Transcript Sunum Gökhan ALKAN OWASP-TR [email protected] Tubitak/UEKAE 23 ARALIK 2008 Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of.

Sunum
Gökhan ALKAN
OWASP-TR
[email protected]
Tubitak/UEKAE
23 ARALIK 2008
Copyright © The OWASP Foundation
Permission is granted to copy, distribute and/or modify this document
under the terms of the OWASP License.
The OWASP Foundation
http://www.owasp.org
Açık Kaynak Kodlu Sistemler Üzerinde
Güvenli Uygulama Çatısı Hazırlama
Zincir En Zayıf Halkası Kadar Güçlüdür ?
Chroot Nedir ?
Cammp Nedir ?
Modsecurity Nedir ?
Jarvinen Nedir ?
2
Açık Kaynak Kodlu Sistemler Üzerinde Web
Uygulama Çatısı
İşletim Sistemi
•Linux, BSD*, Solaris, Hp-UX, IBM-AIX
Web Sunucu Servisi ve Betik Dili
•Apache, Php
Veritabanı Sunucu Servisi
•Mysql
3
Chroot Nedir?
Chroot kısaca yeni bir kök dizini tanımlar. İşletim
sistemi altında yeni bir kök dizin tanımlayarak
uygulamaların, bu yeni tanımlanan kök dizin
altında çalışmasını sağlayan ortamı (çatı) sunar.
Chroot /chroot_ortam_patikasi uygulama
4
Cammp Nedir?
Cammp Apache, Mysql, Php ve Modsecutiy için
güvenli, CHROOT ortamı altında otomatik
kurulumunu
gerçekleştiren
WGT
(http://www.webguvenligi.org/) projesidir.
5
ModSecurity Nedir?
ModSecurity Web Uygulama Güvenlik Duvarıdır.
• Kural tabanlı (Düzenli İfade)
• Apache Modülü
• Açık kaynak kodlu
• Uygulanabilir
• vs vs ...
6
Jarvinen Nedir?
Modsecurity loglarını Mysql veritabanına atarak
offline
(MSALPARSER)
olarak
izlenmesini
sağlayan WGT (http://www.webguvenligi.org/)
Projesidir.
2 Bölümden oluşmaktadır.
• Modsecurity loglarını ayrıştırarak (parsing) bu
log kayıt bilgilerin Mysql veritabanına atan betik
(shell script )
• Log kayıt bilgilerini izlenmesini sağlayan web
arayüzü
7
Kaynaklar
http://www.webguvenligi.org/
http://www.bilgiguvenligi.gov.tr/
8