SlideShare a Scribd company logo

İsmail Burak Tuğrul - Online Bankacılık Uygulamalarında Karlılaşılan Güvenlik Açıkları

Download as PPTX, PDF
CypSec - Siber Güvenlik Konferansı
CypSec - Siber Güvenlik Konferansı

Gerçekleştirmesi planlanan sunumda web ve mobil bankacılık uygulamalarında sıklıkla karşılaşılan güvenlik açıklıklarından ve bu açıklıkların doğurduğu risklerden bahsedilecektir.

Technology
1 of 16
Online Bankacılık Uygulamalarında Karşılaşılan Güvenlik Açıkları 15 Nisan 2015, Girne
• İsmail Burak Tuğrul • Hacettepe Üniversitesi Bilgisayar Mühendisliği • CISSP • Web / Mobil Uygulama Sızma Testleri • İzcilik, altyazı çevirmenliği, tarih araştırmaları Konuşmacı
Sunum İçeriği • Web / Mobil bankacılık uygulamalarında karşılaşılan güvenlik açıklıkları • Açıklığın genel çerçevesi • Oluşturabileceği riskler • Çözüm önerileri
Web / Mobil Uygulama Açıkları - 1 • Yama eksiklikleri – Desteklenmeyen Sürüm Kullanımı • Basit ama önemli • Gerçek durum senaryolarında ana kaldıraç noktası(yayınlanan güvenlik raporları, APT vb.) • Riskler • Uzaktan kod çalıştırma(Uzaktan erişim, DoS vb.) • Web config ele geçirme • Çözüm Önerileri • Patch Management(Change Management)
Web / Mobil Uygulama Açıkları - 2 • CSRF Açıklıkları • Oldukça yaygın • Yazılım geliştiricilerce cookie ile karıştırılması • Riskler • Kurbana bilgisi dışında işlem yaptırma • GET ve POST metodu farkı • Çözüm önerileri • Her istekte güncellenen bir token(OTP gibi)
Web / Mobil Uygulama Açıkları - 3 • Mobil cihazlarda açık olarak saklanan hassas bilgiler • Authentication bilgileri • Cookie bilgileri • Riskler • Cihaza fizikî erişim • Olası tehlikeli yazılımlar ve erişebildikleri kaynaklar • Çözüm Önerileri • Kriptolu saklama • Keychain(iOS)
Web / Mobil Uygulama Açıkları - 4 • JB ya da rootlu cihazlara uygulamanın yüklenebilmesi • İşletim sistemi açıklıklarından yararlanılarak yapılan root / JB işlemi • Riskler • Kötücül yazılım yükleme ihtimalinin artması • Uygulamanın cihazda tuttuğu verilerin çalınması(bir önceki bulguyla da artan etki) • Çözüm önerileri • JB / Root işlemi yapılan cihazlara engelleme
Web / Mobil Uygulama Açıkları - 5 • XSS (Cross-Site Scripting) • İstemci tarafında script çalıştırma • Reflected ve stored XSS • Riskler • Cookie çalınması • Çözüm Önerileri • Girdi validasyonu ve encoding • HttpOnly
Web / Mobil Uygulama Açıkları - 6 • Oturum yönetimi açıklıkları • Anonim fazdan tanılanmış faza geçiş • Çok faktörlü tanılamada karşılaşılan sorunlar • Riskler • Yetkisiz erişim ihlâlleri • DoS atakları(anonim erişilen yüksek boyutlu kaynaklar) • Regülasyon sorunları(Birden fazla faktör eksikliği) • Çözüm önerileri • Her fazda değişen oturum çerezi • Tanılama fazlarının kontrolü
Web / Mobil Uygulama Açıkları - 7 • Parola politikası • Bir diğer basit ama en çok sorun çıkaran nokta • Uzunluk politikası • Karmaşıklık politikası • Riskler • Kullanıcı hesabının ele geçirilmesi • Yetkisiz erişim ihlâlleri • Çözüm önerileri • Etkin parola politikasının uygulanması(Min. 8 karakter, büyük-küçük harf, özel karakter)
Web / Mobil Uygulama Açıkları - 8 • Yatay ve dikey erişim ihlâlleri • Aynı yetki seviyesindeki diğer kullanıcı kaynaklarına erişim • Üst yetki seviyesindeki kaynaklara erişim • Riskler • Yetkisiz erişim ihlâlleri • Gizlilik ve bütünlük ihlâlleri • Çözüm önerileri • İlgili fonksiyonlara sadece yetkili kullanıcılarca erişim sağlanması
Web / Mobil Uygulama Açıkları - 9 • Certificate Pinning(Mobil) • Güvenlik sertifikası iğnelenmesi • Sertifika otoritelerinden kaynaklı sorunlar • Mutual authentication • Riskler • İletişimin gizliliğinin ihlâli • Ortak internet erişim noktaları • Çözüm önerileri • Uygulama kaynak kodu içine hard-coded • Sertifikanın kendisi ya da Public Key’i
Web / Mobil Uygulama Açıkları - 10 • Dosya yükleme fonksiyonu açıklıkları(Backdoor shell) • Web / uygulamaya sunucuya zararlı dosya yüklenmesi(WAR) • Riskler • Sunucunun ele geçirilmesi • Veri sızması / sızdırılması • Çözüm önerileri • Tehlikeli karakterlerin kontrolü(Injection) • Dosya yükleme dizininin kontrolü(web-root) • En güncel sürüm kullanımı
Son Söz • Tespit edilen açıklıklar bütüncül olarak değerlendirilmeli • İki düşük kritiklikteki zafiyet daha büyük riskler oluşturabilir • Güncel sürümler kullanılmalı • Mantık hataları gözden geçirilmeli(ör. Bilet satın alma)
Teşekkürler Sorularınız?
İsmail Burak Tuğrul - Online Bankacılık Uygulamalarında Karlılaşılan Güvenlik Açıkları

