1 / 36

WEB TEKNOLOJİLERİ GİRİŞ

WEB TEKNOLOJİLERİ GİRİŞ. www.webguvenligi.org. Client Side. Server Side. Middleware. Backend. ODBC. HTTP. HTTP. IE. Applets. Apache. PHP. .NET Framework. ASP.NET. ORACLE. ADO. HTTPS. HTTPS. Firefox. JScript. IIS. ASP. Apache Tomcat. JSP Servlet. MSSQL. JDBC. JNLP. RMI.

Télécharger la présentation

WEB TEKNOLOJİLERİ GİRİŞ

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. WEB TEKNOLOJİLERİ GİRİŞ www.webguvenligi.org

  2. Web Güvenlik Topluluğu / OWASPTR Client Side Server Side Middleware Backend ODBC HTTP HTTP IE Applets Apache PHP .NET Framework ASP.NET ORACLE ADO HTTPS HTTPS Firefox JScript IIS ASP Apache Tomcat JSP Servlet MSSQL JDBC JNLP RMI Opera HTML Sun CGI Oracle iAS RoR PGSQL LDAP RPC RPC Thick Clients CSS IBM SSI IBM Websphere Web Services DB2 MQ IIOP IIOP Safari DHTML Oracle WS Server BEA WebLogic EJB MYSQL TCP/IP TCP/IP TCP/IP Mobile Browsers XML Custom Servers Cold Fusion Jetty SAP/ERP SOAP RMI JMS Opera Action Script Google Python Sun AppServer Mainframe SOAP Google Browser WS Client Perl LDAP Java Web Start AJAX

  3. Web Güvenlik Topluluğu / OWASPTR Browser Internet Explorer Web Server Apache Database Server MYSQL

  4. Genel İçerik Web Güvenlik Topluluğu / OWASPTR • İstemci Tarafı • WWW • HTML • Javascript • DHTML • URL • HTTP

  5. Genel İçerik Web Güvenlik Topluluğu / OWASPTR • Sunucu Tarafı • Web Uygulama Kavramları • Geliştirme Ortamları • Uygulama Sunucusu • Arka-uç Bağlantıları

  6. World Wide Web (WWW) Web Güvenlik Topluluğu / OWASPTR • Tim Berners-Lee tarafından CERN için geliştirilmeye başlanılan bir doküman paylaşım sistemi • Bu dokümanları, oluşturmak için bir dil: HTML bulmak için bir adresleme: URL transfer etmek için bir mekanizma: HTTP

  7. HTML Web Güvenlik Topluluğu / OWASPTR • HyperText Markup Language • Web tarayıcıların yazı (text) ve şekil (graphic) sunmaları için geliştirilmiş bir dil • Yayınlanan standardlar; • HTML 2.0 • HTML 3.0 • HTML 3.2 • HTML 4.0, 1999

  8. HTML Web Güvenlik Topluluğu / OWASPTR <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd"> <html> <head> <title> My Web Page </title> </head> <body> … </body> </html> Örnek HTML dokümanı

  9. HTML Web Güvenlik Topluluğu / OWASPTR • HTML (kaynak kodu ve diğer) inceleme • Firefox : Extensions • DOMInspector • HTMLValidator • SourceEditor • Internet Explorer : Toolbar • DevToolBar • Örnekler için • http://www.w3schools.com/html/html_examples.asp

  10. HTML Web Güvenlik Topluluğu / OWASPTR • HTML Kodlama • Tarayıcıda < gibi özel karakterleri gösterebilmek için kullanılan bir kodlama • Bir html dokümanında, • &lt; → < • &gt; → > • &quot; → “ • &amp; → & karakterlerini gösterir.

  11. Javascript Web Güvenlik Topluluğu / OWASPTR • Sadece HTML istenilen interaktifliği sağlayamadı • İstemci tarafında kod (betik) çalıştırma için LiveScript geliştirildi. (1996) • Daha sonra ismi Javascript olarak değiştirildi ancak Java ile paylaştığı çok şey yoktur. • Internet tarayıcılarından başka Adobe Acrobat, Photoshop gibi ürünler içerisinde de çalışır.

  12. Javascript Web Güvenlik Topluluğu / OWASPTR • HTML sayfalarının içinde; • Daha iyi kullanıcı ara yüzleri oluşturmak, • Form değerlerini denetlemek, • Tarayıcıların sürümlerini bulmak, • Cookie oluşturmak, • Son olarak AJAX, gibi bir çok işlem için kullanılırlar.

  13. DHTML Web Güvenlik Topluluğu / OWASPTR • Dynamic HTML • Daha dinamik ve interaktif web sayfaları oluşturmak için bazı teknolojilerin bir arada kullanılması; • HTML • Javascript • Document Object Model (DOM) • Bir standard değildir.

  14. DHTML Web Güvenlik Topluluğu / OWASPTR • Document Object Model (DOM) • HTML DOM, ilgili HTML dokümanını bir ağaç yapısı içerisinde saklar. • HTML dokümanı içerisindeki tüm etiketler (tag) ve diğer bilgiler bu ağaç yapısı yolu ile erişebilir ve manipüle edilebilir.

