Embed Size (px)
Citation preview
OnurYılmaz, CypSec, 2015
@netsparker – Güvenlik Araştırmacısı @owasptr – Board Member
Set-Cookie ile oluşturulan cookilere HttpOnlyözelliği kazandırılırsa cookie’ler sadece HTTP header’ları üzerinden gider ve JavaScript ileclient tarafından erişilemezler.
Set-Cookie: user=fbsvs58; path=/; HttpOnly
Bu neyi çözer ?
XSS saldırılarını engellemez. Sadececookie’lerin çalınmasını engeller.
Keywords: XSS Tunnel, XSS Shell, BeEF
Eğer cookie’ye secure özelliği kazandırıldıysa, ilgili cookie değeri sadece HTTPs üzerindeniletilecektir.
Set-Cookie: user=fbsvs58; path=/; Secure
Bu neyi çözer ?
Bir uygulamada eğer sadece uygulamaya girişalanında SSL kullanılmış, kalan işlemler HTTP üzerinden yapılıyorsa network sniff edilerekilgili cookie değerinin okunmasını engeller.
Clickjacking saldırılarına önlem almak adınadoğmuştur.
Saldırganın sahip olduğu web sitesi üzerindeniframe ile sizin siteniz çağrılarak kullanıcılarafarklı işlemler yaptırılabilmektedir.
3 farklı parametre almaktadır;
Deny: Tamamen engeller.
SAMEORIGIN: Kendi domaininden başka biryerden çağrılmasını engeller.
ALLOW-FROM uri: İstenilen domainlere izin verir.
Apache içinHeader always append X-Frame-Options SAMEORIGIN
IIS için – web.config<httpProtocol>
<customHeaders><add name="X-Frame-Options"
value="SAMEORIGIN" /></customHeaders>
</httpProtocol>
XSS saldırılarının çalışmasını engellemek içinkullanılır. XSS sorununu çözmez, sadecederinlemesine defans sağlar.
Apache içinHeader always append X-XSS-Protection 1
IIS için<httpProtocol><customHeaders>
<add name="X-XSS-Protection" value="1" /></customHeaders>
</httpProtocol>
Tüm içeriğin render edilmesini engellemekisterseniz;
X-XSS-Protection: 1; mode=block
[email protected] www.netsparker.com twitter/netsparker twitter/onuryilmazinfo
