SlideShare a Scribd company logo

ISTSEC 2013 - Fuzzy Tabanlı Zaafiyet Araştırması

Download as PPTX, PDF
BGA Cyber Security
BGA Cyber Security

ISTSEC 2013 Konferansında Konuşmacılardan Gökhan ALKAN'ın anlatmış olduğu sunumdur.

1 of 18
Gökhan ALKAN http://www.agguvenligi.net/ NETWORK PROTOKOLLERİNE YÖNELİK FUZZİNG TABANLI ZAAFİYET ARAŞTIRMASI 22.10.2013 İstsec - 2013
İçerik 2   Network Protokolleri Fuzzing Nedir?  Network Fuzzing Için Kullanilan Araçlar   Alet Çantası        Spike,Sulley,Peach Spike, Sulley, Peach : Wireshark, Tcpdump Immunity Debugger, OllyDBG, WinDBG Python, Perl, Ruby Spike Kullanım/Özellikler Uygulama Paragraftan Çıkacak Sonuç İstsec - 2013
Network Protokolleri - 1 3 Ağ Protokolleri Sunucu istemci arasinki iletişim kuralları bütününe verilen isimdir. Yabancı devlet adamlarının ziyaretleri sırasında kişilerin nerde nasil duracakları ve yapacaklarının belirlenmesi gibi.  Örnek Smtp conversation SERVER: 250 some_mailserver..net Hello ???? [???.???.???.???] (may be forged), pleased to meet you CLIENT: MAIL From:myaddress@mydomain.com SERVER: 250 2.1.0 myaddress@mydomain.com... Sender ok CLIENT: RCPT To:somone@somedomain.com SERVER: 250 recipient <somone@somedomain.com> OK CLIENT: DATA SERVER: 354 enter mail, end with line containing only "."  İstsec - 2013
Network Protokolleri - 2 4  Istenilen ağ protokolünün analiz edilmesi için yapılması gereken lab ortamında sunucu istemci arasındaki trafiğin analiz edilmesidir.  Sanallaştırma Ortamı  Paket Analiz Araçları  Analiz amaçlı olarak hazır pcap dosyaları için http://www.netresec.com/?page=PcapFiles sitesi kontrol edilebilir. İstsec - 2013
Fuzzing Nedir ? 5  Uygulamanin girdi noktalarına amaçlı olarak rastgele biçimde veri gönderim tekniğidir. Gönderilen bu veriler sonucunda amaç uygulamanın verdiği tepkileri tespit etmektir. İstsec - 2013
Alet Çantası 6 Yazılım Görevi Spike, Sullety, Peach Fuzzing işlemini otomatize olarak gerçekleştiren araçlar Wireshark, Tcpdump Ağ analiz yazılımı Immunity Debugger, OllyDBG, WinDBG Tersine mühendislik yazılımı Python, Perl, Ruby TCP/IP paketleri oluşturmak ve göndermek için kullanılan yazılım dilleri İstsec - 2013
Spike Özellikler/Kullanım - 1 7  Geliştirici : Dave Aitel Özellik Durum Açık kaynak kodlu EVET Gelistirme Ortami C Betik Destegi Dokümantasyon Kurulum VAR İyi Değil Kolay İstsec - 2013
Spike Özellikler/Kullanım - 2 8  - Strings  s_readline(); -> Sunucudan alinan tek satir mesaji ekrana gösterir.  s_string("HELP"); -> Uygulamaya HELP mesajini gönderir.  s_string_repeat("string",200); -> String ifadesinin 200 defa gösterilmesi  s_string_variable("COMMAND"); -> Içerisinde bulunan fuzzin amaçli stringleri uygulamaya gönderir. İstsec - 2013
Uygulama - 1 9 Stephen BRDSHAW tarafından eğitim amaçlı geliştirilmiş açıklık barındıran bir Windows uygulaması. Aşağıda belirtilen adresten uygulamaya erişim sağlanabilir. http://sites.google.com/site/lupingreycorner/ vulnserver.zip  Amaç : Uygulama İçerisindeki Buffer Overflow Açıklığının Tespit Edilmesi  İstsec - 2013
Uygulama - 2 10     Uygulama çalışmasının analiz edilmesi Uygulama Ağ analiz çalismasi Uygulamaya yönelik fuzzing amaçli programların geliştirilmesi Uygulamanin çalismazlik noktalarinin belirlenmesi ve Debugger ile kontrol edilmesi İstsec - 2013
Uygulama - 3 11   Fuzz İşlemi İçin Geliştirien Programlar https://github.com/agguvenligi/fuzz_vuln create_spike_scripts.sh : Fuzz işlemi için gerekli spk dosyalarını oluşturur.  exploit_trun.py : TRUN komutunu sömürmek için kullanılır.  fuzz_vuln.py : Uygulamaya ait tüm komutların işlenmesi için gerekli spk dosyalarını işler.  sample_spike_commands.sh : Spike yazılımına ait TCP paketleri göndermek için kullanılır.  İstsec - 2013
Uygulama - 4 12 TRUN Komut İşleme Açıklığı - main(); CreateThread(0,0,ConnectionHandler, (LPVOID)Clien tSocket , 0,0); - strncpy(TrunBuf, RecvBuf, 3000); Function3(TrunBuf); - void Function3(char *Input) { char Buffer2S[2000]; strcpy(Buffer2S, Input); } İstsec - 2013
13 Network Protokolleri İçin Fuzzing Tabanlı Zaafiyet Araştırması - 1  RFC dokümanlarının incelenmesi İstsec - 2013
14 Network Protokolleri İçin Fuzzing Tabanlı Zaafiyet Araştırması - 2  Sunucu ve İstemci arasındaki trafiğin incelenerek protokol çalışma prensiplerinin ortaya konulması İstsec - 2013
15 Network Protokolleri İçin Fuzzing Tabanlı Zaafiyet Araştırması - 3  Tersine mühendislik yöntemleri ile incelenmesi İstsec - 2013
Bu Paragraftan Çıkacak Sonuç 16  İçgüdüsel Davranış  ŞANS İstsec - 2013
Kaynaklar 17      http://www.agguvenligi.net/ http://www.thegreycorner.com/2010/12/introdu cing-vulnserver.html http://resources.infosecinstitute.com/intro-tofuzzing/ http://resources.infosecinstitute.com/fuzzerautomation-with-spike/ http://fuzzing.org/ İstsec - 2013
Sorular 18 Teşekkürler http://www.agguvenligi.net/ İstsec - 2013

