylı bilgi için: http://www.istsec.org
4 Haziran 11:40′ta Penetrasyon Testlerinde Düşülebilecek Hatalar başlıklı bir sunum yapacağım. Güvenlik denetimi ve sızma testlerinin planlama, denetim, raporlama gibi tüm aşamalarında düşülebilecek temel hatalardan bahsedip, penetrasyon testlerinden yüksek verim alma ve testlerin geliştirilmesi için önerilere değineceğim. Umarım herkesin bir bölümünden faydalanabileceği bir sunum olur.
Bunun dışındaki zamanlarda genelde orada olmaya çalışacağım. Görüşmek üzere.
30 Nisan’da gerçekleşen Web Uygulama Güvenliği konulu NetSec Topluluk Buluşmasında yaptığım sunum dosyası aşağıda bulunabilir.
2010 yılında denetlenen 100′ün üzerinde özel geliştirilmiş web uygulamasında en sık karşılaşılan güvenlik problemleri bu şekildeydi. Ayrıca kategori bazında, eskiden ne tip durumlarla karşılaştığımız ve günümüzde bunun nasıl değiştiği de konuşuldu.
İstatistik detaylarında o kategoriye ait güvenlik açıklarının alt detayları, en sık karşılaşılandan daha az karşılaşılana göre sıralandı. Sunuma biraz hareket katmak için denetimler sırasında karşılaşılan ilginç güvenlik problemlerinden de bazıları sözlü olarak anlatıldı, bazılarıysa özel oluşturulmuş gerçeğe benzer örnek ekran görüntüleriyle açıklandı.
Bu istatistikler uğraştıran bir çalışmanın sonunda oluşturuldu. İstatistikler güvenlik açığının hedef uygulamada var olup olmadığına göre değerlendirildi. Örneğin XPath Injection denetlenen uygulamada var veya yok olarak değerlendirildi. 3 noktada XPath Injection vardır diye istatistiklere alınmadı.
Buna göre düşündüğünüzde SQL’e Sızma(SQL Injection) ortalama 100 uygulamanın 29′unda karşımıza çıkmıştır diye düşünebilirsiniz. O 29 uygulamanın kaç noktasında SQL Injection vardır bilgisi bu istatistiklerde görülmüyor.
Yurt dışında otomatik denetim yapan bazı firmalar, veritabanından direk bu istatistikleri sağlayabiliyorlar. Ben de ileride daha detaylı istatistikler sağlamak üzere raporlama yazılımlarını değiştirmeyi düşünüyorum.
Katılan herkese teşekkür ederim.
Normal bir kullanıcı olarak ele geçirdiğiniz veya /etc/passwd dosyasını okuyabildiğiniz AIX sistemlerde, sisteme giriş yapma yetkisi olan kullanıcıları tahmin/tespit edebilirsiniz.
root olarak ele geçirdiğiniz AIX sistemlerin parolalarını, John the Ripper yazılımını kullanarak kırabilirsiniz. Bu bize, deneme-yanılma saldırısıyla(brute-force) çok zaman kaybetmeden, komşu sistemlere gürültüsüz şekilde erişebilmemizi sağlayabilir.
AIX sistemlerdeki bazı ufak farklılıkları, /etc/passwd ve /etc/security/passwd dosyalarındaki detayları bu yazıda özetlemeye çalıştım.
Malum Türkiye’deki blogger engellemelerinden dolayı, hafta içi siteyi blogger’dan wordpress’e geçirmek zorunda kaldım.
Varolan yazıları ve yorumları kolayca import ettim, ama aktarılan yazıların formatı biraz kaymış olabilir. WordPress’i çok sevmiyorum, alışmam kolay olmayacak…
Bazı web sunucuları, yapılan isteklere verdikleri yanıtlarda kendi iç IP adreslerini açığa çıkartmaktadır.
Yapılan özel bir HTTP GET isteği sonucunda, hedef web servisi “3XX Object Moved” HTTP hata mesajı yanıtı ile birlikte sunucu iç IP adresini veya makina adını açığa çıkartabilir.
Bu güvenlik problemini kontrol eden bir yazılım hazırladım. Internal IP Address Disclosure Scanner yazılımını buradan indirerek kendi sistemlerinizi test edebilirsiniz.
Örnek Kullanım ve Problemin Giderilmesi
Yazının devamını okuyun / Read the rest of this entry »
©2005-2011 Sertan Kolat - Bilgi Güvenliği Üzerine Karalamalar. Her hakkı saklıdır.
Alıntı yapıldığında kaynak gösterilmesi zorunludur.