Recommended

50. Kütüphane Haftası - 50th Library Week - Kütüphane Otomasyon Sistemleri
50. Kütüphane Haftası - 50th Library Week - Kütüphane Otomasyon Sistemleri50. Kütüphane Haftası - 50th Library Week - Kütüphane Otomasyon Sistemleri
50. Kütüphane Haftası - 50th Library Week - Kütüphane Otomasyon Sistemleriubulgan
 
Evren Yalçın - Fatmagül Ergani - Kurumsal firmalar için hata avcılığı
Evren Yalçın - Fatmagül Ergani - Kurumsal firmalar için hata avcılığıEvren Yalçın - Fatmagül Ergani - Kurumsal firmalar için hata avcılığı
Evren Yalçın - Fatmagül Ergani - Kurumsal firmalar için hata avcılığıCypSec - Siber Güvenlik Konferansı
 
Medikal Bilgi Sistemlerinde Güvenlik, Mahremiyet ve Kimlik Doğrulama
Medikal Bilgi Sistemlerinde Güvenlik, Mahremiyet ve Kimlik DoğrulamaMedikal Bilgi Sistemlerinde Güvenlik, Mahremiyet ve Kimlik Doğrulama
Medikal Bilgi Sistemlerinde Güvenlik, Mahremiyet ve Kimlik DoğrulamaŞüheda Acar
 
Bünyamin Demir - Secure YourApp
Bünyamin Demir - Secure YourAppBünyamin Demir - Secure YourApp
Bünyamin Demir - Secure YourAppCypSec - Siber Güvenlik Konferansı
 
Canberk Bolat - Alice Android Diyarında
Canberk Bolat - Alice Android DiyarındaCanberk Bolat - Alice Android Diyarında
Canberk Bolat - Alice Android DiyarındaCypSec - Siber Güvenlik Konferansı
 
Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...
Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...
Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...CypSec - Siber Güvenlik Konferansı
 
Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı...
Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı...Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı...
Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı...CypSec - Siber Güvenlik Konferansı
 