Recommended

LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ BGA Cyber Security
 
EXPLOIT POST EXPLOITATION
EXPLOIT POST EXPLOITATIONEXPLOIT POST EXPLOITATION
EXPLOIT POST EXPLOITATIONBGA Cyber Security
 
Apache Htaccess Güvenlik Testleri
Apache Htaccess Güvenlik TestleriApache Htaccess Güvenlik Testleri
Apache Htaccess Güvenlik TestleriBGA Cyber Security
 
WEB ve MOBİL SIZMA TESTLERİ
WEB ve MOBİL SIZMA TESTLERİ WEB ve MOBİL SIZMA TESTLERİ
WEB ve MOBİL SIZMA TESTLERİ BGA Cyber Security
 
Holynix v1
Holynix v1Holynix v1
Holynix v1BGA Cyber Security
 
SIZMA TESTLERİNDE BİLGİ TOPLAMA
SIZMA TESTLERİNDE BİLGİ TOPLAMASIZMA TESTLERİNDE BİLGİ TOPLAMA
SIZMA TESTLERİNDE BİLGİ TOPLAMABGA Cyber Security
 
VERİTABANI SIZMA TESTLERİ
VERİTABANI SIZMA TESTLERİVERİTABANI SIZMA TESTLERİ
VERİTABANI SIZMA TESTLERİBGA Cyber Security
 
PAROLA KIRMA SALDIRILARI
PAROLA KIRMA SALDIRILARIPAROLA KIRMA SALDIRILARI
PAROLA KIRMA SALDIRILARIBGA Cyber Security
 

Recommended

LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ BGA Cyber Security
 
EXPLOIT POST EXPLOITATION
EXPLOIT POST EXPLOITATIONEXPLOIT POST EXPLOITATION
EXPLOIT POST EXPLOITATIONBGA Cyber Security
 
Apache Htaccess Güvenlik Testleri
Apache Htaccess Güvenlik TestleriApache Htaccess Güvenlik Testleri
Apache Htaccess Güvenlik TestleriBGA Cyber Security
 
WEB ve MOBİL SIZMA TESTLERİ
WEB ve MOBİL SIZMA TESTLERİ WEB ve MOBİL SIZMA TESTLERİ
WEB ve MOBİL SIZMA TESTLERİ BGA Cyber Security
 
Holynix v1
Holynix v1Holynix v1
Holynix v1BGA Cyber Security
 
SIZMA TESTLERİNDE BİLGİ TOPLAMA
SIZMA TESTLERİNDE BİLGİ TOPLAMASIZMA TESTLERİNDE BİLGİ TOPLAMA
SIZMA TESTLERİNDE BİLGİ TOPLAMABGA Cyber Security
 
VERİTABANI SIZMA TESTLERİ
VERİTABANI SIZMA TESTLERİVERİTABANI SIZMA TESTLERİ
VERİTABANI SIZMA TESTLERİBGA Cyber Security
 
PAROLA KIRMA SALDIRILARI
PAROLA KIRMA SALDIRILARIPAROLA KIRMA SALDIRILARI
PAROLA KIRMA SALDIRILARIBGA Cyber Security
 
Veritabanı Sızma Testleri - Keşif
Veritabanı Sızma Testleri - KeşifVeritabanı Sızma Testleri - Keşif
Veritabanı Sızma Testleri - KeşifFerhat Ozgur Catak
 
Windows 7 Ortamında Zararlı Yazılım Analizi
Windows 7 Ortamında Zararlı Yazılım AnaliziWindows 7 Ortamında Zararlı Yazılım Analizi
Windows 7 Ortamında Zararlı Yazılım AnaliziBGA Cyber Security
 
Windows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme ÇalışmalarıWindows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme ÇalışmalarıBGA Cyber Security
 
Metasploit El Kitabı
Metasploit El KitabıMetasploit El Kitabı
Metasploit El KitabıBGA Cyber Security
 
Binary Modification [Patching]
Binary Modification [Patching]Binary Modification [Patching]
Binary Modification [Patching]BGA Cyber Security
 
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıZararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıBGA Cyber Security
 
Hacklenmis Linux Sistem Analizi
Hacklenmis Linux Sistem AnaliziHacklenmis Linux Sistem Analizi
Hacklenmis Linux Sistem AnaliziBGA Cyber Security
 
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma sonAçık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma sonBGA Cyber Security
 
GÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMAGÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMABGA Cyber Security
 
Angular JS ve Node JS Güvenliği
Angular JS ve Node JS GüvenliğiAngular JS ve Node JS Güvenliği
Angular JS ve Node JS GüvenliğiBGA Cyber Security
 
SSH Tünelleme ile İçerik Filtreleyicileri Atlatmak
SSH Tünelleme ile İçerik Filtreleyicileri AtlatmakSSH Tünelleme ile İçerik Filtreleyicileri Atlatmak
SSH Tünelleme ile İçerik Filtreleyicileri AtlatmakBGA Cyber Security
 
