Güvenlik Uzmanlarının Test Keçisi, WebGoat 5.1!

Web tasarım, Web Programlama ve script dilleri konuları buraya
Cevapla
Kullanıcı avatarı
velociraptor
Yottabyte3
Yottabyte3
Mesajlar: 28046
Kayıt: 14 Mar 2006, 02:33
cinsiyet: Erkek

Güvenlik Uzmanlarının Test Keçisi, WebGoat 5.1!

Mesaj gönderen velociraptor » 10 Haz 2008, 02:09

Web Goat Nedir?

WebGoat OWASP (Open Web Application Security Project) tarafından gelistirilen , kastılı olarak yüzlerce açık içeren J2EE platformunda yazılmıs olan, web uygulamarındaki açıkları kendi kendize ögrenebileceginiz güvenlik test yazılımıdır. Yazılımın odak noktasında web uygulamaları yer almaktadır. Çesitli kategorileride ki dersler ile güvenlik uzmanlarına yada web uygulaması gelistirenlere; ilgili açıgı anlayabilme, çözebilme ve exploit edebilme yetenekleri kazandırmak amacındadır.

Örnek olarak SQLInjection açıgı kullanarak sahte kredi kartı bilgileri ile alısveris yapmanız istenmektedir. Bu asamada sistemdeki form bilgilerini SQLInjection yöntemi ile atlatıp exploit edebilmeniz gerekmektedir. Eger basarıya ulasırsanız bir sonraki teste yönlendirilmekte ve her geçtiginiz test için puan almaktasınız.

WebGoat içerisinde yer alan testlerini tamamı basarı ile tamamlayan kisiler bu konuda ciddi bir deyeim ve bilgi birikimine sahip olmus olcagından ilerde yapacagı denetimlerde, uygulamalarda güvenlik risklerinide minimum düzeyde tutabilmeyi hedeflemis olacaktır.

Temel olarak asagıdaki konularda ( her geçen gün artan açıklara paralel olarak güncellenmektedir) testler içermektedir :

· Cross Site Scripting
· Access Control
· Thread Safety
· Hidden Form Field Manipulation
· Parameter Manipulation
· Weak Session Cookies
· Blind SQL Injectioni
· Numeric SQL Injection
· String SQL Injection
· Web Services
· Fail Open Authentication
· Dangers of HTML Comments

WebGoat’ı Kimler Kullanabilir ?

Öncelikle web tabanlı uygulama gelistirenler, web tabanlı yazılım güvenligi ile ugrasanlar, kendi sitesini kurup yönetenler, sistem güvenlik uzmanları veya bu konuya ilgi duyan ve temel düzeyde bilgisi olan herkes WebGoat’ı kurup testleri çözebilir.

WebGoat’a Kendimizde Dersler Ekleyebilir miyiz?
Evet WebGoat’ın böyle bir destegi var. OWASP’ın sitesinde nasıl ders yazılacagı ile ilgili detaylı dokümanlara ulasabilirsiniz.

Nereden İndirebilirim?

Kurulum dosyasını Google Code arsivinden :

http://code.google.com/p/webgoat/downloads/list

Detaylı bilgiler ve orijinal sitesi :

http://www.owasp.org/index.php/Category ... at_Project

Asagıda WebGoat ile ilgili bir kaç resim görebilirsiniz. Bir sonraki yazımıda WebGoat problemlerinin çözümlerine yer verecegim.

XSS Yöntemi ile bir Phising Saldırısı Yapmamız Bekleniyor :

Resim

ByPass yöntemi ile Alt dizin erisimleri yapmamız isteniyor :

Resim

Session HiJacking yöntemi :

Resim
Knowledge determines destiny, And ye shall know the Truth and the Truth shall make you free



Cevapla