Minhaç Çelik - Ülkelerin Siber Güvenlik Stratejileri ve Siber Güvenlik Strate...
Minhaç Çelik - Ülkelerin Siber Güvenlik Stratejileri ve Siber Güvenlik Strate...Minhaç Çelik - Ülkelerin Siber Güvenlik Stratejileri ve Siber Güvenlik Strate...
Minhaç Çelik - Ülkelerin Siber Güvenlik Stratejileri ve Siber Güvenlik Strate...CypSec - Siber Güvenlik Konferansı
 

Recommended

50. Kütüphane Haftası - 50th Library Week - Kütüphane Otomasyon Sistemleri
50. Kütüphane Haftası - 50th Library Week - Kütüphane Otomasyon Sistemleri50. Kütüphane Haftası - 50th Library Week - Kütüphane Otomasyon Sistemleri
50. Kütüphane Haftası - 50th Library Week - Kütüphane Otomasyon Sistemleriubulgan
 
Evren Yalçın - Fatmagül Ergani - Kurumsal firmalar için hata avcılığı
Evren Yalçın - Fatmagül Ergani - Kurumsal firmalar için hata avcılığıEvren Yalçın - Fatmagül Ergani - Kurumsal firmalar için hata avcılığı
Evren Yalçın - Fatmagül Ergani - Kurumsal firmalar için hata avcılığıCypSec - Siber Güvenlik Konferansı
 
Medikal Bilgi Sistemlerinde Güvenlik, Mahremiyet ve Kimlik Doğrulama
Medikal Bilgi Sistemlerinde Güvenlik, Mahremiyet ve Kimlik DoğrulamaMedikal Bilgi Sistemlerinde Güvenlik, Mahremiyet ve Kimlik Doğrulama
Medikal Bilgi Sistemlerinde Güvenlik, Mahremiyet ve Kimlik DoğrulamaŞüheda Acar
 
Bünyamin Demir - Secure YourApp
Bünyamin Demir - Secure YourAppBünyamin Demir - Secure YourApp
Bünyamin Demir - Secure YourAppCypSec - Siber Güvenlik Konferansı
 
Canberk Bolat - Alice Android Diyarında
Canberk Bolat - Alice Android DiyarındaCanberk Bolat - Alice Android Diyarında
Canberk Bolat - Alice Android DiyarındaCypSec - Siber Güvenlik Konferansı
 
Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...
Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...
Emre Tınaztepe - FileLocker Zararlıları (Çalışma Mantıkları ve Analiz Yönteml...CypSec - Siber Güvenlik Konferansı
 
Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı...
Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı...Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı...
Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı...CypSec - Siber Güvenlik Konferansı
 
Minhaç Çelik - Ülkelerin Siber Güvenlik Stratejileri ve Siber Güvenlik Strate...
Minhaç Çelik - Ülkelerin Siber Güvenlik Stratejileri ve Siber Güvenlik Strate...Minhaç Çelik - Ülkelerin Siber Güvenlik Stratejileri ve Siber Güvenlik Strate...
Minhaç Çelik - Ülkelerin Siber Güvenlik Stratejileri ve Siber Güvenlik Strate...CypSec - Siber Güvenlik Konferansı
 
Onur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle Saldırıları
Onur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle SaldırılarıOnur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle Saldırıları
Onur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle SaldırılarıCypSec - Siber Güvenlik Konferansı
 
Canberk Bolat & Barış Vidin - İzleniyorsunuz
Canberk Bolat & Barış Vidin - İzleniyorsunuzCanberk Bolat & Barış Vidin - İzleniyorsunuz
Canberk Bolat & Barış Vidin - İzleniyorsunuzCypSec - Siber Güvenlik Konferansı
 
Can Deger - Ben Heykır Olcam
Can Deger - Ben Heykır OlcamCan Deger - Ben Heykır Olcam
Can Deger - Ben Heykır OlcamCypSec - Siber Güvenlik Konferansı
 
