Özgür Web Teknolojileri Günleri 2016 Sunum Dosyaları
Linux Kullanıcıları Derneği (LKD) ve Boğaziçi Üniversitesi Bilişim Kulübü (Compec) tarafından organize edilen Özgür Web Teknolojileri Günleri 2016 etkinliğine Netsparker Türkiye’den de iki arkadaşımız sunumlarıyla katılmıştı.
Linux Kullanıcıları Derneği (LKD) ve Boğaziçi Üniversitesi Bilişim Kulübü (Compec) tarafından organize edilen Özgür Web Teknolojileri Günleri 2016 etkinliğine Netsparker Türkiye’den de iki arkadaşımız sunumlarıyla katılmıştı.
Ömer Çıtak ve Ziyahan Albeniz arkadaşlarımızın yaptığı sunumların dosyalarına aşağıdan erişebilirsiniz;
“Web hızla gelişirken hayatımıza MVC, Framework, Template Engine gibi kavramlar girer oldu. Bu kavramlar/teknolojiler geliştiricinin işini kolaylaştırırken arkaplanda işleyen işleyiş bir o kadar karmaşıklaştı. Bu karmaşıklık içinde ister istemez bazı güvenlik zafiyetleri baş gösterdi. Bu zafiyetlerden biri de "Server Side Template Injection" oldu. SSTI, MVC modelinin View katmanında yer alan "Template Engine" üzerinde ortaya çıkan bir zafiyet. SSTI ile Template Engine'nin işlediği değişkenleri manipüle edilerek sisteme çeşitli zararlar verilebiliyor. Aynı zamanda Remote Command Execution, File Upload gibi zafiyetlere zemin hazırladığı için diğer zafiyetlere nazaran daha tehlikelidir.”
"2012 Kasım ayında ilk versiyonu hayatımıza giren CSP, başta XSS olmak üzere, Clickjacking, Protocol Downgrading, Frame Injection vb bir dizi zafiyete karşı istemci taraflı ekstra güvenli katmanı sunmaktadır."
"X-Frame-Options, X-XSS-Protection, gibi standartta olmayan pek çok güvenlik headerının muadilini bünyesinde barındıran CSP, yakın gelecekte, istemci taraflı güvenliğin en önemli araçlarından biri olacağı benziyor."