içindekiler

İÇİNDEKİLER
V
İÇİNDEKİLER
KO
D
LA
B
1 WEB UYGULAMALARI GÜVENLİĞİ 1
Başlangıç 1
Bug Researcher Nedir? 3
İyi Niyetli Bug Researcher 3
Kötü Niyetli Bug Researcher 3
Bug Researcher ve Güvenlik Açıkları 4
HTTP Nedir? 4
Nasıl Çalışır? 5
HTTPS Kullanmanın Önemi 6
Neden HTTPS? 6
Web Uygulamaları Güvenliği Açığı 6
SQL Injection 7
SQL Injection Güvenlik 10
GET ve POST Metotları 12
Veri Filtreleme 13
Yetki Ayarları 14
Kodlama 15
Optimizasyon 15
Bilmeniz Gerekenler 15
Cross Site Scripting (XSS) 16
Cross Site Scripting ve Güvenlik 18
Filtreleme 18
Foreach Döngüsü 20
HTML Purifier 21
HTML Encoding 23
JavaScript Encoding 25
JavaScript Encoding Hakkında 26
Cross Site Scripting ve HTML Injection 26
Cross Site Reference Forgery 27
Exploit 29
Post Security 29
SIBER_GUVENLIK_ICINDEKILER.indd 5
17.09.2013 10:44
VI
AĞ VE YAZILIM GÜVENLİĞİ
KO
D
LA
B
Referer Security 31
Open Source Security 32
Remote File Include 34
Shell Nedir? 34
C99 35
Saldırı Senaryosu 36
Remote File Include ve Güvenlik 37
GET ve POST Metotları 37
Chmod Settings 46
Warez Yazılımlar 47
Php Ayarları 48
Safe Mode 48
Register Globals 48
Allow_Url_Fopen 49
Dısplay_Errors 49
Cgi.Force_Redirect 49
Magic_Quotes_Gpc 50
Magic_Quotes_Runtime 50
Hizmet Aksatma Yöntemleri 50
Nasıl Çalışır? 50
Distributed Denial of Service (DDOS) 51
DDOS Data Line 51
DDOS ve DNS 52
DNS Paket Boyutu 52
DNS Kayıtları 53
DNS Sorgulamaları 53
DNS Sorgu Çeşitleri 56
Recursive DNS Sorgulamaları 56
Iterative DNS Sorgulamaları 56
N-Map Kullanımı 57
DNS Paket 57
Amplified DNS Saldırısı 59
Brute Force 59
SIBER_GUVENLIK_ICINDEKILER.indd 6
17.09.2013 10:44
İÇİNDEKİLER
VII
KO
D
LA
B
Korunma Yöntemi 60
Sessıon Hijacking 61
Session Security 62
Metasploit Framework 63
Malzemeler 63
Sistem Gereksinimleri 63
Kurulum Öncesi Servisler 63
Msfconsole 64
Help 64
Tab Tuş Kombinasyonu 65
Show 66
Search 69
Info 69
Use 69
Connect 70
Set 70
Değişkenler 70
Run 71
Back 71
Resource 72
Irb 72
Msfcli 72
The Dradis Framework 74
Port Scanning 74
Metasploit Ve MsSQL 77
Service 78
Password Sniffing 81
Kriptoloji 82
Nasıl Çalışır? 83
Simetrik Anahtar Algoritmaları 83
Asimetrik Anahtar Algoritmaları 83
Açık Anahtarlı Kriptografi 84
Sosyal Mühendislik (Social Engineering) 84
SIBER_GUVENLIK_ICINDEKILER.indd 7
17.09.2013 10:44
VIII
AĞ VE YAZILIM GÜVENLİĞİ
85
87
87
88
88
89
89
90
LA
B
Senaryolar Kurmak (Pretexting) İkna Etmek İçin Güvenli Olduğunu Karşı Tarafa Göstermek (Phising) Web & Mobil Uygulamalarda Sosyal Mühendislik Web Uygulamalarında Sosyal Mühendislik Mobil Uygulamalarda Sosyal Mühendislik Ethical Hacker ve Sosyal Mühendislik PhpMyAdmin Güvenliği KO
D
2 NETWORK GÜVENLİĞİ 91
Network Nedir? 91
Yerel Alan Ağları (LAN) 92
Geniş Alan Ağları (WLAN) 93
Özel Sanal Ağlar (VPN) 94
VPN Bağlantıları 94
Remote Access VPN 95
Intranet VPN 95
ExtraNET VPN 95
Özel Sanal Ağ Tüneli 96
Lan to Lan 96
İstemci to LAN 96
Özel Sanal Ağ Protokolleri 97
Point to Point Tunnelling Protocol 97
Layer 2 Tunnelling Protocol 97
Layer 2 Forwarding 97
Özel Sanal Ağ Güvenliği 98
Kimlik Doğrulama 98
Kullanıcı Tabanlı Kimlik Doğrulama 98
Makine Tabanlı Kimlik Doğrulama 98
Yetkilendirme 98
Ağlar Arası İletişim 99
Seri İletişim 99
Paralel İletişim 99