Bünyamin Demir - 10 Adımda Yazılım Güvenliği
Bünyamin Demir - 10 Adımda Yazılım GüvenliğiBünyamin Demir - 10 Adımda Yazılım Güvenliği
Bünyamin Demir - 10 Adımda Yazılım GüvenliğiCypSec - Siber Güvenlik Konferansı
 
Bilgi ve veri güvenliği
Bilgi ve veri güvenliğiBilgi ve veri güvenliği
Bilgi ve veri güvenliğigksl26
 
Yrd. Doç. Dr. Yavuz Erdoğan
Yrd. Doç. Dr. Yavuz ErdoğanYrd. Doç. Dr. Yavuz Erdoğan
Yrd. Doç. Dr. Yavuz ErdoğanCypSec - Siber Güvenlik Konferansı
 
Can Yıldızlı - Koryak Uzan - Fiziksel Sızma Testi (İntelRad)
Can Yıldızlı - Koryak Uzan - Fiziksel Sızma Testi (İntelRad)Can Yıldızlı - Koryak Uzan - Fiziksel Sızma Testi (İntelRad)
Can Yıldızlı - Koryak Uzan - Fiziksel Sızma Testi (İntelRad)CypSec - Siber Güvenlik Konferansı
 
Bilgi güvenliği
Bilgi güvenliğiBilgi güvenliği
Bilgi güvenliğiPınar Kalkışım
 
Guclu parola sunumu
Guclu parola sunumuGuclu parola sunumu
Guclu parola sunumusemravural
 
BİLGİSAYAR AĞLARI VE İNTERNET
BİLGİSAYAR AĞLARI VE İNTERNETBİLGİSAYAR AĞLARI VE İNTERNET
BİLGİSAYAR AĞLARI VE İNTERNETsemravural
 
Bilişim Güvenliği
Bilişim GüvenliğiBilişim Güvenliği
Bilişim GüvenliğiMurat Özalp
 
Bilişim Suçları
Bilişim SuçlarıBilişim Suçları
Bilişim Suçlarısemravural
 
Suleyman Özarslan - 2014 Hackerların Yükselişi
Suleyman Özarslan - 2014 Hackerların YükselişiSuleyman Özarslan - 2014 Hackerların Yükselişi
Suleyman Özarslan - 2014 Hackerların YükselişiCypSec - Siber Güvenlik Konferansı
 
Posta kutusundaki-siber-tuzaklar-sunumu
Posta kutusundaki-siber-tuzaklar-sunumuPosta kutusundaki-siber-tuzaklar-sunumu
Posta kutusundaki-siber-tuzaklar-sunumusemravural
 
Adil Burak Sadıç - Siber Güvenlik mi, Bilgi Güvenliği mi, BT Güvenliği mi?
Adil Burak Sadıç - Siber Güvenlik mi, Bilgi Güvenliği mi, BT Güvenliği mi? Adil Burak Sadıç - Siber Güvenlik mi, Bilgi Güvenliği mi, BT Güvenliği mi?
Adil Burak Sadıç - Siber Güvenlik mi, Bilgi Güvenliği mi, BT Güvenliği mi? CypSec - Siber Güvenlik Konferansı
 
Bilgi Güvenliği Farkındalık Eğitimi Sunumu
Bilgi Güvenliği Farkındalık Eğitimi SunumuBilgi Güvenliği Farkındalık Eğitimi Sunumu
Bilgi Güvenliği Farkındalık Eğitimi SunumuBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Bilgi Güvenliği Farkındalık Eğitim Sunumu
Bilgi Güvenliği Farkındalık Eğitim SunumuBilgi Güvenliği Farkındalık Eğitim Sunumu
Bilgi Güvenliği Farkındalık Eğitim SunumuBGA Cyber Security
 
Gerçek Dünyadan Siber Saldırı Örnekleri
Gerçek Dünyadan Siber Saldırı Örnekleri Gerçek Dünyadan Siber Saldırı Örnekleri
Gerçek Dünyadan Siber Saldırı Örnekleri BGA Cyber Security
 
Siber güvenlik ve hacking
Siber güvenlik ve hackingSiber güvenlik ve hacking
Siber güvenlik ve hackingAlper Başaran
 
