SlideShare a Scribd company logo

Bga Bank Ultimate Representation

Download as PPTX, PDF
H
Harun Tamokur

25 October 2016 - iscturkey International 9. Cyber Security and Cryptology Conference

Science
1 of 22
BGA BANK Ultimate İSTISMAR EDILEBILIR ÇEVRİM İÇİ BANKACILIK UYGULAMASI HARUN TAMOKUR CÜNEYT BAYILMIŞ FORD OTOMOTIV SAN. A.Ş.,KOCAELI, TÜRKİYE SAKARYA ÜNIVERSITESI, BILGISAYAR VE BILIŞIM BILIMLERI FAKÜLTESI HTAMOKUR@FORD.COM.TR BILGISAYAR MÜHENDISLIĞI BÖLÜMÜ,SAKARYA, TÜRKİYE CBAYILMIS@SAKARYA.EDU.TR HUZEYFE ÖNAL BGA BILGI GÜVENLIĞI LTD. İSTANBUL, TÜRKİYE HUZEYFE.ONAL@BGA.COM.TR
Dünyadaki Atak Tiplerinin Dağılımı
Web Güvenliği Atak Tiplerinin Dağılımı
Ülkemizin Siber Saldırılarda Dünyadaki Yeri-2015
Yüzdelerden Çıkarılacak Sonuçlar  Giderek artmakta olan siber saldırı olaylarına müdahale anında ve kesin olmalı  Daha fazla güvenlik personeline ihtiyaç duyulmaktadır  Bilgilendirme toplantıları ve eğitim ortamlarına ihtiyaç duyulmaktadır  Owasp WebGoat, Acunetix Test Pages, bWAPP, DVWA gibi uygulamalara alternatif olarak gerçek senaryoları barındıran BGA BANK projesi geliştirilmiştir.
BGA BANK  BGA BANK istismar edilebilir bir bankacılık uygulamasıdır.  Yurt dışı kaynaklı güvenlik firmalarının da benzeri istismar edilebilir uygulamaları vardır.  Projenin onlardan farklı ise gerçek bir bankacılık senaryosu üzerine kurulmuş olmasıdır.  Önceki BGA BANK sürümünde tek güvenlik seviyesi-Güvensiz  Önceki BGA BANK sürümü PHP yazılım dilinde kodlanmıştı
BGA BANK Ultimate  BGA BANK Ultimate 3 aşamalı güvenlik seviyesine sahiptir.  Güvensiz  WAF-Web Uygulama Güvenlik Duvarı (Modsecurity)  Güvenli  BGA BANK Ultimate ASP.Net platformunda C# yazılım diliyle geliştirilmiştir.  BGA BANK Ultimate TÜBİTAK 2209-B - Sanayi Odaklı Lisans Bitirme Tezi Destekleme Programı kapsamında desteklenmiştir.
Uygulamadaki Zayıflık Tipleri
Başlangıç Sayfası
Anasayfa – Haber Arama Menüsü
Başvuru Sayfası
Bireysel Giriş-Authentication Bypass Müşteri Numarası :100001 Şifre: ' or 1=1--
Kullanıcı Anasayfası
Müşteri Memnuniyeti-Stored XSS Örnek payload(zararlı kod): "><script>document.write(document.cookie) </script>
Haber Arama Sayfası-SQL Injection Açıklığı
SQL Injection İstismarı
MSSQL Sunucusunda Klasöre Veri Yazmayı Aktifleştirme  EXEC sp_configure 'show advanced options', 1  EXEC sp_configure reconfigure  EXEC sp_configure 'xp_cmdshell', 1  EXEC sp_configure reconfigure
Veri Yazdırma  www.bgabank.ultimate.com/g_arama.aspx?kelime=1"' exec xp_cmdshell 'echo veri yazdırılıyor >> c:/inetpub/yeni.txt';-
Hesap Özeti
IDOR-Güvensiz Doğrudan Nesne Referansı  Aynı sayfada farklı bir kullanıcının hesap bilgilerine ulaşılması
Sonuçlar  Yazılımcılar daha uygulamayı kodlama aşamasında açıklıklara karşı gerekli önlemlerini almalı.  Bu tür uygulamalar son kullanıcılar, yazılımcılar ve güvenlik araştırmacıları için tehlikeyi yerinde görmek amacıyla önem arz etmektedir.  Tehlikeli girdilere karşı gerekli önlemler hem yazılımcı hemde son kullanıcı tarafından alınmış olmalı.(Tarayıcı özellikleri vb.)  Kişiler bilgilendirilmeli ve bilgiler her zaman güncellenmelidir.
Dinlediğiniz İçin Teşekkürler  Harun Tamokur  www.haruntamokur.com  Twitter: @Haruntamokur  Github: https://github.com/haruntmkr

