NOPcon sunumu: Attacking iOS Applications

NOPcon güvenlik konferansı 21 Mayıs 2012’de İstanbul Bilgi Üniversitesi’nde yapıldı.

Konferansta Apple iOS uygulamalarının denetlenmesiyle ilgili bir sunum gerçekleştirdim. Hali hazırda iOS uygulamaları ağ tabanlı denetimlere tabi tutuluyor. Amacım ağ tabanlı denetimlerin dışında neler yapılabilir, uygulamalar nasıl bir mimaride çalışıyor, iOS uygulama denetimlerinde nasıl bir yol izlenebilir göstermeye çalışmaktı. Umarım katılan herkes bir bölümünden faydalanabilmiştir. Katılan herkese teşekkür ederim.

Kendi adıma çok faydalı ve güzel bir teknik etkinlikti diyebilirim. Bu yıl kazanılan tecrübelerle organizatörlerin seneye çok daha iyi bir etkinlik düzenleyeceğine eminim.

Sunumu buradan indirebilirsiniz: Attacking iOS Applications

HTTP Başlık Analizi

Web sunucularının vermiş olduğu HTTP başlıkları incelenerek; hedef web sunucusu, uygulama altyapısı, yük dengeleme cihazları, iç IP yapılandırması gibi bir çok bilgiye ulaşılabilir. Bu bilgiler güvenlik denetimlerinde, yapılacak olan diğer saldırıları destekleme amaçlı kullanılabilmektedir.

Web sunucusunun HTTP GET, HEAD, POST, OPTIONS isteklerine verdiği yanıtlar başta olmak üzere, TRACE, CONNECT, PUT, DELETE ve ek modüllerle aktif hale gelen birden fazla isteğe verdiği yanıtlardan çeşitli bilgiler elde edebiliriz [1]. Lab ortamında fuzzing yöntemleriyle bu isteklerin belirli bölümleri değiştirilerek, web sunucusu zaafiyet analizi de gerçekleştirilebilir.

Read the rest of this entry »

F5 BIG-IP Cookie Tespiti ve Deşifreleme

Web sunucuları F5 BIGIP yük dengeleme cihazları arkasına ise, F5 cihazı kullanıcıya bir tanımlama bilgisi(Cookie) atayarak, aynı kullanıcının sonraki isteklerini içerideki ilgili web sunucusuna yönlendirmektedir.

F5 tarafından atanan bu Cookie değeri, bilinen bir algoritmayla kodlandığından, aynı kodlama yöntemi tersine uygulanarak F5 arkasındaki web sunucusunun gerçek IP adresini ve web sunucu port numarasını öğrenmek mümkün olabilmektedir.  Read the rest of this entry »

Penetrasyon Testlerinde Düşülebilecek Hatalar

3-4 Haziran 2011’de Bilgi Üniversitesi Dolapdere Kampüsünde gerçekleşen, İstanbul Bilgi Güvenliği Konferansı IstSec’te yaptığım sunumu aşağıda bulabilirsiniz.

Penetrasyon Testlerinde Düşülebilecek Hatalar, zaman içerisinde tecrübeyle edinilmiş bilgi birikiminden oluşan penetrasyon testi ipuçlarını içeriyor. Amacım profesyonel olarak penetasyon testi yapan veya bu işte henüz yeterince tecrübe kazanmamış kişilere ipuçları vererek belirli noktalarda kötü tecrübe yaşamalarını önlemek ve genel denetim kalitesini arttırmaktı.

Tabi ki sunum 45 dakikaya sığabilecek temel noktaları içeriyor. Bir kısmı bir çok kişi tarafından bilinse de, her seviyeden katılımcının kendisine bir şeyler kattığını duymak benim için sevindiriciydi.

Gelen herkese teşekkür ederim.

Sunumu buradan indirebilirsiniz.

Cisco cihazlarda güvenlik açığı kontrolü

Cisco, IOS Software Checker yazılımını duyurdu. Belirttiğiniz IOS sürümünün, Cisco tarafından duyurulmuş hangi güvenlik problemlerinden etkilendiğini bu sayede hızlıca görüntüleyebilirsiniz.

Ayrıca cihazınızın show version çıktısını veya ağınızda bulunan cihazların IOS sürümlerini toplu olarak da bu yazılıma gönderebiliyorsunuz. Yapılan güvenlik denetimleri sırasında da kullanılabilir.

Cisco IOS Software Checker‘ı kullarak cihazlarınıza yönelik tehditleri görüntüleyin. Örnek çıktı ekran görüntüsünde görülebilir.