Mobil Sistemler ve Uygulama Güvenliği
Mobil Sistemler ve Uygulama GüvenliğiMobil Sistemler ve Uygulama Güvenliği
Mobil Sistemler ve Uygulama GüvenliğiBGA Cyber Security
 
Mobile First Indexing
Mobile First Indexing Mobile First Indexing
Mobile First Indexing ceydaaricioglu
 
Yapılan ağ saldırılarına karşı önlemler
Yapılan ağ saldırılarına karşı önlemlerYapılan ağ saldırılarına karşı önlemler
Yapılan ağ saldırılarına karşı önlemlerIlkin Azizov
 

More Related Content

Viewers also liked

Onur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle Saldırıları
Onur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle SaldırılarıOnur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle Saldırıları
Onur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle SaldırılarıCypSec - Siber Güvenlik Konferansı
 
Bilgi ve veri güvenliği
Bilgi ve veri güvenliğiBilgi ve veri güvenliği
Bilgi ve veri güvenliğigksl26
 
Guclu parola sunumu
Guclu parola sunumuGuclu parola sunumu
Guclu parola sunumusemravural
 
BİLGİSAYAR AĞLARI VE İNTERNET
BİLGİSAYAR AĞLARI VE İNTERNETBİLGİSAYAR AĞLARI VE İNTERNET
BİLGİSAYAR AĞLARI VE İNTERNETsemravural
 
Bilişim Güvenliği
Bilişim GüvenliğiBilişim Güvenliği
Bilişim GüvenliğiMurat Özalp
 
Bilişim Suçları
Bilişim SuçlarıBilişim Suçları
Bilişim Suçlarısemravural
 
Posta kutusundaki-siber-tuzaklar-sunumu
Posta kutusundaki-siber-tuzaklar-sunumuPosta kutusundaki-siber-tuzaklar-sunumu
Posta kutusundaki-siber-tuzaklar-sunumusemravural
 
Adil Burak Sadıç - Siber Güvenlik mi, Bilgi Güvenliği mi, BT Güvenliği mi?
Adil Burak Sadıç - Siber Güvenlik mi, Bilgi Güvenliği mi, BT Güvenliği mi? Adil Burak Sadıç - Siber Güvenlik mi, Bilgi Güvenliği mi, BT Güvenliği mi?
Adil Burak Sadıç - Siber Güvenlik mi, Bilgi Güvenliği mi, BT Güvenliği mi? CypSec - Siber Güvenlik Konferansı
 
Bilgi Güvenliği Farkındalık Eğitim Sunumu
Bilgi Güvenliği Farkındalık Eğitim SunumuBilgi Güvenliği Farkındalık Eğitim Sunumu
Bilgi Güvenliği Farkındalık Eğitim SunumuBGA Cyber Security
 
Gerçek Dünyadan Siber Saldırı Örnekleri
Gerçek Dünyadan Siber Saldırı Örnekleri Gerçek Dünyadan Siber Saldırı Örnekleri
Gerçek Dünyadan Siber Saldırı Örnekleri BGA Cyber Security
 
Siber güvenlik ve hacking
Siber güvenlik ve hackingSiber güvenlik ve hacking
Siber güvenlik ve hackingAlper Başaran
 

Viewers also liked (19)

Onur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle Saldırıları
Onur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle SaldırılarıOnur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle Saldırıları
Onur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle Saldırıları
 
Canberk Bolat & Barış Vidin - İzleniyorsunuz
Canberk Bolat & Barış Vidin - İzleniyorsunuzCanberk Bolat & Barış Vidin - İzleniyorsunuz
Canberk Bolat & Barış Vidin - İzleniyorsunuz
 
Can Deger - Ben Heykır Olcam
Can Deger - Ben Heykır OlcamCan Deger - Ben Heykır Olcam
Can Deger - Ben Heykır Olcam
 