Recommended

Beycon Projeler
Beycon ProjelerBeycon Projeler
Beycon ProjelerBeycon Bilgi İletişim Hizmetleri Danışmanlık ve Dış Ticaret Ltd Şti
 
BGA BANK Web Güvenlik Testleri Uygulama Kitabı V1
BGA BANK Web Güvenlik Testleri Uygulama Kitabı V1BGA BANK Web Güvenlik Testleri Uygulama Kitabı V1
BGA BANK Web Güvenlik Testleri Uygulama Kitabı V1BGA Cyber Security
 
Visual CryptoGraphy
Visual CryptoGraphyVisual CryptoGraphy
Visual CryptoGraphypallavikhandekar212
 
BGA CTF Ethical Hacking Yarışması Çözümleri
BGA CTF Ethical Hacking Yarışması ÇözümleriBGA CTF Ethical Hacking Yarışması Çözümleri
BGA CTF Ethical Hacking Yarışması ÇözümleriBGA Cyber Security
 
Siber Güvenlik Eğitiminde Uluslararası CTF Yarışmaları
Siber Güvenlik Eğitiminde Uluslararası CTF YarışmalarıSiber Güvenlik Eğitiminde Uluslararası CTF Yarışmaları
Siber Güvenlik Eğitiminde Uluslararası CTF YarışmalarıDr. Emin İslam Tatlı
 
İleri Seviye Ağ Güvenliği Lab Kitabı
İleri Seviye Ağ Güvenliği Lab Kitabıİleri Seviye Ağ Güvenliği Lab Kitabı
İleri Seviye Ağ Güvenliği Lab KitabıBGA Cyber Security
 
Cuneyd Uzun - Dijital Dünyada Siber Risk Yönetimi
Cuneyd Uzun - Dijital Dünyada Siber Risk YönetimiCuneyd Uzun - Dijital Dünyada Siber Risk Yönetimi
Cuneyd Uzun - Dijital Dünyada Siber Risk YönetimiCüneyd Uzun
 
8 Ocak 2015 SOME Etkinligi - BGA Bank Vulnerable Web Application
8 Ocak 2015 SOME Etkinligi - BGA Bank Vulnerable Web Application8 Ocak 2015 SOME Etkinligi - BGA Bank Vulnerable Web Application
8 Ocak 2015 SOME Etkinligi - BGA Bank Vulnerable Web ApplicationBGA Cyber Security
 

Recommended

Beycon Projeler
Beycon ProjelerBeycon Projeler
Beycon ProjelerBeycon Bilgi İletişim Hizmetleri Danışmanlık ve Dış Ticaret Ltd Şti
 
BGA BANK Web Güvenlik Testleri Uygulama Kitabı V1
BGA BANK Web Güvenlik Testleri Uygulama Kitabı V1BGA BANK Web Güvenlik Testleri Uygulama Kitabı V1
BGA BANK Web Güvenlik Testleri Uygulama Kitabı V1BGA Cyber Security
 
Visual CryptoGraphy
Visual CryptoGraphyVisual CryptoGraphy
Visual CryptoGraphypallavikhandekar212
 
BGA CTF Ethical Hacking Yarışması Çözümleri
BGA CTF Ethical Hacking Yarışması ÇözümleriBGA CTF Ethical Hacking Yarışması Çözümleri
BGA CTF Ethical Hacking Yarışması ÇözümleriBGA Cyber Security
 
Siber Güvenlik Eğitiminde Uluslararası CTF Yarışmaları
Siber Güvenlik Eğitiminde Uluslararası CTF YarışmalarıSiber Güvenlik Eğitiminde Uluslararası CTF Yarışmaları
Siber Güvenlik Eğitiminde Uluslararası CTF YarışmalarıDr. Emin İslam Tatlı
 
