HTTP Başlık Analizi

Web sunucularının vermiş olduğu HTTP başlıkları incelenerek; hedef web sunucusu, uygulama altyapısı, yük dengeleme cihazları, iç IP yapılandırması gibi bir çok bilgiye ulaşılabilir. Bu bilgiler güvenlik denetimlerinde, yapılacak olan diğer saldırıları destekleme amaçlı kullanılabilmektedir.

Web sunucusunun HTTP GET, HEAD, POST, OPTIONS isteklerine verdiği yanıtlar başta olmak üzere, TRACE, CONNECT, PUT, DELETE ve ek modüllerle aktif hale gelen birden fazla isteğe verdiği yanıtlardan çeşitli bilgiler elde edebiliriz [1]. Lab ortamında fuzzing yöntemleriyle bu isteklerin belirli bölümleri değiştirilerek, web sunucusu zaafiyet analizi de gerçekleştirilebilir.

Read the rest of this entry »

F5 BIG-IP Cookie Tespiti ve Deşifreleme

Web sunucuları F5 BIGIP yük dengeleme cihazları arkasına ise, F5 cihazı kullanıcıya bir tanımlama bilgisi(Cookie) atayarak, aynı kullanıcının sonraki isteklerini içerideki ilgili web sunucusuna yönlendirmektedir.

F5 tarafından atanan bu Cookie değeri, bilinen bir algoritmayla kodlandığından, aynı kodlama yöntemi tersine uygulanarak F5 arkasındaki web sunucusunun gerçek IP adresini ve web sunucu port numarasını öğrenmek mümkün olabilmektedir.  Read the rest of this entry »

Web Uygulamalarında Sık Karşılaşılan Güvenlik Açıkları

30 Nisan’da gerçekleşen Web Uygulama Güvenliği konulu NetSec Topluluk Buluşmasında yaptığım sunum dosyası aşağıda bulunabilir.

2010 yılında denetlenen 100’ün üzerinde özel geliştirilmiş web uygulamasında en sık karşılaşılan güvenlik problemleri bu şekildeydi. Ayrıca kategori bazında, eskiden ne tip durumlarla karşılaştığımız ve günümüzde bunun nasıl değiştiği de konuşuldu.

İstatistik detaylarında o kategoriye ait güvenlik açıklarının alt detayları, en sık karşılaşılandan daha az karşılaşılana göre sıralandı. Sunuma biraz hareket katmak için denetimler sırasında karşılaşılan ilginç güvenlik problemlerinden de bazıları sözlü olarak anlatıldı, bazılarıysa özel oluşturulmuş gerçeğe benzer örnek ekran görüntüleriyle açıklandı.

Bu istatistikler uğraştıran bir çalışmanın sonunda oluşturuldu. İstatistikler güvenlik açığının hedef uygulamada var olup olmadığına göre değerlendirildi. Örneğin XPath Injection denetlenen uygulamada var veya yok olarak değerlendirildi. 3 noktada XPath Injection vardır diye istatistiklere alınmadı.

Buna göre düşündüğünüzde SQL’e Sızma(SQL Injection) ortalama 100 uygulamanın 29’unda karşımıza çıkmıştır diye düşünebilirsiniz. O 29 uygulamanın kaç noktasında SQL Injection vardır bilgisi bu istatistiklerde görülmüyor.

Yurt dışında otomatik denetim yapan bazı firmalar, veritabanından direk bu istatistikleri sağlayabiliyorlar. Ben de ileride daha detaylı istatistikler sağlamak üzere raporlama yazılımlarını değiştirmeyi düşünüyorum.

Katılan herkese teşekkür ederim.

Sunumu indirmek için tıklayınız.

Web sunucunuz iç IP adresini ele veriyor mu?

Bazı web sunucuları, yapılan isteklere verdikleri yanıtlarda kendi iç IP adreslerini açığa çıkartmaktadır.

Yapılan özel bir HTTP GET isteği sonucunda, hedef web servisi “3XX Object Moved” HTTP hata mesajı yanıtı ile birlikte sunucu iç IP adresini veya makina adını açığa çıkartabilir.

Bu güvenlik problemini kontrol eden bir yazılım hazırladım. Internal IP Address Disclosure Scanner yazılımını buradan indirerek kendi sistemlerinizi test edebilirsiniz.

Örnek Kullanım ve Problemin Giderilmesi
Read the rest of this entry »

Web güvenliği e-dergi yayın hayatına başladı

Web Güvenlik Topluluğu, Internet üzerinden ücretsiz olarak yayınlanacak bir e-dergi projesine başladı.

Türkçe kaynak konusundaki sıkıntıları gidermeye çalışan derginin, web güvenliğine ilgi duyan kişiler için merakla beklenecek önemli bir kaynak olacağını düşünüyorum.

Şu an 2 ayda bir yayınlanması düşünülen e-derginin ilk sayısı, içerik bakımından gayet doyurucu olmuş. Dergiye http://dergi.webguvenligi.org adresinden erişilebilir.