Bünyamin Demir - 10 Adımda Yazılım Güvenliği
Bünyamin Demir - 10 Adımda Yazılım GüvenliğiBünyamin Demir - 10 Adımda Yazılım Güvenliği
Bünyamin Demir - 10 Adımda Yazılım Güvenliği
 
Bilgi ve veri güvenliği
Bilgi ve veri güvenliğiBilgi ve veri güvenliği
Bilgi ve veri güvenliği
 
Yrd. Doç. Dr. Yavuz Erdoğan
Yrd. Doç. Dr. Yavuz ErdoğanYrd. Doç. Dr. Yavuz Erdoğan
Yrd. Doç. Dr. Yavuz Erdoğan
 
Can Yıldızlı - Koryak Uzan - Fiziksel Sızma Testi (İntelRad)
Can Yıldızlı - Koryak Uzan - Fiziksel Sızma Testi (İntelRad)Can Yıldızlı - Koryak Uzan - Fiziksel Sızma Testi (İntelRad)
Can Yıldızlı - Koryak Uzan - Fiziksel Sızma Testi (İntelRad)
 
Bilgi güvenliği
Bilgi güvenliğiBilgi güvenliği
Bilgi güvenliği
 
Guclu parola sunumu
Guclu parola sunumuGuclu parola sunumu
Guclu parola sunumu
 
BİLGİSAYAR AĞLARI VE İNTERNET
BİLGİSAYAR AĞLARI VE İNTERNETBİLGİSAYAR AĞLARI VE İNTERNET
BİLGİSAYAR AĞLARI VE İNTERNET
 
Bilişim Güvenliği
Bilişim GüvenliğiBilişim Güvenliği
Bilişim Güvenliği
 
Bilişim Suçları
Bilişim SuçlarıBilişim Suçları
Bilişim Suçları
 
Suleyman Özarslan - 2014 Hackerların Yükselişi
Suleyman Özarslan - 2014 Hackerların YükselişiSuleyman Özarslan - 2014 Hackerların Yükselişi
Suleyman Özarslan - 2014 Hackerların Yükselişi
 
Posta kutusundaki-siber-tuzaklar-sunumu
Posta kutusundaki-siber-tuzaklar-sunumuPosta kutusundaki-siber-tuzaklar-sunumu
Posta kutusundaki-siber-tuzaklar-sunumu
 
Adil Burak Sadıç - Siber Güvenlik mi, Bilgi Güvenliği mi, BT Güvenliği mi?
Adil Burak Sadıç - Siber Güvenlik mi, Bilgi Güvenliği mi, BT Güvenliği mi? Adil Burak Sadıç - Siber Güvenlik mi, Bilgi Güvenliği mi, BT Güvenliği mi?
Adil Burak Sadıç - Siber Güvenlik mi, Bilgi Güvenliği mi, BT Güvenliği mi?
 
Bilgi Güvenliği Farkındalık Eğitimi Sunumu
Bilgi Güvenliği Farkındalık Eğitimi SunumuBilgi Güvenliği Farkındalık Eğitimi Sunumu
Bilgi Güvenliği Farkındalık Eğitimi Sunumu
 
Bilgi Güvenliği Farkındalık Eğitim Sunumu
Bilgi Güvenliği Farkındalık Eğitim SunumuBilgi Güvenliği Farkındalık Eğitim Sunumu
Bilgi Güvenliği Farkındalık Eğitim Sunumu
 
Gerçek Dünyadan Siber Saldırı Örnekleri
Gerçek Dünyadan Siber Saldırı Örnekleri Gerçek Dünyadan Siber Saldırı Örnekleri
Gerçek Dünyadan Siber Saldırı Örnekleri
 
Siber güvenlik ve hacking
Siber güvenlik ve hackingSiber güvenlik ve hacking
Siber güvenlik ve hacking
 

Similar to İsmail Burak Tuğrul - Online Bankacılık Uygulamalarında Karlılaşılan Güvenlik Açıkları

Mobil Sistemler ve Uygulama Güvenliği
Mobil Sistemler ve Uygulama GüvenliğiMobil Sistemler ve Uygulama Güvenliği
Mobil Sistemler ve Uygulama GüvenliğiBGA Cyber Security
 