INTERNET VE YEREL AĞ SIZMA TESTLERİ
INTERNET VE YEREL AĞ SIZMA TESTLERİ INTERNET VE YEREL AĞ SIZMA TESTLERİ
INTERNET VE YEREL AĞ SIZMA TESTLERİ BGA Cyber Security
 
Sızma Testlerinde Armitage Kullanımı
Sızma Testlerinde Armitage KullanımıSızma Testlerinde Armitage Kullanımı
Sızma Testlerinde Armitage KullanımıBGA Cyber Security
 
Kali ile Linux'e Giriş | IntelRAD
Kali ile Linux'e Giriş | IntelRADKali ile Linux'e Giriş | IntelRAD
Kali ile Linux'e Giriş | IntelRADMehmet Ince
 
BGA Staj Okulu Sınavı'17
BGA Staj Okulu Sınavı'17BGA Staj Okulu Sınavı'17
BGA Staj Okulu Sınavı'17BGA Cyber Security
 
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Siber Güvenlik Yaz Kampı'17 Soruları
Siber Güvenlik Yaz Kampı'17 SorularıSiber Güvenlik Yaz Kampı'17 Soruları
Siber Güvenlik Yaz Kampı'17 SorularıBGA Cyber Security
 
Web uygulama açıklıklarından faydalanarak sistem ele geçirme
Web uygulama açıklıklarından faydalanarak sistem ele geçirmeWeb uygulama açıklıklarından faydalanarak sistem ele geçirme
Web uygulama açıklıklarından faydalanarak sistem ele geçirmeBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Kablosuz Ağ Saldırı Araçları
Kablosuz Ağ Saldırı AraçlarıKablosuz Ağ Saldırı Araçları
Kablosuz Ağ Saldırı AraçlarıBGA Cyber Security
 
Veritabanı Sızma Testleri - Hafta 3
Veritabanı Sızma Testleri - Hafta 3Veritabanı Sızma Testleri - Hafta 3
Veritabanı Sızma Testleri - Hafta 3Ferhat Ozgur Catak
 
ISTSEC 2013 - Kurumsal Ağlarda Kullanılan Güvenlik Sistemlerini Atlatma
ISTSEC 2013 - Kurumsal Ağlarda Kullanılan Güvenlik Sistemlerini AtlatmaISTSEC 2013 - Kurumsal Ağlarda Kullanılan Güvenlik Sistemlerini Atlatma
ISTSEC 2013 - Kurumsal Ağlarda Kullanılan Güvenlik Sistemlerini AtlatmaBGA Cyber Security
 
ISTSEC 2013 - Bir Pentest Gördüm Sanki
ISTSEC 2013 - Bir Pentest Gördüm SankiISTSEC 2013 - Bir Pentest Gördüm Sanki
ISTSEC 2013 - Bir Pentest Gördüm SankiBGA Cyber Security
 

More Related Content

What's hot

Veritabanı Sızma Testleri - Keşif
Veritabanı Sızma Testleri - KeşifVeritabanı Sızma Testleri - Keşif
Veritabanı Sızma Testleri - KeşifFerhat Ozgur Catak
 
Windows 7 Ortamında Zararlı Yazılım Analizi
Windows 7 Ortamında Zararlı Yazılım AnaliziWindows 7 Ortamında Zararlı Yazılım Analizi
Windows 7 Ortamında Zararlı Yazılım AnaliziBGA Cyber Security
 
Windows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme ÇalışmalarıWindows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme ÇalışmalarıBGA Cyber Security
 
Binary Modification [Patching]
Binary Modification [Patching]Binary Modification [Patching]
Binary Modification [Patching]BGA Cyber Security
 
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıZararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıBGA Cyber Security
 
Hacklenmis Linux Sistem Analizi
Hacklenmis Linux Sistem AnaliziHacklenmis Linux Sistem Analizi
Hacklenmis Linux Sistem AnaliziBGA Cyber Security
 
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma sonAçık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma sonBGA Cyber Security
 
GÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMAGÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMABGA Cyber Security
 
Angular JS ve Node JS Güvenliği
Angular JS ve Node JS GüvenliğiAngular JS ve Node JS Güvenliği
Angular JS ve Node JS GüvenliğiBGA Cyber Security
 
SSH Tünelleme ile İçerik Filtreleyicileri Atlatmak
SSH Tünelleme ile İçerik Filtreleyicileri AtlatmakSSH Tünelleme ile İçerik Filtreleyicileri Atlatmak
SSH Tünelleme ile İçerik Filtreleyicileri AtlatmakBGA Cyber Security
 
INTERNET VE YEREL AĞ SIZMA TESTLERİ
INTERNET VE YEREL AĞ SIZMA TESTLERİ INTERNET VE YEREL AĞ SIZMA TESTLERİ
INTERNET VE YEREL AĞ SIZMA TESTLERİ BGA Cyber Security
 
Sızma Testlerinde Armitage Kullanımı
Sızma Testlerinde Armitage KullanımıSızma Testlerinde Armitage Kullanımı
Sızma Testlerinde Armitage KullanımıBGA Cyber Security
 
Kali ile Linux'e Giriş | IntelRAD
Kali ile Linux'e Giriş | IntelRADKali ile Linux'e Giriş | IntelRAD
Kali ile Linux'e Giriş | IntelRADMehmet Ince
 
Siber Güvenlik Yaz Kampı'17 Soruları
Siber Güvenlik Yaz Kampı'17 SorularıSiber Güvenlik Yaz Kampı'17 Soruları
Siber Güvenlik Yaz Kampı'17 SorularıBGA Cyber Security
 
Kablosuz Ağ Saldırı Araçları
Kablosuz Ağ Saldırı AraçlarıKablosuz Ağ Saldırı Araçları
Kablosuz Ağ Saldırı AraçlarıBGA Cyber Security
 
