SlideShare a Scribd company logo

Web Uygulama Güven(siz)liği

BGA Cyber Security
BGA Cyber Security

Related slideshows

Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
 
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıPenetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12
 
1 of 54
Download to read offline
Web Uygulama Güven(siz)liği 2.0 Huzeyfe ÖNAL Bilgi Güvenliği AKADEMİSİ http://www.bga.com.tr honal@bga.com.tr Güvenlik lüks değil, gereksinimdir!
Ben Kimim? • • • • Kıdemli bilgi güvenliği uzmanı (İş hayatı) Ağ güvenliği araştırmacısı/uzmanı/. (Gerçek hayat) Özgür yazılım destekçisi Bilgi Güvenliği AKADEMİSİ güvenlik eğitmeni – www.bga.com.tr • Blogger – www.lifeoverip.net
Ajanda • Siber dünyada web uygulamaları • Neden web uygulama güven(siz)liği? • Web uygulamalarında güvenliği etkileyen bileşenler • Türkiye ve dünyadan web uygulama güven(siz)liği örnekleri • Güvenlik dünyası ve web uygulamalarına bakışı • Hacker(medya) camiası ve web uygulamalarına bakışı • Günün sonunda kazanan kim? Skor tablosu
İşleyiş • Sıcak bir yaz akşamına uygun... • Teknik detaylara boğmadan, uygulama güvenliğine yazılımcı olmayan birinin bakış açısı ve tecrübeleri...
Siber Dünyada Web • Web uygulamaları günümüzü ve geleceğimizi kuşatmış durumda – Müzik dinleme:last.fm, fizy.org – Ofis Belgeleri için:Google Docs – Resim işleme amaçlı:Google Picasa, flickr – (A)Sosyal Hayat: Facebook, Friendfeed, twitter – Alışveriş, Para işleri:Paypal.com, online alışveriş siteleri – İletişim:E-posta->Webmail hizmetleri – Oyun: Online oyunlar... – Televizyon: IP TV uygulamaları • Yakın gelecekte web tabanlı işletim sistemleri...
Web’i Tanıyalım • Web denilince artık akla iki üç sayfalık html+javascript karışımı sayfalar gelmiyor • Web Uygulama Bileşenleri – Statik sayfalar • HTML – Dinamik sayfalar • CGI, ASP, PHP, Perl, Asp.net, JSP – Veritabanı • Mysql, MsSQL, Oracle, Sybase – Web servisleri – Kullanıcı browserları – Diğer bileşenler... • Ajax vs
Geleneksel Güvenlik Yaklaşımı • Henüz OSI 4. katmandan yukarı çıkamamıştır • Network, işletim sistemi ve servis güvenliği • Router(ACL), Firewall – Intrusion Detection System • Intrusion Prevention System » .... • Ağırlık koruma tarafı için ayrılır – Güvenlikcilerin çogu yeni saldırı yöntemlerinden habersizdir • Web güvenliği tarihçesi – 2000~ web uygulamalarının yaygınlaşması – 2005~ Web uygulama güvenliği – 2009-2013 Web güvenliği altın çağı 
Geleneksel Güvenlik Yaklaşımı-II
Geleneksel Güvenlik Anlayışının Göstergesi
Neden Uygulama/WEB Güvenliği? • Web=Giriş kapısı • Sınır güvenliğinin en zayıf noktalarından • Güvenlikte en büyük problem: çözümü başka yerde aramak! – IPS ile spesifik uygulamalara yönelik atakları engellemeye çalışma – Çözüm kendi içinde  • Hizmet veren herşey bir yazılımdır • Problemi temelinden çözmek varken....
Neden Web Güvenliği-II Hacking Stage 6 — Wikipedia, Feb 9 2007
Uygulama Güvenliği Tanımı • Yazılım geliştiriciler en kısa sürede ortaya ürün çıkarma peşindeler. • Guvenlik uzmanları yoğunlukla altyapı güvenliğine yönelmişlerdir • Uygulama Güvenliği: Üretilen yazılımın fonksiyonlarını yitirmeden güvenli bir şekilde geliştirilmesini sağlama.
