[OWASP-TR Uygulama Güvenliği Günü 2016] Özgür Alp - HTTP/2 ve Güvenlik
17
HTTP/2 ve Güvenlik Özgür Alp Mart 2016
-
Upload
owasp-turkiye -
Category
Engineering
-
view
224 -
download
6
Transcript of [OWASP-TR Uygulama Güvenliği Günü 2016] Özgür Alp - HTTP/2 ve Güvenlik
![Page 1: [OWASP-TR Uygulama Güvenliği Günü 2016] Özgür Alp - HTTP/2 ve Güvenlik](https://reader034.fdocuments.net/reader034/viewer/2022042619/58f0e6061a28abf31e8b4571/html5/thumbnails/1.jpg)
HTTP/2 ve
Güvenlik
Özgür Alp
Mart 2016
![Page 2: [OWASP-TR Uygulama Güvenliği Günü 2016] Özgür Alp - HTTP/2 ve Güvenlik](https://reader034.fdocuments.net/reader034/viewer/2022042619/58f0e6061a28abf31e8b4571/html5/thumbnails/2.jpg)
HTTP/1.1 ve Değişimi
history HTTP/1.1
• 1999 2016
• 20 KB 5 MB
• HTML JS+FLASH+AJAX
• HTTP HTTPS
2
![Page 3: [OWASP-TR Uygulama Güvenliği Günü 2016] Özgür Alp - HTTP/2 ve Güvenlik](https://reader034.fdocuments.net/reader034/viewer/2022042619/58f0e6061a28abf31e8b4571/html5/thumbnails/3.jpg)
HTTP/1.1 ve Değişimi
gnome-screenshot HTTP
3
Kaynak: F5 Networks
![Page 4: [OWASP-TR Uygulama Güvenliği Günü 2016] Özgür Alp - HTTP/2 ve Güvenlik](https://reader034.fdocuments.net/reader034/viewer/2022042619/58f0e6061a28abf31e8b4571/html5/thumbnails/4.jpg)
HTTP/1.1 ve Değişimi
gnome-screenshot HTTP/1.1
4
![Page 5: [OWASP-TR Uygulama Güvenliği Günü 2016] Özgür Alp - HTTP/2 ve Güvenlik](https://reader034.fdocuments.net/reader034/viewer/2022042619/58f0e6061a28abf31e8b4571/html5/thumbnails/5.jpg)
HTTP/1.1 ve HTTP/2 Benzerlikleri
diff HTTP/1.1 HTTP/2 (-)
• HTTP metotları
– GET, POST
• Durum kodları
– 200, 404, 500
• Resmi adres sistemi
– URI
• HTTP başlıkları ve çerezler
5
![Page 6: [OWASP-TR Uygulama Güvenliği Günü 2016] Özgür Alp - HTTP/2 ve Güvenlik](https://reader034.fdocuments.net/reader034/viewer/2022042619/58f0e6061a28abf31e8b4571/html5/thumbnails/6.jpg)
HTTP/1.1 ve HTTP/2 Farklılıkları
diff HTTP/1.1 HTTP/2 (>)
• Düzyazı Binary
• Sıralı istekler Paralel istekler
• Çoklu istekler Tek istek
• GZIP HPACK
• İstek & cevap Sunucudan push özelliği
6
![Page 7: [OWASP-TR Uygulama Güvenliği Günü 2016] Özgür Alp - HTTP/2 ve Güvenlik](https://reader034.fdocuments.net/reader034/viewer/2022042619/58f0e6061a28abf31e8b4571/html5/thumbnails/7.jpg)
HTTP/1.1 ve HTTP/2 Farklılıkları
diff HTTP/1.1 HTTP/2 (>)
https://http2.akamai.com/demo
7
Kaynak: https://http2.akamai.com/demo
![Page 8: [OWASP-TR Uygulama Güvenliği Günü 2016] Özgür Alp - HTTP/2 ve Güvenlik](https://reader034.fdocuments.net/reader034/viewer/2022042619/58f0e6061a28abf31e8b4571/html5/thumbnails/8.jpg)
Neden HTTP/1.2 Değil?