İleri Seviye Ağ Güvenliği Lab Kitabı
İleri Seviye Ağ Güvenliği Lab Kitabıİleri Seviye Ağ Güvenliği Lab Kitabı
İleri Seviye Ağ Güvenliği Lab KitabıBGA Cyber Security
 
Cuneyd Uzun - Dijital Dünyada Siber Risk Yönetimi
Cuneyd Uzun - Dijital Dünyada Siber Risk YönetimiCuneyd Uzun - Dijital Dünyada Siber Risk Yönetimi
Cuneyd Uzun - Dijital Dünyada Siber Risk YönetimiCüneyd Uzun
 
8 Ocak 2015 SOME Etkinligi - BGA Bank Vulnerable Web Application
8 Ocak 2015 SOME Etkinligi - BGA Bank Vulnerable Web Application8 Ocak 2015 SOME Etkinligi - BGA Bank Vulnerable Web Application
8 Ocak 2015 SOME Etkinligi - BGA Bank Vulnerable Web ApplicationBGA Cyber Security
 
Mail Sniper Nedir?
Mail Sniper Nedir?Mail Sniper Nedir?
Mail Sniper Nedir?BGA Cyber Security
 
Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...
Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...
Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...BGA Cyber Security
 
Intelligence Driven Incident
Intelligence Driven Incident Intelligence Driven Incident
Intelligence Driven Incident BGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6BGA Cyber Security
 
Watchguard Firewall Genel Bakış
Watchguard Firewall Genel BakışWatchguard Firewall Genel Bakış
Watchguard Firewall Genel BakışÖzden Aydın
 
IstSec'14 - Huzeyfe ÖNAL - Siber Tehditler Karşısında Kurumsal SOME Kurulumu ...
IstSec'14 - Huzeyfe ÖNAL - Siber Tehditler Karşısında Kurumsal SOME Kurulumu ...IstSec'14 - Huzeyfe ÖNAL - Siber Tehditler Karşısında Kurumsal SOME Kurulumu ...
IstSec'14 - Huzeyfe ÖNAL - Siber Tehditler Karşısında Kurumsal SOME Kurulumu ...BGA Cyber Security
 

More Related Content

Similar to Bga Bank Ultimate Representation

Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...
Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...
Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...BGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6BGA Cyber Security
 
Watchguard Firewall Genel Bakış
Watchguard Firewall Genel BakışWatchguard Firewall Genel Bakış
Watchguard Firewall Genel BakışÖzden Aydın
 
IstSec'14 - Huzeyfe ÖNAL - Siber Tehditler Karşısında Kurumsal SOME Kurulumu ...
IstSec'14 - Huzeyfe ÖNAL - Siber Tehditler Karşısında Kurumsal SOME Kurulumu ...IstSec'14 - Huzeyfe ÖNAL - Siber Tehditler Karşısında Kurumsal SOME Kurulumu ...
IstSec'14 - Huzeyfe ÖNAL - Siber Tehditler Karşısında Kurumsal SOME Kurulumu ...BGA Cyber Security
 

Similar to Bga Bank Ultimate Representation (6)

Mail Sniper Nedir?
Mail Sniper Nedir?Mail Sniper Nedir?
Mail Sniper Nedir?
 
Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...
Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...
Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının ...
 
Intelligence Driven Incident
Intelligence Driven Incident Intelligence Driven Incident
Intelligence Driven Incident
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
 
Watchguard Firewall Genel Bakış
Watchguard Firewall Genel BakışWatchguard Firewall Genel Bakış
Watchguard Firewall Genel Bakış
 
IstSec'14 - Huzeyfe ÖNAL - Siber Tehditler Karşısında Kurumsal SOME Kurulumu ...
IstSec'14 - Huzeyfe ÖNAL - Siber Tehditler Karşısında Kurumsal SOME Kurulumu ...IstSec'14 - Huzeyfe ÖNAL - Siber Tehditler Karşısında Kurumsal SOME Kurulumu ...
IstSec'14 - Huzeyfe ÖNAL - Siber Tehditler Karşısında Kurumsal SOME Kurulumu ...
 