Uygulama Güvenliği Sorunları • Güvenli kod geliştirme için oturmuş bir standart yok • Yazılım geliştirme süreçlerinde güvenlik bileşeni unutulur • Geliştirme dilleri hala büyük açıklıklar içerebiliyor • Denetim eksikliği – Güncellenen kodlar daha farklı açıklıklar içerebiliyor. • Geliştiriciler üzerinde ciddi baskılar var – Gelişim sürecinde güvenlik için ek zaman düşünülmez – Yeterli eğitim/bilinç(güvenlik açısından) eksik
Web/Uygulama Herşey mi? WEB WEB WEB WEB
Hacker / Güvenlik Uzmanı • Güvenlik uzmanları prosedürel hareket ettiği için hackerlara göre bir adım geriden gelir. • Güvenlik uzmanları için koruma bir meslek, hackerlar için bu korumaları aşmak bir zevktir. • Hacker için bilgi güvenliği diye bir kavram yoktur, sadece aşılması gereken engel vardır! • Hackerların mesaisi, sayısı ve motivasyonu farklıdır... – Siber dünyada gece gündüz kavramları yoktur – 7/24 mesai yaparlar! • Örnek: Wordpress açıklığı
Bakış Açısı • Her iki dünyanın kendine özgü bakış açısı vardır • Bakış açısı örnekleri...
BA-I:User-Agent Kontrolünü Aşma EFT Ücreti:2.5 TL WAP üzerinden yapılan EFT’lerde ücret alınmıyor. Firefox plugini kullanarak UserAgent mobil cihaz gibi gösterilip WAP sayfasından ücretsiz EFT işlemi yapılabilir Nasıl engellenebilir?
BA-II:Bankacılık Uygulamaları IP Kısıtlama
Web Uygulamalarının Güvensizliği • Web uygulamalarında amaç herkese hizmet verebilmektir – Internette en fazla açık port 80/443’tür • Uygulama geliştirme için bir standart henüz yerleşmediği için yazılımı geliştirenler kolay hata yapabilir • Web uygulamalarında yapılan hatalar daha fazla dikkat çeker ve saldırıya açıktır • Birilerinin sizi takip etmesine gerek yok – Google üzerinden aramalarla sayfalarınız hacklenebilir
Web Uygulamalarının Güvensizliği-II • Koruma amaçlı geliştirilen yazılımlar stabil değil – Fazla müdahele istiyor(WAF sistemleri) • Geliştirme aşamalarında güvenlik önemsenmiyor • Üst yönetim Web’i 10 sene önceki haliyle biliyor – Web = bizi tanıtan sayfa • Güvenlikcilerin çoğu web/uygulama dünyasına yabancı
Sık Rastlanan Web Açıklıkları Owasp Top10 -2010
Açıklık Arama Yöntemleri • Google’dan önce, Google’dan sonra olmak üzere ikiye ayrılır • Eski yöntem: Site bulunur üzerinde açıklık aranır • Yeni yöntemler: Açıklık belirlenir, Google vs üzerinden hangi sitelerde açıklık olduğu otomatik belirlenir!
Google Üzerinden Açıklık Arama
Google Üzerinden Hazır Sistem Bulma c99 shell arama
Otomatik SQLi Bulucu
RFI Arama Örnekleri http://ha.ckers.org/weird/rfi-locations.dat
Basit (!) Bir Web Zaafiyeti Nelere Yol Açabilir? Video
Web Shell • Hacklenen sunucuları daha kolay yönetmek için yazılmış web uygulamalarıdır • Her dil için özel yazılmış web shell bulunmaktadır – Asp shell, php shell, jsp shell, perl shell vs • Hackerların işini oldukça kolaylaştırır, birçok işi otomatikleştirir • Detay Linux/UNIX bilgisi gerektirmez, birden fazla siteyi aynı anda deface etmeye yarar, kolaylıkla yakalanmaz(IPS’ler tarafından). • Bypass özellikleri vardır
Sık kullanılan Shell isimleri • R57, c99, cmd.asp, zehir shell vs • jsp-reverse.jsp, php-backdoor.php, perlcmd.cgi • http://www.wtfchan.org/~evil1/Web-Shellsrev2.pdf
R57 Shell
• Video..
Dünyadan Örnekler
Meşhur Türk Hackerlar(?)
Apache Projesi
SQLi 
Baidu.com •Neden? •Nasıl?