Mobile First Indexing
Mobile First Indexing Mobile First Indexing
Mobile First Indexing ceydaaricioglu
 
Yapılan ağ saldırılarına karşı önlemler
Yapılan ağ saldırılarına karşı önlemlerYapılan ağ saldırılarına karşı önlemler
Yapılan ağ saldırılarına karşı önlemlerIlkin Azizov
 
Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)Cihan Özhan
 
mobile computing and mobilizing enterprise
mobile computing and mobilizing enterprisemobile computing and mobilizing enterprise
mobile computing and mobilizing enterpriseFaik GÜNAY
 
Mobil Pentest Eğitim Dökümanı
Mobil Pentest Eğitim DökümanıMobil Pentest Eğitim Dökümanı
Mobil Pentest Eğitim DökümanıAhmet Gürel
 

Similar to İsmail Burak Tuğrul - Online Bankacılık Uygulamalarında Karlılaşılan Güvenlik Açıkları (9)

Mobil Sistemler ve Uygulama Güvenliği
Mobil Sistemler ve Uygulama GüvenliğiMobil Sistemler ve Uygulama Güvenliği
Mobil Sistemler ve Uygulama Güvenliği
 
Mobile First Indexing
Mobile First Indexing Mobile First Indexing
Mobile First Indexing
 
Yapılan ağ saldırılarına karşı önlemler
Yapılan ağ saldırılarına karşı önlemlerYapılan ağ saldırılarına karşı önlemler
Yapılan ağ saldırılarına karşı önlemler
 
Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)
 
Güvenlik Duvarları ve Yazılımları
Güvenlik Duvarları ve YazılımlarıGüvenlik Duvarları ve Yazılımları
Güvenlik Duvarları ve Yazılımları
 
mobile computing and mobilizing enterprise
mobile computing and mobilizing enterprisemobile computing and mobilizing enterprise
mobile computing and mobilizing enterprise
 
Web Uygulama Güven(siz)liği
Web Uygulama Güven(siz)liğiWeb Uygulama Güven(siz)liği
Web Uygulama Güven(siz)liği
 
Zed attack-proxy-web
Zed attack-proxy-webZed attack-proxy-web
Zed attack-proxy-web
 
Mobil Pentest Eğitim Dökümanı
Mobil Pentest Eğitim DökümanıMobil Pentest Eğitim Dökümanı
Mobil Pentest Eğitim Dökümanı
 

İsmail Burak Tuğrul - Online Bankacılık Uygulamalarında Karlılaşılan Güvenlik Açıkları

