Web Güvenlik Günleri IV Bünyamin DEMİR www.owasp.org/index.php/Turkey www.webguvenligi.org OWASP 23 Aralık 2008 Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under.

Download Report

Transcript Web Güvenlik Günleri IV Bünyamin DEMİR www.owasp.org/index.php/Turkey www.webguvenligi.org OWASP 23 Aralık 2008 Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under.

Web Güvenlik Günleri IV

Bünyamin DEMİR www.owasp.org/index.php/Turkey www.webguvenligi.org

OWASP

23 Aralık 2008 Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License.

The OWASP Foundation

http://www.owasp.org

İçerik

 OWASP  Nedir?

 Projeler  WGT  Biz Kimiz?

  Niye Burdayız?

Projelerimiz  Hedeflerimiz

2

OWASP – Nedir?

 Open Web Application Security Projest (OWASP)  Tüm OWASP ürünleri ücretsiz ve açıktır.

 Güvensiz yazılımların sebep oldukları açıkları bulup, bunlarla mücadele eden bir topluluktur.

 Kar amacı gütmez  Topluluga ait rakamlar  120+ (Chapter)  30+ Sponsor  50+ Proje  100+ E-posta listesi  Aylık bir milyon üzerinde ziyaret

3

OWASP Ana Site Trafiği

Worldwide Users Most New Visitors 250 200 150 100 50 0 01.10.2002

01.10.2003

01.10.2004

01.10.2005

01.10.2006

01.10.2007

/wk

4

OWASP Neler Yapar?

WebGoat WebScarab Live CD .NET Research LAPSE …

Araçlar Topluluk

Testing Guide Top 10 Legal AppSec FAQ

Dökümanlar

Metrics … Wiki Bölgeler (chapters) Forumlar Günlükler (blogs) Çeviriler Konferanslar

5

OWASP Corporate Members – Jul 2008

6

OWASP Testing Guide

 Çalışma ortamının oluşturulması (Testing Framework)  Güvenlik testlerinin yapılması  Güvenlik testlerinin nasıl yapılması gerektiği, metodolojisi  Rapor hazırlanması

7

OWASP Top 10

 Sık rastlanan on web uygulaması güvenliği zayıflıklarını içerir  Açıklar hakkında özet bilgi ve ilgili linkler vardır  Belli aralıklarla güncelleştirilir.

 Zayıflıklarla ilgili istatistiksel bilgiler mevcuttur.

 Şu an itibariyle sadece İngilizce,Fransızca,Japonca, Türkçe ve Kore dillerinde mevcuttur.

8

OWASP - Projeler

 Projelere maddi destek sağlar  WebGoat Projesi  Eğitim projesidir. Kullanıcıların web güvenliği hakkında bilgiler edinmesi için hazırlanmıştır. İçinde güvenlik açıkları içeren dersler bulunmaktadır ve sizlerden bu açıkları bulmanızı ister.

 WebScarab Projesi  Uygulamaların güvenlik açıklarını bulmakta kullanılır.

 Live CD Projesi  OWASP projelerini ve dökümanlarını barındıran CD dir.

 .NET Projesi  DotNet ortamını daha güvenli hale getirecek araçlar bulundurmaktadır.  Legal Projesi  Yazılım alış verişindeki yasal düzenlemeleri yapmanıza yarayan bir projesidir ……

9

OWASP - Summer of Code 2008

 OWASP da bulunan veya ilave edilebilecek projeler geliştirilir.

 Proje geliştiricilerine maddi destekler sağlanır.

 Projeler, geliştiricilerinin adlarıyla OWASP sitesinden yayınlanır  Projeler açık kaynak kodlu olarak yayınlanır.

10

Biz kimiz?

Web Güvenlik Topluluğu  Gökhan Alkan – TUBİTAK-UEKAE  Bünyamin Demir – Mobilgi  Mesut Timur – GYTE ve Pro-G  Yusuf Çeri – TUBİTAK-UEKAE  Bedirhan Urgun – Turkcell  Ferruh Mavituna – Porticillus  Projelere, etkinliklere katılanlar ve mail listesine üyeleri ve web güvenliği ilgilileri

11

Niye Burdayız?

 Dönem dönem web uygulaması güvenliği konulu etkinlikler yapmak istediğimiz,  Web güvenliği konulu sohbetleri sevdiğimiz,  Farklı güvenlik modellerini canlı olarak duymak istediğimiz,  Güvenliğin de açık kaynak koddan ciddi şekilde beslendiğine inandığımız için.

12

Amacımız

 Web uygulaması güvenliğine ülkemizde gerekli duyarlılığın gösterilmesini sağlamak  Web uygulaması güvenliği konusunda çalışan ve ilgi duyan arkadaşları bir platformda toplamak  Güvenlik konulu makaleler, dökümanlar ve projelere yer ve destek sağlamak.

 Web uygulamalarının ortaya çıkardığı zararları en aza indirme yolunda çalışmalar yapmak  Dünyada yapılan web uygulaması güvenliği konulu çalışmaların takibini sağlamak  OWASP Vakfının Türkiye çalışmalarını sürdürmek

13

Projelerimiz

 Owasp-WeBekci (SoC 2008) ve MSALParser  CAMMP ( C hroot A pache M ysql M odSecurity P HP)  SecureImage (.NET, Java ve PHP API)  SecureTomcat (Tomcat J2EE sunucu güvenlik denetimi)  Çeviri Projesi (~400 sayfa doküman)  Otomatize Sql Entektörleri Analizi (SoC 2008)  Jarvinen (Web tabanlı ModSecurity log analizi)  Web Güvenliği Terimler Sözlüğü  WIVET (Crawler Boy Ölçer)

14

Hedeflerimiz

 Web uygulaması güvenliği projeleri geliştirmek.

 Web uygulaması güvenliği alanında yardımcı dökümanlar temin etmek.

 Özel ve kamu kuruluşları arası güvenlik konulu çalışmalar yapmak.

 Uluslararası konferanslar düzenlemek  Açık kaynak kodlu güvelik çalışmalarına destek vermek  Üniversitelerimizde uygulamalı web güvenliği farkındalığı dersleri vermek

15

Teşekkürler!

www.webguvenligi.org

www.owasp.org

E-posta listesine kayıt olmak için

google:

owasp turkey mail list

16