Veritabanı Sızma Testleri - Hafta 3
Veritabanı Sızma Testleri - Hafta 3Veritabanı Sızma Testleri - Hafta 3
Veritabanı Sızma Testleri - Hafta 3Ferhat Ozgur Catak
 

What's hot (20)

Veritabanı Sızma Testleri - Keşif
Veritabanı Sızma Testleri - KeşifVeritabanı Sızma Testleri - Keşif
Veritabanı Sızma Testleri - Keşif
 
Windows 7 Ortamında Zararlı Yazılım Analizi
Windows 7 Ortamında Zararlı Yazılım AnaliziWindows 7 Ortamında Zararlı Yazılım Analizi
Windows 7 Ortamında Zararlı Yazılım Analizi
 
Windows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme ÇalışmalarıWindows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme Çalışmaları
 
Metasploit El Kitabı
Metasploit El KitabıMetasploit El Kitabı
Metasploit El Kitabı
 
Binary Modification [Patching]
Binary Modification [Patching]Binary Modification [Patching]
Binary Modification [Patching]
 
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıZararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
 
Hacklenmis Linux Sistem Analizi
Hacklenmis Linux Sistem AnaliziHacklenmis Linux Sistem Analizi
Hacklenmis Linux Sistem Analizi
 
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma sonAçık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
 
GÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMAGÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMA
 
Angular JS ve Node JS Güvenliği
Angular JS ve Node JS GüvenliğiAngular JS ve Node JS Güvenliği
Angular JS ve Node JS Güvenliği
 
SSH Tünelleme ile İçerik Filtreleyicileri Atlatmak
SSH Tünelleme ile İçerik Filtreleyicileri AtlatmakSSH Tünelleme ile İçerik Filtreleyicileri Atlatmak
SSH Tünelleme ile İçerik Filtreleyicileri Atlatmak
 
INTERNET VE YEREL AĞ SIZMA TESTLERİ
INTERNET VE YEREL AĞ SIZMA TESTLERİ INTERNET VE YEREL AĞ SIZMA TESTLERİ
INTERNET VE YEREL AĞ SIZMA TESTLERİ
 
Sızma Testlerinde Armitage Kullanımı
Sızma Testlerinde Armitage KullanımıSızma Testlerinde Armitage Kullanımı
Sızma Testlerinde Armitage Kullanımı
 
Kali ile Linux'e Giriş | IntelRAD
Kali ile Linux'e Giriş | IntelRADKali ile Linux'e Giriş | IntelRAD
Kali ile Linux'e Giriş | IntelRAD
 
BGA Staj Okulu Sınavı'17
BGA Staj Okulu Sınavı'17BGA Staj Okulu Sınavı'17
BGA Staj Okulu Sınavı'17
 
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
 
Siber Güvenlik Yaz Kampı'17 Soruları
Siber Güvenlik Yaz Kampı'17 SorularıSiber Güvenlik Yaz Kampı'17 Soruları
Siber Güvenlik Yaz Kampı'17 Soruları
 
Web uygulama açıklıklarından faydalanarak sistem ele geçirme
Web uygulama açıklıklarından faydalanarak sistem ele geçirmeWeb uygulama açıklıklarından faydalanarak sistem ele geçirme
Web uygulama açıklıklarından faydalanarak sistem ele geçirme
 
Kablosuz Ağ Saldırı Araçları
Kablosuz Ağ Saldırı AraçlarıKablosuz Ağ Saldırı Araçları
Kablosuz Ağ Saldırı Araçları
 
Veritabanı Sızma Testleri - Hafta 3
Veritabanı Sızma Testleri - Hafta 3Veritabanı Sızma Testleri - Hafta 3
Veritabanı Sızma Testleri - Hafta 3
 

Viewers also liked

ISTSEC 2013 - Kurumsal Ağlarda Kullanılan Güvenlik Sistemlerini Atlatma
ISTSEC 2013 - Kurumsal Ağlarda Kullanılan Güvenlik Sistemlerini AtlatmaISTSEC 2013 - Kurumsal Ağlarda Kullanılan Güvenlik Sistemlerini Atlatma
ISTSEC 2013 - Kurumsal Ağlarda Kullanılan Güvenlik Sistemlerini AtlatmaBGA Cyber Security
 
ISTSEC 2013 - Bir Pentest Gördüm Sanki
ISTSEC 2013 - Bir Pentest Gördüm SankiISTSEC 2013 - Bir Pentest Gördüm Sanki
ISTSEC 2013 - Bir Pentest Gördüm SankiBGA Cyber Security
 
Siber Saldırı Aracı Olarak DDoS
Siber Saldırı Aracı Olarak DDoSSiber Saldırı Aracı Olarak DDoS
Siber Saldırı Aracı Olarak DDoSBGA Cyber Security
 
DDoS Saldırıları ve Korunma Yolları
DDoS Saldırıları ve Korunma YollarıDDoS Saldırıları ve Korunma Yolları
DDoS Saldırıları ve Korunma YollarıBGA Cyber Security
 
Çalıştay | DDoS Saldırıları Nasıl Gerçekleştirilir?
Çalıştay | DDoS Saldırıları Nasıl Gerçekleştirilir?Çalıştay | DDoS Saldırıları Nasıl Gerçekleştirilir?
Çalıştay | DDoS Saldırıları Nasıl Gerçekleştirilir?BGA Cyber Security
 
Güvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak DerslerGüvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak DerslerBGA Cyber Security
 
Hackerların Gözünden Bilgi Güvenliği
Hackerların Gözünden Bilgi GüvenliğiHackerların Gözünden Bilgi Güvenliği
Hackerların Gözünden Bilgi GüvenliğiBGA Cyber Security
 