Ağ Topolojileri 99
SIBER_GUVENLIK_ICINDEKILER.indd 8
17.09.2013 10:44
İÇİNDEKİLER
IX
KO
D
LA
B
Bus Topoloji (Yol Topoloji) 99
Star Topoloji (Yıldız Topoloji) 100
Tree Topoloji (Ağaç Topoloji) 101
Ring Topoloji (Halka Topoloji) 101
Kablolu Bağlantı 101
Ethernet Kartı 102
Kablosuz Bağlantı 102
Çalışma Sistemi 102
Windows Ağ Güvenliği 103
Linux Ağ Güvenliği 105
Firewall (Güvenlik Duvarı) 105
Firewall Paketlere Hangi Seviyeye Kadar Müdahale Eder? 106
Güvenlik Duvarı Çeşitleri 106
Yapılarına Göre Güvenlik Duvarları 106
Donanımsal Güvenlik Duvarları 106
Yazılımsal Güvenlik Duvarları 107
Mimarilerine Göre Güvenlik Duvarları 107
Proxy Destekli Güvenlik Duvarları 107
Devre Seviyesi 108
Statik Paket Filtreleme 108
Dinamik Paket Filtreleme 109
Network Adress Translation (NAT) 109
NAT Çeşitleri 110
Static (Sabit) NAT 110
Dynamic (Değişken) NAT 110
Packet Filtering 111
IDS 112
IPS 112
HTTPS Kavramı 113
SSL Kavramı 113
NIDS Nedir? 113
MAC Nedir? 114
Kablosuz Ağlarda Temel Güvenlik 114
SIBER_GUVENLIK_ICINDEKILER.indd 9
17.09.2013 10:44
X
AĞ VE YAZILIM GÜVENLİĞİ
KO
D
LA
B
Halka Açık Kablosuz Ağlarda Tehlikeler 115
Nasıl Sızarlar? 115
Erişimleri Ne Şekilde Olur? 115
Önlem Nasıl Alınır? 115
BackTrack İşletim Sistemi 115
Domain Name System (DNS) 116
TCP/IP Protokolü 116
TCP/IP Mimarisi 117
IPV4 Nedir? 118
IPV6 Nedir? 118
OSSEC Nedir? 119
OSSEC Kurulumu 120
Linux Ortamda OSSEC Kurulumu 120
Windows Ortamda OSSEC Kurulumu 121
Snort Saldırı Tespit Sistemi 123
Snort Bileşenleri 123
Anti Sansür Programları ve Network 124
Ağ Paylaşımları 125
pfSense 126
pfSense’yi Temin Etme 126
pfSense Kurulumu 126
pfSense Temel Ayarları 128
CISCO 129
Giriş 129
Katmanlı Yaklaşım 129
OSI Modeli 129
Katman (Layer) 130
Katmanların Kendi Aralarındaki İlişkisi 132
Application Layer 132
Presentation Layer 133
Session Layer 133
Transport Layer 133
Connection-Oriented Protocol 134
SIBER_GUVENLIK_ICINDEKILER.indd 10
17.09.2013 10:44
İÇİNDEKİLER
XI
LA
B
Network Layer 134
Data Link Layer 135
Switch ve Bridge’s 135
Physical Layer 136
Ağ İzleme Uygulamaları 136
TCPDUMP 136
dSniff 139
Public Key Infrastructure 140
Network Port Open/Close 140
Network Proxy 145
DNS Protocol 146
Secure Shell (SSH) 147
Şifreleme 147
Bütünlük 147
Kimlik Doğrulama 147
SSH Komutları 148
KO
D
3 SUNUCU GÜVENLİĞİ 153
Sunucu Nedir? 153
Linux Sunucu Güvenliği 154
Network 155
Apache SSL 155
Open VPN 156
Anahtarsız OpenVPN 157
Anahtarlı OpenVPN 158
Client to Client IPv4 158
Client to Client IPv6 159
Sektörler ve OpenVPN 159
OpenVPN Hangi Portlarda Çalışır? 160
OpenVPN Kurulumu 160
Certificate Authority Kurulumu 161
Route Mode 164
Bridge Mode 164
GnuPG 165
SIBER_GUVENLIK_ICINDEKILER.indd 11
17.09.2013 10:44
XII
AĞ VE YAZILIM GÜVENLİĞİ
KO
D
LA
B
Güncelleme İşlemleri 165
Kullanıcı Hesapları 166
Root Girişi Kısıtlama 168
Fiziksel Sunucu Güvenliği 168
Parmak İzi Okuyucu 168
Gereksiz Uygulamalar 169
Ağ Portları 169
Linux Uzantıları 169
Yapılandırma Ayarları 170
Linux Kernel 170
Disk Bölümlerine Ayırma 171
Backup System 171
Chmod Settings 172
Idenfity Verificatıon Center 172
FireWall 172
OpenSSH 173
Linux Denial Of Service 174
Linux Server Security 175
Windows Sunucu Güvenliği 175
Network 175