  15. DHTML Web Güvenlik Topluluğu / OWASPTR Örnek HTML DOM

  16. DHTML Web Güvenlik Topluluğu / OWASPTR <html> <head> <script type="text/javascript"> function ChangeColor() { document.body.bgColor="yellow" } </script> </head> <body onclick="ChangeColor()"> Click on this document! </body> </html> Örnek DHTML

  17. URL Web Güvenlik Topluluğu / OWASPTR • Uniform (Universal) Resource Locator • Web’de bulunan dokümanlara ve diğer kaynaklara ulaşılmasını sağlayan adresleme standardı

  18. URL Web Güvenlik Topluluğu / OWASPTR scheme://host:port/path?parameter=value#fragment http://www.google.com.tr/search.jsp?search=as#bottom Syntax:

  19. URL Web Güvenlik Topluluğu / OWASPTR • URL Kodlama veya Yüzde (Percent) Kodlama • Bazı özel durumlarda URL içerisindeki karakterlerin kodlanması • URL kullanılan karakterler ikiye ayrılır; • Genel kullanım için “reserved” karakterler • Bazı durumlarda özel anlamlara gelen “unreserved” karakterler

  20. URL Web Güvenlik Topluluğu / OWASPTR • “Reserved” karakterler [a-zA-Z0-9] - _ . ~ • “Unreserved” karakterler ! * ‘ ( ) ; : @ & = + $ , / ? % # [ ] • Örnek URL Kodlama + → %2B / → %2F A → %41

  21. HTTP Web Güvenlik Topluluğu / OWASPTR Web’de dokümanların transfer edilme standardı.

  22. HTTP Web Güvenlik Topluluğu / OWASPTR istek veya cevap için değişen ilk satır bir veya daha fazla başlık (header) boş bir satır opsiyonel bir mesaj bölümü • İki tür HTTP mesaj çeşidi mevcuttur. • İstek (Request) • Cevap (Response) • Genel HTTP mesaj yapısı şu şekildedir:

  23. HTTP Web Güvenlik Topluluğu / OWASPTR GET /index.jsp HTTP/1.1 User-Agent: Mozilla/4.0 (MSIE 6.0; ... Host: en.wikipedia.org Proxy-Connection: Keep-Alive İstek (Request) GET

  24. HTTP Web Güvenlik Topluluğu / OWASPTR POST /login.jsp HTTP/1.1 User-Agent: Mozilla/4.0 (MSIE 6.0; ... Host: en.wikipedia.org Proxy-Connection: Keep-Alive Content-Length: 30 login=webappsec&passwd=1g4Olm# İstek (Request) POST

  25. HTTP Web Güvenlik Topluluğu / OWASPTR HTTP/1.1 200 OK Date: Fri, 31 Mar 2006 10:08:00 GMT Server: Apache/2.47 Content-Length: 92 Connection: Keep-Alive <html> <head></head><body>…</html> Cevap (Response)200 OK

  26. HTTP Web Güvenlik Topluluğu / OWASPTR HTTP/1.1 404Not Found Date: Fri, 31 Mar 2006 10:08:00 GMT Server: Apache/2.47 Content-Length: 96 Connection: close <html> <head></head><body>…</html> Cevap (Response)404 Not Found

  27. HTTP Web Güvenlik Topluluğu / OWASPTR HTTP/1.1 302 Found Date: Fri, 31 Mar 2006 10:08:00 GMT Server: Apache/2.47 Content-Length: 91 Location: http://www.google.com/a.jsp Connection: close <html>…</html> Cevap (Response)302 Found

  28. HTTP Web Güvenlik Topluluğu / OWASPTR • Cevap (Response) bazı kodlar • 200 OK : istenilen kaynak bulundu • 404 Not Found : istenilen kaynak bulunamadı • 302 Found : kaynak başka yerde • 500 Server Error : dahili sunucu hatası • ...

  29. HTTP Web Güvenlik Topluluğu / OWASPTR • HTTP Vekiller (Proxy) : tarayıcı ve sunucu arasına giren programlar. Neden? • Güvenlik kontrolleri (güvenlik duvarları v.b.) • HTTP cevap zamanını kısaltmak • Hata ayıklama veya denetim amaçlı (Kişisel Vekiller)

  30. HTTP Web Güvenlik Topluluğu / OWASPTR Kişisel Vekiller (webscarab)

  31. Web Uygulamaları Web Güvenlik Topluluğu / OWASPTR Genellikle web tarayıcı tarafından web üzerinden erişilen programlar

  32. Web Uygulama Kavramları Web Güvenlik Topluluğu / OWASPTR • Web uygulamalar için genel kritik bileşenler ve konular • HTTP İstek • HTTP Cevap • Oturum yönetimi (genellikle cookie’ler yardımı ile)

  33. Uygulama Geliştirme & Koşma Web Güvenlik Topluluğu / OWASPTR • Integrated Development Environment (IDE) • Eclipse • Netbeans • MS Visual Studio • …

  34. Uygulama Geliştirme & Koşma Web Güvenlik Topluluğu / OWASPTR • Uygulama Sunucuları • Apache Tomcat • IIS .NET Framework • BEA Weblogic • …

  35. Arka-uç Bağlantısı Web Güvenlik Topluluğu / OWASPTR • Kalıcı bir veri deposu gereksinimi ve veritabanları • SQL sorguları • Veritabanı arka-uç bağlantıları için kullanılan teknolojiler ve yapılar • ODBC • JDBC • ADO.NET

  36. Web Güvenlik Topluluğu / OWASPTR webguvenligi.org owasp.org

More Related