DOS, DDOS Atakları ve Korunma Yöntemleri
DOS, DDOS Atakları ve Korunma YöntemleriDOS, DDOS Atakları ve Korunma Yöntemleri
DOS, DDOS Atakları ve Korunma YöntemleriBGA Cyber Security
 
Bilişim Sistemlerinde Adli Bilişim Analizi ve Bilgisayar Olayları İnceleme
Bilişim Sistemlerinde Adli Bilişim Analizi ve Bilgisayar Olayları İncelemeBilişim Sistemlerinde Adli Bilişim Analizi ve Bilgisayar Olayları İnceleme
Bilişim Sistemlerinde Adli Bilişim Analizi ve Bilgisayar Olayları İncelemeBGA Cyber Security
 
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıPenetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıBGA Cyber Security
 
Yazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriYazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriBGA Cyber Security
 
Hosting Firmalarına Yönelik DDoS Saldırıları ve Çözüm Önerileri
Hosting Firmalarına Yönelik DDoS Saldırıları ve Çözüm ÖnerileriHosting Firmalarına Yönelik DDoS Saldırıları ve Çözüm Önerileri
Hosting Firmalarına Yönelik DDoS Saldırıları ve Çözüm ÖnerileriBGA Cyber Security
 
Özgür yazılımlarla DDOS Engelleme
Özgür yazılımlarla DDOS EngellemeÖzgür yazılımlarla DDOS Engelleme
Özgür yazılımlarla DDOS EngellemeBGA Cyber Security
 
SOC Ekiplerinin Problemlerine Güncel Yaklaşımlar - NETSEC
SOC Ekiplerinin Problemlerine Güncel Yaklaşımlar - NETSECSOC Ekiplerinin Problemlerine Güncel Yaklaşımlar - NETSEC
SOC Ekiplerinin Problemlerine Güncel Yaklaşımlar - NETSECBGA Cyber Security
 
Pfsense Firewall ve Router Eğitimi
Pfsense Firewall ve Router EğitimiPfsense Firewall ve Router Eğitimi
Pfsense Firewall ve Router EğitimiBGA Cyber Security
 
Mobile Application Penetration Testing
Mobile Application Penetration TestingMobile Application Penetration Testing
Mobile Application Penetration TestingBGA Cyber Security
 

Viewers also liked (20)

ISTSEC 2013 - Kurumsal Ağlarda Kullanılan Güvenlik Sistemlerini Atlatma
ISTSEC 2013 - Kurumsal Ağlarda Kullanılan Güvenlik Sistemlerini AtlatmaISTSEC 2013 - Kurumsal Ağlarda Kullanılan Güvenlik Sistemlerini Atlatma
ISTSEC 2013 - Kurumsal Ağlarda Kullanılan Güvenlik Sistemlerini Atlatma
 
ISTSEC 2013 - Bir Pentest Gördüm Sanki
ISTSEC 2013 - Bir Pentest Gördüm SankiISTSEC 2013 - Bir Pentest Gördüm Sanki
ISTSEC 2013 - Bir Pentest Gördüm Sanki
 
Güvenlik Mühendisliği
Güvenlik MühendisliğiGüvenlik Mühendisliği
Güvenlik Mühendisliği
 
Siber Saldırı Aracı Olarak DDoS
Siber Saldırı Aracı Olarak DDoSSiber Saldırı Aracı Olarak DDoS
Siber Saldırı Aracı Olarak DDoS
 
BGA Pentest Hizmeti
BGA Pentest HizmetiBGA Pentest Hizmeti
BGA Pentest Hizmeti
 
DDoS Saldırıları ve Korunma Yolları
DDoS Saldırıları ve Korunma YollarıDDoS Saldırıları ve Korunma Yolları
DDoS Saldırıları ve Korunma Yolları
 
Çalıştay | DDoS Saldırıları Nasıl Gerçekleştirilir?
Çalıştay | DDoS Saldırıları Nasıl Gerçekleştirilir?Çalıştay | DDoS Saldırıları Nasıl Gerçekleştirilir?
Çalıştay | DDoS Saldırıları Nasıl Gerçekleştirilir?
 
Web Uygulama Güven(siz)liği
Web Uygulama Güven(siz)liğiWeb Uygulama Güven(siz)liği
Web Uygulama Güven(siz)liği
 
Güvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak DerslerGüvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak Dersler
 
Hackerların Gözünden Bilgi Güvenliği
Hackerların Gözünden Bilgi GüvenliğiHackerların Gözünden Bilgi Güvenliği
Hackerların Gözünden Bilgi Güvenliği
 
DOS, DDOS Atakları ve Korunma Yöntemleri
DOS, DDOS Atakları ve Korunma YöntemleriDOS, DDOS Atakları ve Korunma Yöntemleri
DOS, DDOS Atakları ve Korunma Yöntemleri
 
Bilişim Sistemlerinde Adli Bilişim Analizi ve Bilgisayar Olayları İnceleme
Bilişim Sistemlerinde Adli Bilişim Analizi ve Bilgisayar Olayları İncelemeBilişim Sistemlerinde Adli Bilişim Analizi ve Bilgisayar Olayları İnceleme
Bilişim Sistemlerinde Adli Bilişim Analizi ve Bilgisayar Olayları İnceleme
 
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıPenetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
 
Yazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriYazılım Güvenliği Temelleri
Yazılım Güvenliği Temelleri
 
Hosting Firmalarına Yönelik DDoS Saldırıları ve Çözüm Önerileri
Hosting Firmalarına Yönelik DDoS Saldırıları ve Çözüm ÖnerileriHosting Firmalarına Yönelik DDoS Saldırıları ve Çözüm Önerileri
Hosting Firmalarına Yönelik DDoS Saldırıları ve Çözüm Önerileri
 