  • 1. Online Bankacılık Uygulamalarında Karşılaşılan Güvenlik Açıkları 15 Nisan 2015, Girne
  • 2. • İsmail Burak Tuğrul • Hacettepe Üniversitesi Bilgisayar Mühendisliği • CISSP • Web / Mobil Uygulama Sızma Testleri • İzcilik, altyazı çevirmenliği, tarih araştırmaları Konuşmacı
  • 3. Sunum İçeriği • Web / Mobil bankacılık uygulamalarında karşılaşılan güvenlik açıklıkları • Açıklığın genel çerçevesi • Oluşturabileceği riskler • Çözüm önerileri
  • 4. Web / Mobil Uygulama Açıkları - 1 • Yama eksiklikleri – Desteklenmeyen Sürüm Kullanımı • Basit ama önemli • Gerçek durum senaryolarında ana kaldıraç noktası(yayınlanan güvenlik raporları, APT vb.) • Riskler • Uzaktan kod çalıştırma(Uzaktan erişim, DoS vb.) • Web config ele geçirme • Çözüm Önerileri • Patch Management(Change Management)
  • 5. Web / Mobil Uygulama Açıkları - 2 • CSRF Açıklıkları • Oldukça yaygın • Yazılım geliştiricilerce cookie ile karıştırılması • Riskler • Kurbana bilgisi dışında işlem yaptırma • GET ve POST metodu farkı • Çözüm önerileri • Her istekte güncellenen bir token(OTP gibi)
  • 6. Web / Mobil Uygulama Açıkları - 3 • Mobil cihazlarda açık olarak saklanan hassas bilgiler • Authentication bilgileri • Cookie bilgileri • Riskler • Cihaza fizikî erişim • Olası tehlikeli yazılımlar ve erişebildikleri kaynaklar • Çözüm Önerileri • Kriptolu saklama • Keychain(iOS)
  • 7. Web / Mobil Uygulama Açıkları - 4 • JB ya da rootlu cihazlara uygulamanın yüklenebilmesi • İşletim sistemi açıklıklarından yararlanılarak yapılan root / JB işlemi • Riskler • Kötücül yazılım yükleme ihtimalinin artması • Uygulamanın cihazda tuttuğu verilerin çalınması(bir önceki bulguyla da artan etki) • Çözüm önerileri • JB / Root işlemi yapılan cihazlara engelleme
  • 8. Web / Mobil Uygulama Açıkları - 5 • XSS (Cross-Site Scripting) • İstemci tarafında script çalıştırma • Reflected ve stored XSS • Riskler • Cookie çalınması • Çözüm Önerileri • Girdi validasyonu ve encoding • HttpOnly
  • 9. Web / Mobil Uygulama Açıkları - 6 • Oturum yönetimi açıklıkları • Anonim fazdan tanılanmış faza geçiş • Çok faktörlü tanılamada karşılaşılan sorunlar • Riskler • Yetkisiz erişim ihlâlleri • DoS atakları(anonim erişilen yüksek boyutlu kaynaklar) • Regülasyon sorunları(Birden fazla faktör eksikliği) • Çözüm önerileri • Her fazda değişen oturum çerezi • Tanılama fazlarının kontrolü
  • 10. Web / Mobil Uygulama Açıkları - 7 • Parola politikası • Bir diğer basit ama en çok sorun çıkaran nokta • Uzunluk politikası • Karmaşıklık politikası • Riskler • Kullanıcı hesabının ele geçirilmesi • Yetkisiz erişim ihlâlleri • Çözüm önerileri • Etkin parola politikasının uygulanması(Min. 8 karakter, büyük-küçük harf, özel karakter)
  • 11. Web / Mobil Uygulama Açıkları - 8 • Yatay ve dikey erişim ihlâlleri • Aynı yetki seviyesindeki diğer kullanıcı kaynaklarına erişim • Üst yetki seviyesindeki kaynaklara erişim • Riskler • Yetkisiz erişim ihlâlleri • Gizlilik ve bütünlük ihlâlleri • Çözüm önerileri • İlgili fonksiyonlara sadece yetkili kullanıcılarca erişim sağlanması
  • 12. Web / Mobil Uygulama Açıkları - 9 • Certificate Pinning(Mobil) • Güvenlik sertifikası iğnelenmesi • Sertifika otoritelerinden kaynaklı sorunlar • Mutual authentication • Riskler • İletişimin gizliliğinin ihlâli • Ortak internet erişim noktaları • Çözüm önerileri • Uygulama kaynak kodu içine hard-coded • Sertifikanın kendisi ya da Public Key’i
  • 13. Web / Mobil Uygulama Açıkları - 10 • Dosya yükleme fonksiyonu açıklıkları(Backdoor shell) • Web / uygulamaya sunucuya zararlı dosya yüklenmesi(WAR) • Riskler • Sunucunun ele geçirilmesi • Veri sızması / sızdırılması • Çözüm önerileri • Tehlikeli karakterlerin kontrolü(Injection) • Dosya yükleme dizininin kontrolü(web-root) • En güncel sürüm kullanımı
  • 14. Son Söz • Tespit edilen açıklıklar bütüncül olarak değerlendirilmeli • İki düşük kritiklikteki zafiyet daha büyük riskler oluşturabilir • Güncel sürümler kullanılmalı • Mantık hataları gözden geçirilmeli(ör. Bilet satın alma)