Intel.com •Neden? •Nasıl?
CNN & Facebook
American Airlines •Neden? •Nasıl?
Türkiye’den Örnekler...
Wordpress Türkiye Söylentilere göre 15.000 web sayfası bu ele geçirme olayından etkilendi! •Neden? •Nasıl?
Alınacak Dersler • Web açıklıkları basit ama etkili açıklıklardır • Güvenlikte zaafiyetin riski bulunduğu yere göre değişir – Basit(!) bir XSS açıklığı tüm sistemlerinizin ele geçirilmesine neden olabilir • İnsan faktörü hala güvenlik zincirinin en zayıf halkası – Sektörün devamı için şart  • Zaafiyeti analiz edip yayınlamak erdemdir
Web Sunuculara Yönelik DOS Saldırıları • Ya benimsin ya toprağın mantığı • Bilgi güvenliğini tam anlayamamış kurumların dikkat etmedikleri bir konu • Web uygulamaları&sunucuları en kritik bileşenlerdir – Online bankacılık sitesi çalışmayan bir bankanın zararı? – Onlien oyunlar? E-ticaret siteleri? • Diğer DDOS saldırılarına oranla çok daha kolaydır – Aynı şekilde engellemesi de kolaydır • Spoof edilmiş ip adreslerinden yapılamaz – HTTP isteği için TCP’de üçlü el sıkışma tamamlanması gerekir
HTTP ve TCP ilişkisi • HTTP TCP kullanan bir protokoldür. – Her HTTP bağlantısı öncesinde mutlaka TCP bağlantısı kurulmalıdır • Basit bir hesapla her HTTP bağlantısı için ortalama 10 adet TCP paketi gerekir(3 adet TCP bağlantı başlangıcı, 4 adet TCP bağlantı koparılması, 2-3 adet de HTTP isteği ve buna dönecek cevap paketlerinin taşındığı TCP paketleri). • Günümüzde normal bir haber portalının yüklenmesi için ortalama 40-50 HTTP GET isteği gönderilmektedir – Portal sayfasının açılması için ortalama 50X10=500 TCP paketinin gidip gelmesi gerekir
Klasik HTTP oturumu • Her HTTP bağlantısı için TCP bağlantısı gerekir.
HTTP KeepAlive • HTTP KeepAlive(persistent connection): her HTTP isteği için ayrı bir TCP bağlantısı açmak yerine bir adet TCP bağlantısı içerisinden belirli sayıda (5, 10, ..) HTTP isteğinin aktarılabilmesini sağlar.
Http Pipelining • Pipelining http isteklerinin eş zamanlı olarak gönderilmesi işlemidir(KeepAlive ile karıştırılır) • Klasik http bağlantılarında önce istek gönderilir, cevap beklenir, sonra tekrar istek gönderilir, cevabı beklenir • Pipelining kullanıldığında cevapları beklemeksizin birden fazla http isteği eş zamanlı olarak gönderilebilir • KeepAlive özelliği kullanılarak her istek için ek bir TCP bağlantısı açılmaz.
Web Sunuculara Yönelik DOS Saldırıları • Amaç sayfanın işlevsiz kalması ve o sayfa üzerinden verilen hizmetlerin kesintiye uğratılmasıdır. • Web sunuculara yönelik yapılacak DOS saldırıları temelde iki türden oluşur; – Kaba kuvvet saldırıları (Flood) – Tasarımsal/yazılımsal eksikliklerden kaynaklanan zaafiyetler
Kaba kuvvet DOS/DDOS Saldırıları • Literatürde adı “GET Flood”, “POST Flood” olarak geçer • Eş zamanlı olarak binlerce istek gönderilir ve sunucunun kapasitesi zorlanır. • İstekler tek bir ip adresinden gönderilebilir – Bir IP adresinden saniyede 1000 HTTP isteği gönderilebilir • İstekler bir botnet kullanılarak binlerce ip adresinden gönderilebilir
Web Uygulama Güvenliği Testleri Netsparker
Türkçe Web Güvenliği Kaynağı:OWASP Türkiye
www.lifeoverip.net/netsec-listesi/
Sonuç • İnsan faktörü hala güvenlikteki en büyük sıkıntı! • Web uygulama geliştirme süreci standartlara bağlandıkça ve diller daha güvenli yazılım geliştirmeye olanak verene kadar tehdit sıralamasında en üstlerde yer almaya devam edecek • Güvenliği hafife almamak, işi ehline bırakmak gerekir • Herkes kendi payına düşen güvenlik miktarını bilmeli
Teşekkürler...