Özgür yazılımlarla DDOS Engelleme
Özgür yazılımlarla DDOS EngellemeÖzgür yazılımlarla DDOS Engelleme
Özgür yazılımlarla DDOS Engelleme
 
BGA Eğitim Sunum
BGA Eğitim SunumBGA Eğitim Sunum
BGA Eğitim Sunum
 
SOC Ekiplerinin Problemlerine Güncel Yaklaşımlar - NETSEC
SOC Ekiplerinin Problemlerine Güncel Yaklaşımlar - NETSECSOC Ekiplerinin Problemlerine Güncel Yaklaşımlar - NETSEC
SOC Ekiplerinin Problemlerine Güncel Yaklaşımlar - NETSEC
 
Pfsense Firewall ve Router Eğitimi
Pfsense Firewall ve Router EğitimiPfsense Firewall ve Router Eğitimi
Pfsense Firewall ve Router Eğitimi
 
Mobile Application Penetration Testing
Mobile Application Penetration TestingMobile Application Penetration Testing
Mobile Application Penetration Testing
 

Similar to ISTSEC 2013 - Fuzzy Tabanlı Zaafiyet Araştırması

Web Uygulamalarında Kaynak Kod Analizi - 1
Web Uygulamalarında Kaynak Kod Analizi - 1Web Uygulamalarında Kaynak Kod Analizi - 1
Web Uygulamalarında Kaynak Kod Analizi - 1Mehmet Ince
 
Web Uygulama Güvenliği Ve Güvenli Kod Geliştirme Eğitim Notlarım
Web Uygulama Güvenliği Ve Güvenli Kod Geliştirme Eğitim NotlarımWeb Uygulama Güvenliği Ve Güvenli Kod Geliştirme Eğitim Notlarım
Web Uygulama Güvenliği Ve Güvenli Kod Geliştirme Eğitim NotlarımNur Yesilyurt
 
Infraskope Security Event Manager
Infraskope Security Event ManagerInfraskope Security Event Manager
Infraskope Security Event Managerlogyonetimi
 
38263104760 hamza durak
38263104760 hamza durak38263104760 hamza durak
38263104760 hamza durakHamzaDurak1
 
Mobil Pentest Eğitim Dökümanı
Mobil Pentest Eğitim DökümanıMobil Pentest Eğitim Dökümanı
Mobil Pentest Eğitim DökümanıAhmet Gürel
 
Client-Side Security & csp - Mehmet İnce #SiberGuvenlikKonferansi 14.05.14
Client-Side Security & csp - Mehmet İnce #SiberGuvenlikKonferansi 14.05.14Client-Side Security & csp - Mehmet İnce #SiberGuvenlikKonferansi 14.05.14
Client-Side Security & csp - Mehmet İnce #SiberGuvenlikKonferansi 14.05.14Siber Güvenlik Derneği
 
Siber güvenlik konferansı' 14 client-side security & csp (1)
Siber güvenlik konferansı' 14 client-side security & csp (1)Siber güvenlik konferansı' 14 client-side security & csp (1)
Siber güvenlik konferansı' 14 client-side security & csp (1)Mehmet Ince
 
Ceh ders not
Ceh ders notCeh ders not
Ceh ders notfaruk kan
 
Dogus University-Web Application Security
Dogus University-Web Application SecurityDogus University-Web Application Security
Dogus University-Web Application Securitymtimur
 
MSSQL Hacking ve Post Exploitation Yontemleri
MSSQL Hacking ve Post Exploitation YontemleriMSSQL Hacking ve Post Exploitation Yontemleri
MSSQL Hacking ve Post Exploitation YontemleriEyüp ÇELİK
 
Android Üzerinde Adobe Flex ve AIR ile Yazılım Geliştirme
Android Üzerinde Adobe Flex ve AIR ile Yazılım GeliştirmeAndroid Üzerinde Adobe Flex ve AIR ile Yazılım Geliştirme
Android Üzerinde Adobe Flex ve AIR ile Yazılım GeliştirmeMuharrem Tac
 
Bilge Adam İzmir - Gokhan Sipahi - Robotic Programming with Netduino
Bilge Adam İzmir - Gokhan Sipahi - Robotic Programming with NetduinoBilge Adam İzmir - Gokhan Sipahi - Robotic Programming with Netduino
Bilge Adam İzmir - Gokhan Sipahi - Robotic Programming with Netduinosipahigokhan
 
Metasploit Framework ile Güvenlik Denetimi
Metasploit Framework ile Güvenlik DenetimiMetasploit Framework ile Güvenlik Denetimi
Metasploit Framework ile Güvenlik DenetimiFatih Ozavci
 
Python İle Ağ Programlama
Python İle Ağ ProgramlamaPython İle Ağ Programlama
Python İle Ağ ProgramlamaOguzhan Coskun
 
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux 2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux Burak Oğuz
 

Similar to ISTSEC 2013 - Fuzzy Tabanlı Zaafiyet Araştırması (20)

Web Uygulamalarında Kaynak Kod Analizi - 1
Web Uygulamalarında Kaynak Kod Analizi - 1Web Uygulamalarında Kaynak Kod Analizi - 1
Web Uygulamalarında Kaynak Kod Analizi - 1
 
Web Uygulama Güvenliği Ve Güvenli Kod Geliştirme Eğitim Notlarım
Web Uygulama Güvenliği Ve Güvenli Kod Geliştirme Eğitim NotlarımWeb Uygulama Güvenliği Ve Güvenli Kod Geliştirme Eğitim Notlarım
Web Uygulama Güvenliği Ve Güvenli Kod Geliştirme Eğitim Notlarım
 
.Net ile yazılım güvenliği
.Net ile yazılım güvenliği.Net ile yazılım güvenliği
.Net ile yazılım güvenliği
 