Firefox 3’te SSL sertifika uyarılarını hızlıca bypass edin

Firefox 3’le gelen sertifika uyarıları kullanıcılar açısından harika olsa da, sürekli demo ürünler kuran, test ortamlarında uygulamaları deneyen bizler için bazen bir çileye dönüşebiliyor.

Normalde sertifika problemi olan bir yere girebilmek için;

  1. Karşımıza çıkan “Or you can add an exception…”a tıklamak,
  2. “Add exception…”a tıklamak
  3. Gelen ekranın location bölümündeki “Get Certificate”e tıklamak,
  4. Tercihen “Permenantly store this exception”u seçmek veya seçimini kaldırmak,
  5. Ve nihayet “Confirm Security Exception” butonuna basarak sayfaya girmek gerekiyor.

Bu işlemleri azaltmak için “about:config” içerisinde;

yapmak yeterli.

Bu ayarları yaptıktan sonra, SSL sertifikası problemli olan yerlere girerken yukarıda sıraladığım 1 ve 3. adımları yapmaya gerek kalmadığından, en fazla 3 tıklamada beklemeden sayfaya giriş sağlanabiliyor.
Denemek için https://mail.yahoo.com ‘u kullanabilirsiniz. Sertifika hatalarını onaylarken dikkatli olmak gerekiyor.

ratproxy – Web Güvenlik Denetimine Google Yaklaşımı

ratproxy, Google’da kullanılmak üzere geliştirilen ve artık açık kaynak kodlu olarak yayınlanmış pasif bir web uygulamaları güvenlik denetim yazılımı.

Adından da anlaşılabileceği gibi, yazılım WebScarab, Paros, Burp vb. gibi bir proxy olarak çalışıyor ve veri alışverişlerini güvenlik problemlerine karşı inceleyerek raporlayabiliyor.


Yazılım Michal Zalewski tarafından geliştirilmiş. Zalewski, geçen sene Temmuz ayında Google ekibine katılmıştı.

Firefox 3.0 ilk güvenlik açığı

Salı günü yayınlanan Firefox 3, kayıtlara göre 24 saat içerisinde 8 milyonun üzerinde kişi tarafından indirilmiş ve kurulmuş. Türkiye saatiyle Salı günü akşamı Firefox 3’u indirmeye çalıştığınızda bu manzarayla karşılaşmış olabilirsiniz.

Gel gelelim çok geçmeden, yaklaşık 5 saat sonra, TippingPoint Zero Day Initiative ürünün yeni sürümünde bir güvenlik açığı olduğunu duyurdu!

Güvenlik açığının teknik detayları yayınlanmadı. Konuyla ilgili Mozilla’nın bir güvenlik yaması yayınlamasının ardından detaylar açıklanacak. Problem, kullanıcının email içerisindeki bir link’e tıklaması veya zararlı kod içeren bir web sayfasını ziyaret etmesi ile tetikleniyor.

Bu güvenlik açığının neden Firefox 3.0 yayınlanmadan önceki deneme sürümleri sırasında duyurulmadığı ise merak konusu. TippingPoint’e göre araştırmayı yapan kişiden gelen bilgi Firefox’un yeni sürümünün çıkmasının ardından olmuş. Tabi ki güvenlik açığının önceden bilindiği malum.

Birileri(?) dikkatleri üzerine çekmeye mi çalışıyor, yoksa araştırmacı daha fazla para kazanmak için mi bu yöntemi izledi bilinmez. Şahsi kanaatim, araştırmacının güvenlik problemini TippingPoint’e iletmesi, arada geçen iletişim, problemin doğrulanması ve Mozilla ekibi ile irtibata geçilmesi ve bunun uyarı olarak Zero Day Initiative’de yayınlanmasının çok daha uzun süreceği yönünde. Konu ile ilgili TippingPoint’in açıklamasına buradan ulaşabilirsiniz.

Retina Web Security Scanner

13 Mart’ta yayınlanan bu basın bildirisine göre, eEye firması web uygulamalarındaki güvenlik problemlerini tespit edebilme amacıyla bir güvenlik denetim yazılımı çıkartmış.

Bu yazılımın temelinde, NT OBJECTives firmasının geliştirmiş olduğu NTOSpider yazılımı yatıyor. NTOSpider’ı deneyemedim ama web uygulamalarının haritalamasını çok iyi yapabildiğini duymuştum. Otomatik bir web uygulama güvenlik denetiminin başarısındaki en önemli etken, hedef web uygulamasının haritasını başarılı olarak çıkartabilmektir.

Yine rakipleri gibi Windows platformunda çalışan eEye Retina Web Security Scanner, $7000’dan başlayan fiyatlarla piyasaya sunulmuş. Hali hazırda yazılımın indirilebilir bir deneme sürümü bulunmuyor. Daha detaylı bilgiye ürünün web sayfasından ulaşabilirsiniz.