Uygulamalı Oturum Korsanlığı

1. Uygulamalı Oturum Korsanlığı Bedirhan URGUN burgun@uekae.tubitak.gov.tr, urgunb@hotmail.com

2. İçerik • Bir web uygulama (Bank of Horizon) • Senaryo • Saldırı • Savunma Web Uygulama Güvenliği - TÜBİTAK UEKAE

3. Uygulama • Bank Of Horizon Internet Bankacılığı DEMO Web Uygulama Güvenliği - TÜBİTAK UEKAE

4. XSS Tip 1 • Yansıtılan XSSve oturum korsanlığı Web Uygulama Güvenliği - TÜBİTAK UEKAE

5. XSS Tip 2 • Depolanmış XSSve oturum korsanlığı Web Uygulama Güvenliği - TÜBİTAK UEKAE

6. XSS Tip 1 ve 2 • Hibrid XSS ve oturum korsanlığı Web Uygulama Güvenliği - TÜBİTAK UEKAE

7. HTTP/1.1 200 OK Host: www.bankhorizon.com Referer: http://www.bankhorizon.com/... TRACE /BankHorizon HTTP/1.1 Host: www.bankhorizon.com Max-Forwards: 0 Date: Thu, 16 Feb 2006 08:36:35 GMT Cookie: JSESSIONID=720041e13b… TRACE /BankHorizon HTTP/1.1 Host: www.bankhorizon.com Content-Length: 0 Cookie: JSESSIONID=720041e13b… XST • HttpOnly’e karşı HTTP TRACE (XST) Web Uygulama Güvenliği - TÜBİTAK UEKAE

8. Bir Web Uygulama Güvenliği Sözlüğü http://sozluk.enderunix.org/webappsec Web Uygulama Güvenliği - TÜBİTAK UEKAE