Infraskope Security Event Manager
Infraskope Security Event ManagerInfraskope Security Event Manager
Infraskope Security Event Manager
 
38263104760 hamza durak
38263104760 hamza durak38263104760 hamza durak
38263104760 hamza durak
 
Hamza durak
Hamza durakHamza durak
Hamza durak
 
Mobil Pentest Eğitim Dökümanı
Mobil Pentest Eğitim DökümanıMobil Pentest Eğitim Dökümanı
Mobil Pentest Eğitim Dökümanı
 
Client-Side Security & csp - Mehmet İnce #SiberGuvenlikKonferansi 14.05.14
Client-Side Security & csp - Mehmet İnce #SiberGuvenlikKonferansi 14.05.14Client-Side Security & csp - Mehmet İnce #SiberGuvenlikKonferansi 14.05.14
Client-Side Security & csp - Mehmet İnce #SiberGuvenlikKonferansi 14.05.14
 
Siber güvenlik konferansı' 14 client-side security & csp (1)
Siber güvenlik konferansı' 14 client-side security & csp (1)Siber güvenlik konferansı' 14 client-side security & csp (1)
Siber güvenlik konferansı' 14 client-side security & csp (1)
 
Ceh ders not
Ceh ders notCeh ders not
Ceh ders not
 
Hamza durak
Hamza durakHamza durak
Hamza durak
 
BTRisk Android Mobil Uygulama Denetimi Eğitimi
BTRisk Android Mobil Uygulama Denetimi EğitimiBTRisk Android Mobil Uygulama Denetimi Eğitimi
BTRisk Android Mobil Uygulama Denetimi Eğitimi
 
Dogus University-Web Application Security
Dogus University-Web Application SecurityDogus University-Web Application Security
Dogus University-Web Application Security
 
MSSQL Hacking ve Post Exploitation Yontemleri
MSSQL Hacking ve Post Exploitation YontemleriMSSQL Hacking ve Post Exploitation Yontemleri
MSSQL Hacking ve Post Exploitation Yontemleri
 
Android Üzerinde Adobe Flex ve AIR ile Yazılım Geliştirme
Android Üzerinde Adobe Flex ve AIR ile Yazılım GeliştirmeAndroid Üzerinde Adobe Flex ve AIR ile Yazılım Geliştirme
Android Üzerinde Adobe Flex ve AIR ile Yazılım Geliştirme
 
Bilge Adam İzmir - Gokhan Sipahi - Robotic Programming with Netduino
Bilge Adam İzmir - Gokhan Sipahi - Robotic Programming with NetduinoBilge Adam İzmir - Gokhan Sipahi - Robotic Programming with Netduino
Bilge Adam İzmir - Gokhan Sipahi - Robotic Programming with Netduino
 
Metasploit Framework ile Güvenlik Denetimi
Metasploit Framework ile Güvenlik DenetimiMetasploit Framework ile Güvenlik Denetimi
Metasploit Framework ile Güvenlik Denetimi
 
Python İle Ağ Programlama
Python İle Ağ ProgramlamaPython İle Ağ Programlama
Python İle Ağ Programlama
 
BTRisk iOS Mobil Uygulama Denetimi Eğitimi
BTRisk iOS Mobil Uygulama Denetimi EğitimiBTRisk iOS Mobil Uygulama Denetimi Eğitimi
BTRisk iOS Mobil Uygulama Denetimi Eğitimi
 
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux 2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
 

More from BGA Cyber Security

WEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesiWEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesiBGA Cyber Security
 
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdfTatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdfBGA Cyber Security
 
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık EğitimiÜcretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık EğitimiBGA Cyber Security
 
3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?BGA Cyber Security
 
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBGA Cyber Security
 
Webinar: Popüler black marketler
Webinar: Popüler black marketlerWebinar: Popüler black marketler
Webinar: Popüler black marketlerBGA Cyber Security
 
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım SenaryolarıWebinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım SenaryolarıBGA Cyber Security
 
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020BGA Cyber Security
 
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm ÖnerileriDNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm ÖnerileriBGA Cyber Security
 
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakWebinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakBGA Cyber Security
 
Open Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-IIOpen Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-IIBGA Cyber Security
 
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner GüvenliğiWebinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner GüvenliğiBGA Cyber Security
 
Hacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziHacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziBGA Cyber Security
 
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİRAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİBGA Cyber Security
 
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing RaporuBGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing RaporuBGA Cyber Security
 
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu ÇözümlerSOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu ÇözümlerBGA Cyber Security
 
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of SecretsVeri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of SecretsBGA Cyber Security
 
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi ToplamaAktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi ToplamaBGA Cyber Security
 

More from BGA Cyber Security (20)

WEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesiWEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesi
 
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdfTatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
 
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık EğitimiÜcretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
 
3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?
 
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
 
Webinar: Popüler black marketler
Webinar: Popüler black marketlerWebinar: Popüler black marketler
Webinar: Popüler black marketler
 
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım SenaryolarıWebinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
 
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
 
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm ÖnerileriDNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
 
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakWebinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
 
Open Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-IIOpen Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-II
 
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner GüvenliğiWebinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
 
Hacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziHacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem Analizi
 
Open Source SOC Kurulumu
Open Source SOC KurulumuOpen Source SOC Kurulumu
Open Source SOC Kurulumu
 
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİRAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
 
Siber Fidye 2020 Raporu
Siber Fidye 2020 RaporuSiber Fidye 2020 Raporu
Siber Fidye 2020 Raporu
 
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing RaporuBGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
 
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu ÇözümlerSOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
 
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of SecretsVeri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
 
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi ToplamaAktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
 