Bga Bank Ultimate Representation

  • 1. BGA BANK Ultimate İSTISMAR EDILEBILIR ÇEVRİM İÇİ BANKACILIK UYGULAMASI HARUN TAMOKUR CÜNEYT BAYILMIŞ FORD OTOMOTIV SAN. A.Ş.,KOCAELI, TÜRKİYE SAKARYA ÜNIVERSITESI, BILGISAYAR VE BILIŞIM BILIMLERI FAKÜLTESI HTAMOKUR@FORD.COM.TR BILGISAYAR MÜHENDISLIĞI BÖLÜMÜ,SAKARYA, TÜRKİYE CBAYILMIS@SAKARYA.EDU.TR HUZEYFE ÖNAL BGA BILGI GÜVENLIĞI LTD. İSTANBUL, TÜRKİYE HUZEYFE.ONAL@BGA.COM.TR
  • 3. Web Güvenliği Atak Tiplerinin Dağılımı
  • 4. Ülkemizin Siber Saldırılarda Dünyadaki Yeri-2015
  • 5. Yüzdelerden Çıkarılacak Sonuçlar  Giderek artmakta olan siber saldırı olaylarına müdahale anında ve kesin olmalı  Daha fazla güvenlik personeline ihtiyaç duyulmaktadır  Bilgilendirme toplantıları ve eğitim ortamlarına ihtiyaç duyulmaktadır  Owasp WebGoat, Acunetix Test Pages, bWAPP, DVWA gibi uygulamalara alternatif olarak gerçek senaryoları barındıran BGA BANK projesi geliştirilmiştir.
  • 6. BGA BANK  BGA BANK istismar edilebilir bir bankacılık uygulamasıdır.  Yurt dışı kaynaklı güvenlik firmalarının da benzeri istismar edilebilir uygulamaları vardır.  Projenin onlardan farklı ise gerçek bir bankacılık senaryosu üzerine kurulmuş olmasıdır.  Önceki BGA BANK sürümünde tek güvenlik seviyesi-Güvensiz  Önceki BGA BANK sürümü PHP yazılım dilinde kodlanmıştı
  • 7. BGA BANK Ultimate  BGA BANK Ultimate 3 aşamalı güvenlik seviyesine sahiptir.  Güvensiz  WAF-Web Uygulama Güvenlik Duvarı (Modsecurity)  Güvenli  BGA BANK Ultimate ASP.Net platformunda C# yazılım diliyle geliştirilmiştir.  BGA BANK Ultimate TÜBİTAK 2209-B - Sanayi Odaklı Lisans Bitirme Tezi Destekleme Programı kapsamında desteklenmiştir.
  • 10. Anasayfa – Haber Arama Menüsü
  • 12. Bireysel Giriş-Authentication Bypass Müşteri Numarası :100001 Şifre: ' or 1=1--
  • 14. Müşteri Memnuniyeti-Stored XSS Örnek payload(zararlı kod): "><script>document.write(document.cookie) </script>
  • 15. Haber Arama Sayfası-SQL Injection Açıklığı
  • 17. MSSQL Sunucusunda Klasöre Veri Yazmayı Aktifleştirme  EXEC sp_configure 'show advanced options', 1  EXEC sp_configure reconfigure  EXEC sp_configure 'xp_cmdshell', 1  EXEC sp_configure reconfigure
  • 18. Veri Yazdırma  www.bgabank.ultimate.com/g_arama.aspx?kelime=1"' exec xp_cmdshell 'echo veri yazdırılıyor >> c:/inetpub/yeni.txt';-
  • 20. IDOR-Güvensiz Doğrudan Nesne Referansı  Aynı sayfada farklı bir kullanıcının hesap bilgilerine ulaşılması
  • 21. Sonuçlar  Yazılımcılar daha uygulamayı kodlama aşamasında açıklıklara karşı gerekli önlemlerini almalı.  Bu tür uygulamalar son kullanıcılar, yazılımcılar ve güvenlik araştırmacıları için tehlikeyi yerinde görmek amacıyla önem arz etmektedir.  Tehlikeli girdilere karşı gerekli önlemler hem yazılımcı hemde son kullanıcı tarafından alınmış olmalı.(Tarayıcı özellikleri vb.)  Kişiler bilgilendirilmeli ve bilgiler her zaman güncellenmelidir.
  • 22. Dinlediğiniz İçin Teşekkürler  Harun Tamokur  www.haruntamokur.com  Twitter: @Haruntamokur  Github: https://github.com/haruntmkr