More Related Content

Web Uygulama Güven(siz)liği

  • 1. Web Uygulama Güven(siz)liği 2.0 Huzeyfe ÖNAL Bilgi Güvenliği AKADEMİSİ http://www.bga.com.tr honal@bga.com.tr Güvenlik lüks değil, gereksinimdir!
  • 2. Ben Kimim? • • • • Kıdemli bilgi güvenliği uzmanı (İş hayatı) Ağ güvenliği araştırmacısı/uzmanı/. (Gerçek hayat) Özgür yazılım destekçisi Bilgi Güvenliği AKADEMİSİ güvenlik eğitmeni – www.bga.com.tr • Blogger – www.lifeoverip.net
  • 3. Ajanda • Siber dünyada web uygulamaları • Neden web uygulama güven(siz)liği? • Web uygulamalarında güvenliği etkileyen bileşenler • Türkiye ve dünyadan web uygulama güven(siz)liği örnekleri • Güvenlik dünyası ve web uygulamalarına bakışı • Hacker(medya) camiası ve web uygulamalarına bakışı • Günün sonunda kazanan kim? Skor tablosu
  • 4. İşleyiş • Sıcak bir yaz akşamına uygun... • Teknik detaylara boğmadan, uygulama güvenliğine yazılımcı olmayan birinin bakış açısı ve tecrübeleri...
  • 5. Siber Dünyada Web • Web uygulamaları günümüzü ve geleceğimizi kuşatmış durumda – Müzik dinleme:last.fm, fizy.org – Ofis Belgeleri için:Google Docs – Resim işleme amaçlı:Google Picasa, flickr – (A)Sosyal Hayat: Facebook, Friendfeed, twitter – Alışveriş, Para işleri:Paypal.com, online alışveriş siteleri – İletişim:E-posta->Webmail hizmetleri – Oyun: Online oyunlar... – Televizyon: IP TV uygulamaları • Yakın gelecekte web tabanlı işletim sistemleri...
  • 6. Web’i Tanıyalım • Web denilince artık akla iki üç sayfalık html+javascript karışımı sayfalar gelmiyor • Web Uygulama Bileşenleri – Statik sayfalar • HTML – Dinamik sayfalar • CGI, ASP, PHP, Perl, Asp.net, JSP – Veritabanı • Mysql, MsSQL, Oracle, Sybase – Web servisleri – Kullanıcı browserları – Diğer bileşenler... • Ajax vs
  • 7. Geleneksel Güvenlik Yaklaşımı • Henüz OSI 4. katmandan yukarı çıkamamıştır • Network, işletim sistemi ve servis güvenliği • Router(ACL), Firewall – Intrusion Detection System • Intrusion Prevention System » .... • Ağırlık koruma tarafı için ayrılır – Güvenlikcilerin çogu yeni saldırı yöntemlerinden habersizdir • Web güvenliği tarihçesi – 2000~ web uygulamalarının yaygınlaşması – 2005~ Web uygulama güvenliği – 2009-2013 Web güvenliği altın çağı 
  • 10. Neden Uygulama/WEB Güvenliği? • Web=Giriş kapısı • Sınır güvenliğinin en zayıf noktalarından • Güvenlikte en büyük problem: çözümü başka yerde aramak! – IPS ile spesifik uygulamalara yönelik atakları engellemeye çalışma – Çözüm kendi içinde  • Hizmet veren herşey bir yazılımdır • Problemi temelinden çözmek varken....
  • 11. Neden Web Güvenliği-II Hacking Stage 6 — Wikipedia, Feb 9 2007
  • 12. Uygulama Güvenliği Tanımı • Yazılım geliştiriciler en kısa sürede ortaya ürün çıkarma peşindeler. • Guvenlik uzmanları yoğunlukla altyapı güvenliğine yönelmişlerdir • Uygulama Güvenliği: Üretilen yazılımın fonksiyonlarını yitirmeden güvenli bir şekilde geliştirilmesini sağlama.
