Frameworks are undeniably one of the most important elements of frameworks. As we continue to witness a significant increase in number of framework-based attacks towards web applications each day, usage of Frameworks without considering security-related aspects continue to be the most drastic problem that developers face. Throughout the presentation; Mr. İnce will analyze one of the most commonly-used PHP web frameworks by highlighting important security considerations; followed by a real-time exploitation of discovered vulnerability in LAB environment.
5. Web Uygulama Güvenliği’nde iddia
● Framework kullanıyoruz. ( ORM, Prepared statements )
● Input validation yapmaktayız.
● Output encoding bizim işimiz.
● Düzenli olarak farklı firmalardan penetrasyon testi hizmeti
alıyoruz.
● WAF, IPS/IDS cihazlarımız var.
● Yazılımımız açık kaynak kodlu. Community gücü bizimle.
● Geliştiricilerimize secure coding training eğitimleri aldırıyoruz.
● Bug bounty programımız var, zafiyet bulan herkese ücret
ödüyoruz.
9. Çünkü…
“Framework kullanıyoruz.” olmazsa olmazlardan biridir ama
asla yeterli değildir, zira framework’ünde kendisi bir
yazılımdır. Güvenlik açığı olabilir. ( RoR, CI, Laravel,
Symfony, ASP.NET )
10. Çünkü…
Açık kaynak güvenlik açısından önemlidir.
Lakin tüm örnekler açık kaynak kodlu ve 1.000
~ committer’ı olan projelerdi. http://goo.
gl/fDHGFZ
( Aramıza hoşgeldin ASP.NET :p )
11. Çünkü….
Hiçbir WAF, IPS/IDS Codeigniter Object
Injection zafiyetini tespit edemez. Çünkü ?
( Exploit the OR )
19. Where we are
User Request
Session Class
initializer
sess_create()
is encrypt cookie
enabled ?
T: Encode with Mcrypt _set_cookie()
F : Encode with Xor
21. How to exploit
- Encryption key biliniyorsa
- Cookie object manipulation
- Encryption key belirsiz ise
- Mcrypt aktif ise
- CBC mode exploit
- Custom XOR ise
- md5 hash brute force