OpenVPN 175
FireWall 177
Gereksiz Servisler 177
Kullanıcı Hesapları 177
Güncelleme İşlemleri 177
Önyükleme ve BIOS Ayarları 178
Backup System 178
Disk Temizleme 178
KVM Nedir? 178
Analog KVM 178
Digital KVM Switch 179
Bulut Bilişim (Cloud Technology) 179
IaaS Layer 179
SIBER_GUVENLIK_ICINDEKILER.indd 12
17.09.2013 10:44
İÇİNDEKİLER
XIII
PaaS Layer 179
SaaS Layer 180
Güvenilirlik 180
cPanel Apache Derlemesi 180
KO
D
LA
B
4 YAZILIM GÜVENLİĞİ 183
Yazılım Nedir? 183
Uygulama Yazılımları 183
Sistem Yazılımları 184
Yazılım Güvenliği 184
Erişilebilirlik 185
Gizlilik 185
Bütünlük 185
Kurtarılabilirlik 185
Arayüz Ekranı 186
Veri Güvenliği 186
Kodlar 187
Odaklanma 188
Yazılım Güvenliği Alanındaki Çalışmalar 188
SDL 188
CLASP 188
Touch Poınts 189
Verileri Şifreleme 189
Reverse Engineering (Tersine Mühendislik) 191
Crack Nedir? 191
Crack Bilgisayarımıza Nasıl Zarar Verir? 191
Crack Nasıl Yapılır? 192
ASSEMBLY 192
Nasıl Korunuruz? 193
Crack ile Kimler Uğraşır? 194
Armadillo 194
Reverse Engineering Software 194
Disassembler 195
W32Dasm 195
SIBER_GUVENLIK_ICINDEKILER.indd 13
17.09.2013 10:44
XIV
AĞ VE YAZILIM GÜVENLİĞİ
Hex Editor 195
HexEdit 195
Debugger 197
Soft Ice 198
Öneri 200
KO
D
LA
B
5 VERİ TABANI GÜVENLİĞİ 201
Veri Tabanı Nedir? 201
Database Management System 201
Relational Database Management System 202
My Structured Query Language (MySQL) 202
Microsoft SQL Server (MsSQL) 203
Microsoft Access 203
Oracle 203
Structured Query Language (SQL) 203
SELECT İfadesi 203
UPDATE İfadesi 205
Delete İfadesi 206
INSERT İfadesi 207
Veri Tabanı Güvenliği 207
Backup 207
Online Depolama 208
Veri Tabanı Sıkıştırması 210
Veri Tabanımıza Parola Koymak 211
Farklı Formatlama 211
Yetkisiz Erişim Yükseltme 214
IPS 214
Oracle Veri Tabanında Güvenlik 214
Katmanlar Arası Güvenlik 215
Erişim 215
Veri Tabanına Erişmek 215
MySQL Veri Tabanı Güvenliği 216
Derleyin 216
Alan Hazırlaması 217
SIBER_GUVENLIK_ICINDEKILER.indd 14
17.09.2013 10:44
İÇİNDEKİLER
XV
Dizinler 217
Açık Portlar 218
Varsayılan Veri Tabanları 218
HTML ve Veri Tabanı 218
Manuel Veri Tabanı Oluşturmak 220
Veri Tabanı Şişmesi 221
KO
D
LA
B
6 UYGULAMALARIN GÜVENLİĞİ 223
Başlamadan Önce 223
Uygulama Geliştirmeden Önce Bilmemiz Gerekenler 224
Güvenliğin Temelleri 226
Uygulama Gizliliği 226
Uygulama Bütünlüğü 227
Uygulama Kullanılabilirliği 227
Öncelik 227
Kullanıcıya Güvenli Olduğumuzu Hissettirmek 228
Bulutun Yararı 228
Giriş 229
CGI Teknolojileri 229
Betik Sistemini Anlamak 229
Kodlama 230
Bilgisayarımızın Güvenliği 231
Data Integrity 234
View 235
Görünüm Oluşturma 235
New View 235
Kimlik Doğrulama 236
Temel ve Özet Kimlik Doğrulama 237
Nesne Tabanlı Kimlik Doğrulama 238
Tümleşik Kimlik Doğrulama 239
Sertifika Tabanlı 239
Kimlik Doğrulama 239
Strong Identify 240
Hangi Aşamada Strong Identify Kullanılabilir? 240
SIBER_GUVENLIK_ICINDEKILER.indd 15
17.09.2013 10:44
XVI
AĞ VE YAZILIM GÜVENLİĞİ
240
241
242
243
243
244
244
246
KO
D
LA
B
Sistemlerde Risk Biometrik Sistemler Güçlü Parolalar Güçlü Kimlik Doğrulamada Oluşabilecek Hatalar Bütünlenmiş Kimlik Doğrulama Whois Çekme İşlemi Domain’e Whois Çekim Bilgisi Ip Adresine Whois Çekim Bilgisi SIBER_GUVENLIK_ICINDEKILER.indd 16
17.09.2013 10:44