  • 13. Uygulama Güvenliği Sorunları • Güvenli kod geliştirme için oturmuş bir standart yok • Yazılım geliştirme süreçlerinde güvenlik bileşeni unutulur • Geliştirme dilleri hala büyük açıklıklar içerebiliyor • Denetim eksikliği – Güncellenen kodlar daha farklı açıklıklar içerebiliyor. • Geliştiriciler üzerinde ciddi baskılar var – Gelişim sürecinde güvenlik için ek zaman düşünülmez – Yeterli eğitim/bilinç(güvenlik açısından) eksik
  • 15. Hacker / Güvenlik Uzmanı • Güvenlik uzmanları prosedürel hareket ettiği için hackerlara göre bir adım geriden gelir. • Güvenlik uzmanları için koruma bir meslek, hackerlar için bu korumaları aşmak bir zevktir. • Hacker için bilgi güvenliği diye bir kavram yoktur, sadece aşılması gereken engel vardır! • Hackerların mesaisi, sayısı ve motivasyonu farklıdır... – Siber dünyada gece gündüz kavramları yoktur – 7/24 mesai yaparlar! • Örnek: Wordpress açıklığı
  • 16. Bakış Açısı • Her iki dünyanın kendine özgü bakış açısı vardır • Bakış açısı örnekleri...
  • 17. BA-I:User-Agent Kontrolünü Aşma EFT Ücreti:2.5 TL WAP üzerinden yapılan EFT’lerde ücret alınmıyor. Firefox plugini kullanarak UserAgent mobil cihaz gibi gösterilip WAP sayfasından ücretsiz EFT işlemi yapılabilir Nasıl engellenebilir?
  • 19. Web Uygulamalarının Güvensizliği • Web uygulamalarında amaç herkese hizmet verebilmektir – Internette en fazla açık port 80/443’tür • Uygulama geliştirme için bir standart henüz yerleşmediği için yazılımı geliştirenler kolay hata yapabilir • Web uygulamalarında yapılan hatalar daha fazla dikkat çeker ve saldırıya açıktır • Birilerinin sizi takip etmesine gerek yok – Google üzerinden aramalarla sayfalarınız hacklenebilir
  • 20. Web Uygulamalarının Güvensizliği-II • Koruma amaçlı geliştirilen yazılımlar stabil değil – Fazla müdahele istiyor(WAF sistemleri) • Geliştirme aşamalarında güvenlik önemsenmiyor • Üst yönetim Web’i 10 sene önceki haliyle biliyor – Web = bizi tanıtan sayfa • Güvenlikcilerin çoğu web/uygulama dünyasına yabancı
  • 21. Sık Rastlanan Web Açıklıkları Owasp Top10 -2010
  • 22. Açıklık Arama Yöntemleri • Google’dan önce, Google’dan sonra olmak üzere ikiye ayrılır • Eski yöntem: Site bulunur üzerinde açıklık aranır • Yeni yöntemler: Açıklık belirlenir, Google vs üzerinden hangi sitelerde açıklık olduğu otomatik belirlenir!
  • 24. Google Üzerinden Hazır Sistem Bulma c99 shell arama
  • 27. Basit (!) Bir Web Zaafiyeti Nelere Yol Açabilir? Video
  • 28. Web Shell • Hacklenen sunucuları daha kolay yönetmek için yazılmış web uygulamalarıdır • Her dil için özel yazılmış web shell bulunmaktadır – Asp shell, php shell, jsp shell, perl shell vs • Hackerların işini oldukça kolaylaştırır, birçok işi otomatikleştirir • Detay Linux/UNIX bilgisi gerektirmez, birden fazla siteyi aynı anda deface etmeye yarar, kolaylıkla yakalanmaz(IPS’ler tarafından). • Bypass özellikleri vardır
  • 29. Sık kullanılan Shell isimleri • R57, c99, cmd.asp, zehir shell vs • jsp-reverse.jsp, php-backdoor.php, perlcmd.cgi • http://www.wtfchan.org/~evil1/Web-Shellsrev2.pdf
  • 41. Wordpress Türkiye Söylentilere göre 15.000 web sayfası bu ele geçirme olayından etkilendi! •Neden? •Nasıl?
