Web Güvenlik denetimi için OWASP Zed Attack Proxy Kullanımı

1. ZED ATTACK PROXY İLE
WEB GÜVENLİK DENETİMİ
Barkın Kılıç

2. Kim?
• Barkın Kılıç
• Bilişim Güvenliği Çalışanı
• Ağ Sızma Uzmanı (Network Pentester)
• Linux Kullanıcıları Derneği üyesi
• Bilişim güvenliği ve Linux eğitmeni
• Blog Yazarı (Biraz tembel bu konuda)

3. Ajanda
1. Web Güvenlik Denetimi Nedir?
2. Web Uygulumalarına Sızma Testleri Nasıl Yapılır?
3. Zed Attack Proxy Nedir?
4. Nasıl Kullanılır?
5. Demo

4. Web Güvenlik Denetimi Nedir?
• Web uygulamaları temelde sonuç odaklı ve hızlı
•
•
•
•
geliştirilmektedir.
Güvenlik kriteri her zaman, bilinçli yada bilinçsiz olarak
göz ardı edilir.
Buda uygulamanın normalde davranması gerektiğinden
farklı davranmasına olanak sağlayacak güvenlik
açıklarına mahal vermektedir.
Bu noktada ise kötü niyetli kullanıcılara gün doğmaktadır.
Güvenlik denetçileri (Heykır, Pentester, White Hat vb.) art
niyetli kişiler gibi bu zafiyetleri tespit eden
profesyonellerdir.

5. Yani?
• Firewall web uygulamalarını korumaz!
• IDS/IPS yada WAF kesinlikle yeterli değil!
• Güvenli Kod Geliştirme ve kod geliştirme süreçleri
esnasında sızma testi gerekli.
• Bunların dışında mutlaka geliştirilen uygulamaya
sızma(güvenlik) testi yaptırılmalıdır.

6. Web Güvenlik Denetimi Nasıl Yapılır?
• Uygulamanın yaptığını söylediklerini gerçekten yapıyor
•
•
•
•
mu?
Gizli değişkenler ne bilgileri saklıyor?
Liste ve Seçim kısımlarına sadece o değerler mi geliyor?
Javascript yada diğer client side teknolojiler değiştirilip
istenilenden farklı bir sonuç alınabiliyor mu?
Proxy kullanarak arada gidip gelen veri değiştirildiğinde
uygulama nasıl davranıyor?

7. Denetlemede Nelere Dikkat Edilir?
• Doğrulama sistemi
• Yetkilendirme adımları
• Mantıksal saldırılar
• İstemci tarafı saldırılar
• Komut çalıştırma
• Uygulamanın verilerinin saklandığı sistemlerden veri
sızdırma

8. Güvenlik Denetiminde SQLi Bulunca

9. Zap Nedir?
• Zend Attack Proxy (ZAP)
• Yazarı Simon Bennetts
• Mozilla Security Team çalışanı
• Kullanımı kolay Web Güvenlik Denetimi aracı
• Açık kaynak ve ücretsiz
• Web güvenlik denetimine yeni başlayanlar ve geliştiriciler
için ideal
• Otomatik web güvenlik testleri için gayet ideal
• Birçok büyük güvenlik denetim amaçlı linux dağıtımlarında
mevcut (Backtrack, Kali,Backbox, Samurai vs.)
• Multi Platform, kurulumu kolay

10. Zap İlkeleri
• Daima özgür ve açık kaynak yazılım
• Herkesin geliştirimine açık ve destekleniyor
• Daima cross platform (Linux, Macos,Windows)
• Kullanımı kolay
• Kurulumu kolay
• Birçok dil desteği var
• Tamamen dökümante edilmiş
• Birçok geliştirici araçları ile beraber çalışabiliyor

11. Birkaç Ufak Bilgi
• Paros proxy projesinden esinlenip, burdan devralarak
•
•
•
•
geliştiriliyor
İlk sürüm 2010 senesinde çıkarılıyor
En son Eylül 2013’te versiyon 2.2.2 sürüldü
20’nin üzerinde dile çevrilmiş durumda
https://code.google.com/p/zaproxy/downloads/list

12. Zap Özellikleri
• İstekler için araya giren vekil sunucu
• Aktif ve Pasif tarama özelliği
• Web ve AJAX spider özelliği
• Web socket desteği
• Dizin tarama desteği (Owasp DirBuster)
• Fuzzing (Owasp JbroFuzz)
• Raporlama
• Vs.

13. Zap Nasıl Kullanılır?
• Tak ve Hack! (Link yazıp butona bas arkana yaslan)
• Vekil sunucu gösterip pasif tarama
• Elle sızma testi yapılabilir
• Otomatik geliştirme ve test süreçleri esnasında tarama
• Debugging yapmak için kullanılabilir

14. Otomatik Geliştirme ve Test Sürece
Uyumu
• https://code.google.com/p/zaproxy/wiki/SecRegTests
• Selenium
• Robot
• Cucumber
• Jbehave

15. Yeni Birtakım Özellikler
• Teknoloji tespit etme (Wappalyzer)
• HTTPS Bilgileri bulma (Beast attack vs.)
• Komut enjekte etme
• Kod enjekte etme
• Sql sorguları enjekte etme (Sqlmap çekirdek kodu
içeriyor)
• HTTP headers + Cookies

16. Çoğu Güvenlik Dağıtımında Hazır

17. Proxy Ayarları

18. Firefox Eklentisi - 1

19. Firefox Eklentisi - 2

20. Firefox Eklentisi - 3

21. Firefox Eklentisi - 4

22. Firefox Eklentisi - 5
• Eklenti üzerinden tarama
başlatılabilir
• Taramanın sonucu öğrenilebilir
• Http oturumu kaydedilebilir ve
yeni oturumlar oluşturulabilir.
• Http oturumları arası geçiş
yapılabilir

23. ZAP Pasif Tarama

24. ZAP Pasif Tarama
• Normal Kullanım esnasında gidip gelen istekler üzerinden Header ve Body
kısımlarını inceleyerek gerekli uyarıları yapabilir.
• Eğer mevcut bir uyarı bulunmuş istek daha detaylı taranmak istenirse
“History” tabından seçilip daha detaylı saldırı başlatılabilir.
• Pasif tarama esnasında normal kullanıcı oturumlarını yakalayarak bunları
hatırlar ve gerektiğinde oturumlar arası geçişe izin verir.

25. ZAP İstek Üzerinden Saldırı Başlatma

26. ZAP İstek Tekrarlama ve Değiştirme

27. ZAP Gelen Giden İstekleri Kesme

28. Demo?!

29. Teşekkürler
• barkin@barkin.info
• @barknkilic