Guvenli Flash Uygulamalari

33 %
67 %
Information about Guvenli Flash Uygulamalari

Published on August 13, 2008

Author: fmavituna

Source: slideshare.net

Description

Flash Uygulamalarinda Guvenlik

Flash uygulamalarında saldırı ve savunma

Flash Güvenliği konuşacağım   hızlı Şekilde RIA, Web 2.0 ve Güvenlik Crossdomain.xml niye var? Ne yapar? Yenilir mi? İçilir mi? Flash ile ilgili yegane sorun : XSS XSS ve etkileri Flash' a Sald ı r ı Alan ı (attack surface)   Global Parametreler ve   Dışarıdan Yüklenen Dosyalar Same-origin Policy ve Flash Embed etme Yuksek Guvenlik Gerektiren sistemler ve Flash Bugünlük Konuşma Dışı   Sunucu taraflı Flash Güvenliği Flash ile kullanıcıya saldırma Flash' in kendi açıkları

konuşacağım

  hızlı Şekilde RIA, Web 2.0 ve Güvenlik

Crossdomain.xml niye var? Ne yapar? Yenilir mi? İçilir mi?

Flash ile ilgili yegane sorun : XSS

XSS ve etkileri

Flash' a Sald ı r ı Alan ı (attack surface)

  Global Parametreler ve

  Dışarıdan Yüklenen Dosyalar

Same-origin Policy ve Flash Embed etme

Yuksek Guvenlik Gerektiren sistemler ve Flash

Bugünlük Konuşma Dışı  

Sunucu taraflı Flash Güvenliği

Flash ile kullanıcıya saldırma

Flash' in kendi açıkları

RIA, Web 2.0 ve Güvenlik Complexity is the enemy of security Tarayıcılardaki her yeni element yeni bir saldırı noktasıdır AJAX, Silverlight, AIR, Flash, Java, Myspace Upload ActiveX' i bunların hepsi potansiyel sorunlar Ek olarak her yeni teknoloji hatta akim yeni y ö ntemler getirir ve güvenli "best practice" lerin üretilmesi vakit alir.

Complexity is the enemy of security

Tarayıcılardaki her yeni element yeni bir saldırı noktasıdır

AJAX, Silverlight, AIR, Flash, Java, Myspace Upload ActiveX' i bunların hepsi potansiyel sorunlar

Ek olarak her yeni teknoloji hatta akim yeni y ö ntemler getirir ve güvenli "best practice" lerin üretilmesi vakit alir.

Crossdomain.xml ve Same-Origin Policy Same-Origin Policy Neden Cross-domain erişim k ötü bir ş ey? Ö rnekler... Cookie, XMLHTTP Istekleri, Javascript vs. Flash ve Crossdomain.xml

Same-Origin Policy

Neden Cross-domain erişim k ötü bir ş ey?

Ö rnekler...

Cookie, XMLHTTP Istekleri, Javascript vs.

Flash ve Crossdomain.xml

Her Sakall ıyı Hoca sanan Crossdomain.xml dosyas ı <cross-domain-policy>     <allow-access-from domain=&quot;*&quot; secure=&quot;false&quot;/> </cross-domain-policy>

<cross-domain-policy>     <allow-access-from domain=&quot;*&quot; secure=&quot;false&quot;/> </cross-domain-policy>

Demo Crossdomain.xml bilgi çalma demosu http: //e xamplebank.com http://attacker.com/

Crossdomain.xml bilgi çalma demosu

http: //e xamplebank.com

http://attacker.com/

XSS Nedir? “ XSS (Cross-site Scripting) aracılığı ile bir oturum tamamen ele geçirilebilir ve kurbanın yapabileceği her şey yapılabilir”   Flash uygulamalarinin sunucu tarafinda calismadigini hesaba katinca Flash ile ilgili direk yegane sorun XSS olarak kaliyor.

“ XSS (Cross-site Scripting) aracılığı ile bir oturum tamamen ele geçirilebilir ve kurbanın yapabileceği her şey yapılabilir”

 

Flash uygulamalarinin sunucu tarafinda calismadigini hesaba katinca Flash ile ilgili direk yegane sorun XSS olarak kaliyor.

XSS Tunnelling? “ XSS (Cross-site Scripting) ile IP adresi ve VPN vs. gibi güvenlik önlemlerinin geçilebilmesi.

“ XSS (Cross-site Scripting) ile IP adresi ve VPN vs. gibi güvenlik önlemlerinin geçilebilmesi.

Flash Sald ı r ı Alan ı Global Parametreler Flashvars Querystring LoadVars Konfig ü rasyon Dosyalar ı Dinamik yüklenen Flash dosyalar ı

Global Parametreler

Flashvars

Querystring

LoadVars

Konfig ü rasyon Dosyalar ı

Dinamik yüklenen Flash dosyalar ı

Global Parametre Modifikasyonu Kimler global parameter _root. _global. _level0.