  • 42. Alınacak Dersler • Web açıklıkları basit ama etkili açıklıklardır • Güvenlikte zaafiyetin riski bulunduğu yere göre değişir – Basit(!) bir XSS açıklığı tüm sistemlerinizin ele geçirilmesine neden olabilir • İnsan faktörü hala güvenlik zincirinin en zayıf halkası – Sektörün devamı için şart  • Zaafiyeti analiz edip yayınlamak erdemdir
  • 43. Web Sunuculara Yönelik DOS Saldırıları • Ya benimsin ya toprağın mantığı • Bilgi güvenliğini tam anlayamamış kurumların dikkat etmedikleri bir konu • Web uygulamaları&sunucuları en kritik bileşenlerdir – Online bankacılık sitesi çalışmayan bir bankanın zararı? – Onlien oyunlar? E-ticaret siteleri? • Diğer DDOS saldırılarına oranla çok daha kolaydır – Aynı şekilde engellemesi de kolaydır • Spoof edilmiş ip adreslerinden yapılamaz – HTTP isteği için TCP’de üçlü el sıkışma tamamlanması gerekir
  • 44. HTTP ve TCP ilişkisi • HTTP TCP kullanan bir protokoldür. – Her HTTP bağlantısı öncesinde mutlaka TCP bağlantısı kurulmalıdır • Basit bir hesapla her HTTP bağlantısı için ortalama 10 adet TCP paketi gerekir(3 adet TCP bağlantı başlangıcı, 4 adet TCP bağlantı koparılması, 2-3 adet de HTTP isteği ve buna dönecek cevap paketlerinin taşındığı TCP paketleri). • Günümüzde normal bir haber portalının yüklenmesi için ortalama 40-50 HTTP GET isteği gönderilmektedir – Portal sayfasının açılması için ortalama 50X10=500 TCP paketinin gidip gelmesi gerekir
  • 45. Klasik HTTP oturumu • Her HTTP bağlantısı için TCP bağlantısı gerekir.
  • 46. HTTP KeepAlive • HTTP KeepAlive(persistent connection): her HTTP isteği için ayrı bir TCP bağlantısı açmak yerine bir adet TCP bağlantısı içerisinden belirli sayıda (5, 10, ..) HTTP isteğinin aktarılabilmesini sağlar.
  • 47. Http Pipelining • Pipelining http isteklerinin eş zamanlı olarak gönderilmesi işlemidir(KeepAlive ile karıştırılır) • Klasik http bağlantılarında önce istek gönderilir, cevap beklenir, sonra tekrar istek gönderilir, cevabı beklenir • Pipelining kullanıldığında cevapları beklemeksizin birden fazla http isteği eş zamanlı olarak gönderilebilir • KeepAlive özelliği kullanılarak her istek için ek bir TCP bağlantısı açılmaz.
  • 48. Web Sunuculara Yönelik DOS Saldırıları • Amaç sayfanın işlevsiz kalması ve o sayfa üzerinden verilen hizmetlerin kesintiye uğratılmasıdır. • Web sunuculara yönelik yapılacak DOS saldırıları temelde iki türden oluşur; – Kaba kuvvet saldırıları (Flood) – Tasarımsal/yazılımsal eksikliklerden kaynaklanan zaafiyetler
  • 49. Kaba kuvvet DOS/DDOS Saldırıları • Literatürde adı “GET Flood”, “POST Flood” olarak geçer • Eş zamanlı olarak binlerce istek gönderilir ve sunucunun kapasitesi zorlanır. • İstekler tek bir ip adresinden gönderilebilir – Bir IP adresinden saniyede 1000 HTTP isteği gönderilebilir • İstekler bir botnet kullanılarak binlerce ip adresinden gönderilebilir
  • 50. Web Uygulama Güvenliği Testleri Netsparker
  • 51. Türkçe Web Güvenliği Kaynağı:OWASP Türkiye
  • 53. Sonuç • İnsan faktörü hala güvenlikteki en büyük sıkıntı! • Web uygulama geliştirme süreci standartlara bağlandıkça ve diller daha güvenli yazılım geliştirmeye olanak verene kadar tehdit sıralamasında en üstlerde yer almaya devam edecek • Güvenliği hafife almamak, işi ehline bırakmak gerekir • Herkes kendi payına düşen güvenlik miktarını bilmeli