AIX Sistemlerde Parola Kirma

Normal bir kullanıcı olarak ele geçirdiğiniz veya /etc/passwd dosyasını okuyabildiğiniz AIX sistemlerde, sisteme giriş yapma yetkisi olan kullanıcıları tahmin/tespit edebilirsiniz.

root olarak ele geçirdiğiniz AIX sistemlerin parolalarını, John the Ripper yazılımını kullanarak kırabilirsiniz. Bu bize, deneme-yanılma saldırısıyla(brute-force) çok zaman kaybetmeden, komşu sistemlere gürültüsüz şekilde erişebilmemizi sağlayabilir.

AIX sistemlerdeki bazı ufak farklılıkları, /etc/passwd ve /etc/security/passwd dosyalarındaki detayları bu yazıda özetlemeye çalıştım.

Read the rest of this entry »

Web sunucunuz iç IP adresini ele veriyor mu?

Bazı web sunucuları, yapılan isteklere verdikleri yanıtlarda kendi iç IP adreslerini açığa çıkartmaktadır.

Yapılan özel bir HTTP GET isteği sonucunda, hedef web servisi “3XX Object Moved” HTTP hata mesajı yanıtı ile birlikte sunucu iç IP adresini veya makina adını açığa çıkartabilir.

Bu güvenlik problemini kontrol eden bir yazılım hazırladım. Internal IP Address Disclosure Scanner yazılımını buradan indirerek kendi sistemlerinizi test edebilirsiniz.

Örnek Kullanım ve Problemin Giderilmesi
Read the rest of this entry »

Windows Komut Satırı Kılavuzu (Denetim Yapanlar İçin)

Güvenlik denetimi yapanlar için bir Windows komut satırı kılavuzu hazırladım. Aşağıdaki komutların tümünün özelliği interaktif komut olmamalarıdır. (Uğraştım bir shell elde ettim, bir komutla işleri elime yüzüme bulaştırmayayım modu)

Bu kılavuz aşağıdaki bölümlere ayrılmıştır:

  • Temel Komutlar
  • Dosya Oluşturma ve Düzenleme
  • Ele Geçirilen Sistemin Analizi
  • Ağ Servisleri ve Firewall Analizi
  • İşlemler ve Çalışan Servisler
  • Registry Erişimi ve Düzenleme
  • Kullanıcı/Grup Analizi ve Kullanıcı Ekleme
  • Komşu Hedeflerin Keşfi
  • Yeni Sürümlerde Paket Yönetimi

Read the rest of this entry »

Veritabani güvenlik denetimine ‘Scuba’ dalışı

Scuba, Imperva’nın geliştirmiş olduğu ücretsiz bir veritabanı güvenlik denetim/analiz yazılımı.

Ürünün Oracle, Microsoft SQL, IBM DB2 ve Sybase veritabanı destekleri bulunuyor.

Buradan kayıt olarak indirebildiğiniz Java tabanlı bu yazılım, JRE 1.5+ gerektiriyor.

Çalıştırmak için bir klasöre açmanız yeterli. İlk çalıştırdığınızda lisans kabulu ve tekrar kayıt yaptırmanızı istiyor.

Ürünün yaptığı testler bir XML dosyasında tutuluyor ve dosyayı Imperva’dan güncelleme yapma imkanınız bulunuyor. Çok sık güncellendiğini düşünmüyorum ama XML tabanlı olduğu için belki kendi testlerinizi ekleyebilirsiniz.

Ürünü hızlıca bir Microsoft SQL 2000 veritabanı ile test ettim. Yetkili bir kullanıcı adı ve şifre verildiğinde veritabanında bulunan varsayılan veya sonradan oluşturulmuş zayıf yapılandırmaları ortaya çıkartabiliyor.

Alternatif bir denetim yazılımı olarak denenebilir. Özellikle varsayılan veritabanı kurulumları ile oluşan zayıflıkların önüne geçmede veritabanı yöneticilerinin ihtiyacını karşılayabilir. Yine diğer veritabanlarında da denemeye değer bir yazılım olduğunu düşünüyorum.

Aşağıda Scuba_Assessment_Report.xsl taslağı ile oluşturulmuş bir rapor görüntüsü var.

Dradis 2 – Güvenlik denetimlerinde bilgi paylaşımı

Güvenlik denetimi bir grup tarafından yapılıyor ve özellikle kişiler farklı yerlerde bulunuyorsa bilgi paylaşımı zorlaşabilir.

Dradis adlı yazılım, kişiler arası bilgi paylaşımı ve bulguların merkezi bir yerde toplanmasını sağlıyor.
Dradis’in 2.0 sürümü duyuruldu. Bu sürümde web arabirimi yenilenmiş ve bilgi paylaşımı mantığı biraz değiştirilmiş.

Ürünün anasayfasına buradan ulaşabilirsiniz. Ekran görüntüleri ve buradaki demo video ile de ürüne hızlıca göz atılabilir.