Upload
oguzcan-pamuk
View
324
Download
14
Embed Size (px)
Citation preview
OĞUZCAN PAMUK
SALDIRI TİPLERİ VE LOG ANALİZİ
AJANDA
▸ Log nedir ?
▸ Log tutma amaçları nelerdir ?
▸ Log türlerinden örnekler
▸ SIEM nedir ? Örnek bir SIEM incelemesi - Splunk
▸ Saldırı türleri ve log analizleri
▸ BWAPP
▸ Yarışma - Log analizi
LOG NEDİR ?
▸ Sistem üzerindeki aktivitelerin kaydı olarak ifade edilebilir.
▸ Bir olayı aydınlatmak amacıyla ihtiyaç duyulan hareketlerin bütünüdür.
▸ Amaçları ;
Güvenlik
Hata giderme
Performans
Denetim
LOG TÜRLERİNDEN ÖRNEKLER
▸ Uygulama logları
▸ Erişim logları
▸ Web servis logları
▸ İşletim sistemi logları
LOG ÖRNEKLERİ - WİNDOWS EVENT VIEWER
▸ Windows işletim sistemi üzerindeki aktiviteleri takip edebileceğimiz uygulamadır.
▸ Application , Security , Systems logları ve detayları
LOG ÖRNEKLERİ - GMAIL ERISIM LOGLARI
▸ Hani ip adresinden, hangi tarihte , hangi tarayıcı üzerinden erişildiğini gösteren etkinlik geçmişi.
SIEM - SECURITY INFORMATION AND EVENT MANAGEMENT
▸ Farklı yazılım ve donanım loglarının aynı formatta ve tek bir merkezde tutulmasını sağlayan yazılım/donanım çözümüdür.
▸ Yetenekleri ;
Log toplama
Birleştirme
Korelasyon
Olay analizi
Aksiyon alma
SIEM - SECURITY INFORMATION AND EVENT MANAGEMENT
▸ SIEM tek başına güvenlik sağlamaz!
▸ SIEM ile her şeyin değil , ihtiyaç duyulan logların alınması gerekmektedir.
▸ Logları almak güvenlik için yeterli değildir. Kurallar yazılarak etkin kullanım sağlanmalıdır.
ÖRNEK BİR SIEM İNCELEMESİ - SPLUNK
SPLUNK - ÖRNEK
SPLUNK - ÖRNEK
SPLUNK - ÖRNEK
LOG INCELEME - PORT TARAMA
▸ Port tarama ; hedefe TCP yada UDP paketleri gönderip portun durumunu sorgulama işlemidir.
▸ Basit port tarama örnek :
nmap 192.168.1.36 -sS
‣ Örnek log kaydını inceleyelim.
LOG INCELEME - PORT TARAMA
LOG KAYNAKLARINI KULLANARAK MANTIKSAL KURAL YAZIMI
▸ Amaç ; anormallikleri gerçek zamanda tespit edebilmek.
▸ Örnek, windows event viewer üzerinden yanlış şifre denemeleri.
Tartışalım ?
SALDIRI TİPLERİ VE LOG ANALİZİ
BWAPP
▸ Atak tiplerini denemeye olanak sağlayan ücretsiz bir uygulama
▸ 100 farklı zafiyet barındırmaktadır.
▸ SQL Injection , Cross Site Scripting , DOS , vb.
SQL INJECTION
▸ Kayıtlı olmayan kullanıcı ile login olmayı deneyelim
SQL INJECTION
▸ Kullanıcı bilgilerinin yerine, '=' 'or' ifadesini yazıyoruz
SQL INJECTION
▸ 192.168.1.21/bWAPP/sqli_1.php?title=null' union select 1,2,3,4,5,6,7-- -
SQL INJECTION
▸ User - Password bilgisi elde edilebilir mi ? Nasıl ?
▸ Tartışalım.
REMOTE / LOCAL FILE INCLUSION
▸ http://192.168.1.21/bWAPP/rlfi.php?language=/etc/passwd
▸ http://192.168.1.21/bWAPP/rlfi.php?language=http://www.oguzpamuk.com/hakkimda/
OS COMMAND INJECTION
▸ www.nsa.gov; cat /etc/passwd
YARIŞMA
TEŞEKKÜRLER