Frameworks are undeniably one of the most important elements of frameworks. As we continue to witness a significant increase in number of framework-based attacks towards web applications each day, usage of Frameworks without considering security-related aspects continue to be the most drastic problem that developers face. Throughout the presentation; Mr. İnce will analyze one of the most commonly-used PHP web frameworks by highlighting important security considerations; followed by a real-time exploitation of discovered vulnerability in LAB environment.

1. Devfest Istanbul
Web Application Attacks and Trusting
Frameworks

2. whoami
● Mehmet INCE
● Cyber Security Engineer/Pentest Lead at
INTELRAD
● 150+ vulnerability publication
● Application Security
● Infosec Blogger www.mehmetince.net
● PHP, Python, etc..
● @mdisec

3. Önerme
security is a
serious
business.

5. Web Uygulama Güvenliği’nde iddia
● Framework kullanıyoruz. ( ORM, Prepared statements )
● Input validation yapmaktayız.
● Output encoding bizim işimiz.
● Düzenli olarak farklı firmalardan penetrasyon testi hizmeti
alıyoruz.
● WAF, IPS/IDS cihazlarımız var.
● Yazılımımız açık kaynak kodlu. Community gücü bizimle.
● Geliştiricilerimize secure coding training eğitimleri aldırıyoruz.
● Bug bounty programımız var, zafiyet bulan herkese ücret
ödüyoruz.

6. Tüm maddeleri yapan bir
firmada çalışan ?

7. Çünkü
● Drupal core - SQL injection ( stacked query
enabled! ) - http://goo.gl/RPgX1z
● Wordpress 4.0.1 Stored XSS - http://goo.
gl/xuvXfB
● Codeigniter Object Injection - http://goo.
gl/72lzGV

8. Çünkü...
● Symfony CSRF ( CVE-2014-6072 )
● Laravel cookie forgery, decryption, and RCE
- http://goo.gl/qieZzZ
● RoR SQLi & Crypto Weakness

9. Çünkü…
“Framework kullanıyoruz.” olmazsa olmazlardan biridir ama
asla yeterli değildir, zira framework’ünde kendisi bir
yazılımdır. Güvenlik açığı olabilir. ( RoR, CI, Laravel,
Symfony, ASP.NET )

10. Çünkü…
Açık kaynak güvenlik açısından önemlidir.
Lakin tüm örnekler açık kaynak kodlu ve 1.000
~ committer’ı olan projelerdi. http://goo.
gl/fDHGFZ
( Aramıza hoşgeldin ASP.NET :p )

11. Çünkü….
Hiçbir WAF, IPS/IDS Codeigniter Object
Injection zafiyetini tespit edemez. Çünkü ?
( Exploit the OR )

12. Yani..
security is a
serious
business.

13. Codeigniter Object Injection Vuln

14. Codeigniter Session Mechanism
Session class initializer method.

15. Codeigniter Session Mechanism

16. Codeigniter Session Mechanism

17. Codeigniter Encryption Class

18. Codeigniter Custom XOR

19. Where we are
User Request
Session Class
initializer
sess_create()
is encrypt cookie
enabled ?
T: Encode with Mcrypt _set_cookie()
F : Encode with Xor

20. How to read Session Data

21. How to exploit
- Encryption key biliniyorsa
- Cookie object manipulation
- Encryption key belirsiz ise
- Mcrypt aktif ise
- CBC mode exploit
- Custom XOR ise
- md5 hash brute force

22. Codeigniter Based Applications
- Bonfire Vulnerable
- No-CMS Vulnerable
- PyroCMS Vulnerable
- FUEL CMS Vulnerable
- ...

23. DEMO

24. Teşekkürler
twitter.com/mdisec
www.mehmetince.net
mehmet@mehmetince.net