Kimler global parameter

_root.

_global.

_level0.

Flash Embedding Allowscriptaccess parametresi ile domaini limitleyin ya da “noaccess”

Allowscriptaccess parametresi ile domaini limitleyin ya da “noaccess”

getURL() getURL sorunları getURL( “ javascript: alert(1)” )

getURL sorunları

getURL( “ javascript: alert(1)” )

HTML Text Area Text alanlarında HTML geçerli ise ve data dinamik yükleniyorsa http://attacker.com/XSS/riaac3.swf?_Ghtml=<img%20src=&quot;javascript:alert(1)//.jpg&quot;>

Text alanlarında HTML geçerli ise ve data dinamik yükleniyorsa

http://attacker.com/XSS/riaac3.swf?_Ghtml=<img%20src=&quot;javascript:alert(1)//.jpg&quot;>

LoadClip, xml.load Kaynaklar güvenli mi? Konfigürsayon dosyalarını yükleme ve kontrol etme

Kaynaklar güvenli mi?

Konfigürsayon dosyalarını yükleme ve kontrol etme

Yüksek Güvenlik Gereken Sistemlerde Flash Neden sorun olabilir, Saldırı bölgesini yükselmesi

Neden sorun olabilir,

Saldırı bölgesini yükselmesi

Toparlayalım Dışarıdan flash dosyası embed ederken script erişimi kapatılmalı

Dışarıdan flash dosyası embed ederken script erişimi kapatılmalı

Toparlayalım Yüklenen konfigürasyon dosyaları sadece aynı domaininden yüklendiğinden emin olunması Dışarıdan yüklenen video ve kaynakları sadece aynı domaininden yüklendiğinden emin olunması

Yüklenen konfigürasyon dosyaları sadece aynı domaininden yüklendiğinden emin olunması

Dışarıdan yüklenen video ve kaynakları sadece aynı domaininden yüklendiğinden emin olunması

Toparlayalım Htmltext kullanılırken yüklenen datanın güvenli bir yerden geldiğinden emin olunması veya datanın encode edilmesi

Htmltext kullanılırken yüklenen datanın güvenli bir yerden geldiğinden emin olunması veya datanın encode edilmesi

Kaynaklar ve Araçlar Flashsec Wiki OWASP – Finding Vulnerabilities in Flash Applications SWFIntruder Flare ve benzeri decompilerlar

Flashsec Wiki

OWASP – Finding Vulnerabilities in Flash Applications

SWFIntruder

Flare ve benzeri decompilerlar

Teşekkürler...

Add a comment

Related presentations

Related pages

coderwall.com

{"protip":{"public_id":"fjvg2a","title":"Guvenli Flash Uygulamalari","body":"http://www.slideshare.net/slideshow/embed_code/552959","html":"u003cpu003e ...
Read more

Arkadaşlık Uygulamaları Ne Kadar Güvenli? - Haberler ...

Adobe Flash Player (63) indir. UEFA EURO 2016 (63) indir. Transformers: Earth Wars (63) indir. Alfabetik Karagöz (63) indir. Alfabetik Karagöz (63) indir.
Read more

En Güvenli Mesajlaşma Uygulamaları

Google, Adobe Flash’ın fişini çekti. Düşenin dostu olmazmış” sözünün bu seferki muhatabı Adobe ... ...
Read more

Güvenli Şifreleme İle sunulan Mesaj ve Sohbet Uygulamaları ...

The Flash 2. Sezon 23. Bölüm izle (Fragman) 23 Mayıs 2016. Fear The Walking Dead 2. Sezon 8. Bölüm Fragman ...
Read more

Android için En İyi VPN Uygulamaları – Teknoloji Dolabı

İnternetin çok büyük bir bölümüne hemen hemen her cihaz ile erişmek mümkün. Peki normalde, internet sağlayıcınızın izin vermediği sitelere ...
Read more

İnndir - Programları ücretsiz İndir

Flash Oyunlar Ücretsiz Programlar Mobil Uygulamalar Teknoloji Haberleri Forum Gönder. Son 24 Saat. 0 program güncellendi; 0 yeni program eklendi; 1 üye ...
Read more

En Çok İndirilen Windows Programları - Tam indir

En Çok İndirilen Windows Programlarının başında Google Chrome 51.0.2704.106, Yandex Browser 16.6.0.8153, Avast Free Antivirus bulunuyor ve ücretsiz ...
Read more

Arkadaşlık uygulamaları ne kadar güvenli?

IBM araştırmacılarına göre popüler mobil arkadaşlık uygulamalarının yüzde 60ından fazlası kişisel kullanıcı bilgilerini ve kurumsal ...
Read more