ISTSEC 2013 - Fuzzy Tabanlı Zaafiyet Araştırması

  • 2. İçerik 2   Network Protokolleri Fuzzing Nedir?  Network Fuzzing Için Kullanilan Araçlar   Alet Çantası        Spike,Sulley,Peach Spike, Sulley, Peach : Wireshark, Tcpdump Immunity Debugger, OllyDBG, WinDBG Python, Perl, Ruby Spike Kullanım/Özellikler Uygulama Paragraftan Çıkacak Sonuç İstsec - 2013
  • 3. Network Protokolleri - 1 3 Ağ Protokolleri Sunucu istemci arasinki iletişim kuralları bütününe verilen isimdir. Yabancı devlet adamlarının ziyaretleri sırasında kişilerin nerde nasil duracakları ve yapacaklarının belirlenmesi gibi.  Örnek Smtp conversation SERVER: 250 some_mailserver..net Hello ???? [???.???.???.???] (may be forged), pleased to meet you CLIENT: MAIL From:myaddress@mydomain.com SERVER: 250 2.1.0 myaddress@mydomain.com... Sender ok CLIENT: RCPT To:somone@somedomain.com SERVER: 250 recipient <somone@somedomain.com> OK CLIENT: DATA SERVER: 354 enter mail, end with line containing only "."  İstsec - 2013
  • 4. Network Protokolleri - 2 4  Istenilen ağ protokolünün analiz edilmesi için yapılması gereken lab ortamında sunucu istemci arasındaki trafiğin analiz edilmesidir.  Sanallaştırma Ortamı  Paket Analiz Araçları  Analiz amaçlı olarak hazır pcap dosyaları için http://www.netresec.com/?page=PcapFiles sitesi kontrol edilebilir. İstsec - 2013
  • 5. Fuzzing Nedir ? 5  Uygulamanin girdi noktalarına amaçlı olarak rastgele biçimde veri gönderim tekniğidir. Gönderilen bu veriler sonucunda amaç uygulamanın verdiği tepkileri tespit etmektir. İstsec - 2013
  • 6. Alet Çantası 6 Yazılım Görevi Spike, Sullety, Peach Fuzzing işlemini otomatize olarak gerçekleştiren araçlar Wireshark, Tcpdump Ağ analiz yazılımı Immunity Debugger, OllyDBG, WinDBG Tersine mühendislik yazılımı Python, Perl, Ruby TCP/IP paketleri oluşturmak ve göndermek için kullanılan yazılım dilleri İstsec - 2013
  • 7. Spike Özellikler/Kullanım - 1 7  Geliştirici : Dave Aitel Özellik Durum Açık kaynak kodlu EVET Gelistirme Ortami C Betik Destegi Dokümantasyon Kurulum VAR İyi Değil Kolay İstsec - 2013
  • 8. Spike Özellikler/Kullanım - 2 8  - Strings  s_readline(); -> Sunucudan alinan tek satir mesaji ekrana gösterir.  s_string("HELP"); -> Uygulamaya HELP mesajini gönderir.  s_string_repeat("string",200); -> String ifadesinin 200 defa gösterilmesi  s_string_variable("COMMAND"); -> Içerisinde bulunan fuzzin amaçli stringleri uygulamaya gönderir. İstsec - 2013
  • 9. Uygulama - 1 9 Stephen BRDSHAW tarafından eğitim amaçlı geliştirilmiş açıklık barındıran bir Windows uygulaması. Aşağıda belirtilen adresten uygulamaya erişim sağlanabilir. http://sites.google.com/site/lupingreycorner/ vulnserver.zip  Amaç : Uygulama İçerisindeki Buffer Overflow Açıklığının Tespit Edilmesi  İstsec - 2013
  • 10. Uygulama - 2 10     Uygulama çalışmasının analiz edilmesi Uygulama Ağ analiz çalismasi Uygulamaya yönelik fuzzing amaçli programların geliştirilmesi Uygulamanin çalismazlik noktalarinin belirlenmesi ve Debugger ile kontrol edilmesi İstsec - 2013
  • 11. Uygulama - 3 11   Fuzz İşlemi İçin Geliştirien Programlar https://github.com/agguvenligi/fuzz_vuln create_spike_scripts.sh : Fuzz işlemi için gerekli spk dosyalarını oluşturur.  exploit_trun.py : TRUN komutunu sömürmek için kullanılır.  fuzz_vuln.py : Uygulamaya ait tüm komutların işlenmesi için gerekli spk dosyalarını işler.  sample_spike_commands.sh : Spike yazılımına ait TCP paketleri göndermek için kullanılır.  İstsec - 2013
  • 12. Uygulama - 4 12 TRUN Komut İşleme Açıklığı - main(); CreateThread(0,0,ConnectionHandler, (LPVOID)Clien tSocket , 0,0); - strncpy(TrunBuf, RecvBuf, 3000); Function3(TrunBuf); - void Function3(char *Input) { char Buffer2S[2000]; strcpy(Buffer2S, Input); } İstsec - 2013
  • 13. 13 Network Protokolleri İçin Fuzzing Tabanlı Zaafiyet Araştırması - 1  RFC dokümanlarının incelenmesi İstsec - 2013
  • 14. 14 Network Protokolleri İçin Fuzzing Tabanlı Zaafiyet Araştırması - 2  Sunucu ve İstemci arasındaki trafiğin incelenerek protokol çalışma prensiplerinin ortaya konulması İstsec - 2013
  • 15. 15 Network Protokolleri İçin Fuzzing Tabanlı Zaafiyet Araştırması - 3  Tersine mühendislik yöntemleri ile incelenmesi İstsec - 2013
  • 16. Bu Paragraftan Çıkacak Sonuç 16  İçgüdüsel Davranış  ŞANS İstsec - 2013