mv HTTP/1.2 HTTP/2
• Farklı yapıda protokol
• Geriye uyumlu değil
8
![Page 9: [OWASP-TR Uygulama Güvenliği Günü 2016] Özgür Alp - HTTP/2 ve Güvenlik](https://reader034.fdocuments.net/reader034/viewer/2022042619/58f0e6061a28abf31e8b4571/html5/thumbnails/9.jpg)
HTTP/2 İnceleme
http2fuzz
9
Kaynak: https://github.com/c0nrad/http2fuzz
![Page 10: [OWASP-TR Uygulama Güvenliği Günü 2016] Özgür Alp - HTTP/2 ve Güvenlik](https://reader034.fdocuments.net/reader034/viewer/2022042619/58f0e6061a28abf31e8b4571/html5/thumbnails/10.jpg)
HTTP/2 Uygulamaları
install HTTP/2
10
Kaynak: https://github.com/http2/http2-spec/wiki/Implementations
![Page 11: [OWASP-TR Uygulama Güvenliği Günü 2016] Özgür Alp - HTTP/2 ve Güvenlik](https://reader034.fdocuments.net/reader034/viewer/2022042619/58f0e6061a28abf31e8b4571/html5/thumbnails/11.jpg)
Güvenlik Konuları
netstat -lntp | grep HTTP/2
• Protokol hataları
• Şifreleme
• Yeni atak yüzeyleri
• Hizmet engelleme
11
![Page 12: [OWASP-TR Uygulama Güvenliği Günü 2016] Özgür Alp - HTTP/2 ve Güvenlik](https://reader034.fdocuments.net/reader034/viewer/2022042619/58f0e6061a28abf31e8b4571/html5/thumbnails/12.jpg)
Güvenlik – Protokol Hataları
iptables -A INPUT -p HTTP/2 --dport 443 -j DROP
12
Kaynak: https://github.com/http2/http2-spec/issues?q=label%3Asecurity+is%3Aclosed
![Page 13: [OWASP-TR Uygulama Güvenliği Günü 2016] Özgür Alp - HTTP/2 ve Güvenlik](https://reader034.fdocuments.net/reader034/viewer/2022042619/58f0e6061a28abf31e8b4571/html5/thumbnails/13.jpg)
Güvenlik – Şifreleme
openssl s_server -HTTP/2
• Bilinenin aksine TLS varsayılan değil
– h2: HTTP/2 over TLS
– h2c: HTTP/2 over TCP
• Chrome, Firefox, IE şu anda sadece h2 destekliyor
13
![Page 14: [OWASP-TR Uygulama Güvenliği Günü 2016] Özgür Alp - HTTP/2 ve Güvenlik](https://reader034.fdocuments.net/reader034/viewer/2022042619/58f0e6061a28abf31e8b4571/html5/thumbnails/14.jpg)
Güvenlik – Yeni Atak Yüzeyleri
apt-get install HTTP/2
• HPACK
• Sürüm yükseltme/düşürme
• Tutarsız çoğullama
• Kötü biçimlendirilmiş çerçeveler
• İstemciye/sunucuya gelişigüzel veri gönderme
• Ana akış bağlılıkları
• Geçersiz çerçeve durumları
14
![Page 15: [OWASP-TR Uygulama Güvenliği Günü 2016] Özgür Alp - HTTP/2 ve Güvenlik](https://reader034.fdocuments.net/reader034/viewer/2022042619/58f0e6061a28abf31e8b4571/html5/thumbnails/15.jpg)
Güvenlik – Hizmet Engelleme
httpflood.py -p HTTP/2 -u target
• Performans artışı
• Uygulama seviyesindeki ataklarda düşüş
15
![Page 16: [OWASP-TR Uygulama Güvenliği Günü 2016] Özgür Alp - HTTP/2 ve Güvenlik](https://reader034.fdocuments.net/reader034/viewer/2022042619/58f0e6061a28abf31e8b4571/html5/thumbnails/16.jpg)
Güvenlik – CVE
use auxiliary/scanner/http2/options
16
Kaynak: http://www.cvedetails.com/google-search-results.php?q=HTTP%2F2&sa=Search
![Page 17: [OWASP-TR Uygulama Güvenliği Günü 2016] Özgür Alp - HTTP/2 ve Güvenlik](https://reader034.fdocuments.net/reader034/viewer/2022042619/58f0e6061a28abf31e8b4571/html5/thumbnails/17.jpg)
Soru & Cevap
help HTTP/2
17
![[OWASP-TR Uygulama Güvenliği Günü 2016] Fatih Emiral - Web Uygulama Açıklıklarından Sistemi Ele Geçirmeye Giden Yol](https://static.fdocuments.net/doc/165x107/5876fa001a28abf3398b6059/owasp-tr-uygulama-guevenligi-guenue-2016-fatih-emiral-web-uygulama-acikliklarindan.jpg)
![[OWASP-TR Uygulama Güvenliği Günü 2016] Muhammet Dilmaç - Ruby on Rails Web Framework ve Güvenlik](https://static.fdocuments.net/doc/165x107/58732be91a28ab596c8b5be7/owasp-tr-uygulama-guevenligi-guenue-2016-muhammet-dilmac-ruby-on-rails.jpg)