SlideShare a Scribd company logo

Web Uygulama Güvenliği ve Kariyer

Siber Güvenlik Toplululuğu
Siber Güvenlik Toplululuğu

Caner ÖZDEN Güvenlik Planlama Uzmanı Mühendis, Avea Web Uygulama Güvenliği ve Kariyer

Software
1 of 39
Download to read offline
UYGULAMA GÜVENLIĞI VE GELECEK HAKKıNDA TAHMINLER TAHMINLERIN ÇOĞU ÇıKMAYABILIR
KIMIM BEN ? • Caner Özden • Matematik ve Bilgisayar Bilimleri • Yazılım Uzmanı ve Bilgi Güvenliği Kıdemli Uzmanı • Aselsan, Havelsan, BGA, Avea, TT Grup • twitter.com/canerozden
SUNUMDA NELER VAR ? • Uygulama güvenliği ne ola ki ? • Neden uygulama güvenliği ? Trend mi yoksa ? • Bu alanda ilerlersek çok para kazanılır mı ? • Bordrolu, SGK’lı Hacker • Gelecekte neler olur ?
TAHMINLER • Hendy Ford ilk Ford araçlarını ürettiği zaman insanların sadece siyah ve tek tip araç isteyeceğini iddaa ederek farklı model araç üretimini gerekli görmemiştir. • Televizyon en geç altı ay içinde piyasadan silinecektir. İnsanlar her akşam böyle bir kutuya bakmak istemezler. Daryik F. Zanuck • http://tr.wikiquote.org/wiki/Bilimsel_gaflar • Tahminler sadece tahmindir, ayrıca hatasız kul olmaz.
UYGULAMA GÜVENLIĞI NEDIR ? • Güvenliğin tanımı aksiyomatik, vakit kaybetmeye gerek yok, kabul edelim herkes güvenlik ister. (En çok şirketler !) • Güvenliğin Türleri - Ağ Güvenliği - Sistem Güvenliği - Uygulama Güvenliği
İLK ZAMANLAR • Ağ Güvenliği önemliydi, tam standartlar belirlenmiş değildi. • Şirketlerde ağ kurulumu bile yeni idi. • Bir musibet bin nasihattan iyidir. (Güvenlik zamanla anlaşılmaya başlandı)
UYGULAMA GÜVENLIĞI NEDIR ? • Uygulama güvenliği, yazılımların kod seviyesinde yapılan hatalardan dolayı, bilgi sızdırılması veya sistemlerin ele geçirilmesi ile sonuçlanan olayları inceleyen bilim dalı, ilgi alanı.
UYGULAMALARDAKI HATALAR • Yazılım geliştiricilerin gerçekleştirmesi gereken çok fazla görev var. • Fonksiyonellik • Hatasız çalışma • Kullanım kolaylığı • Zaman kısıtı
DEADLINE GELİŞTİRİCİNİN DÜŞMANI • Saldırganlar yazılımcıların yaptıkları yazılımsal hatalardan yararlanırlar. • Zaman kısıtı altında ve standartlara uygun geliştirilmeyen yazılımlar • Sürekli iş değiştiren yazılımcılar • Kodlar bir zaman sonra karışıyor (Spagetti kod)
NE TIP HATALAR • Şüpheci Yaklaşım • Doğrulama Eğilimi • Akışkan ve saydam bir sıvının su olma öngörüsü • Userid değişkeninin integer alma öngörüsü
NE TIP HATALAR • Girdi Denetimi -> En önemlisi • İş mantığındaki hatalar
HATA VE BILGI MESAJLARINDAN FAYDALANMAK
OWASP • Open Web Application Security Project • Web uygulamalarının güvenliği ile ilgilenen bir kuruluş, kar amacı gütmez. • Her sene en çok çıkan 10 zafiyet türünü belirleyip, konu hakkında yayınlar çıkarır.
HATALARI ÖNCEDEN BELIRLEMEK • Uygulama güvenlik uzmanlarının en temel görevlerinden biri, geliştirilmiş ve canlı ortama çıkmak üzere hazırlanmış uygulamaları güvenlik açısından inceleyerek bu hata durumlarını raporlayıp, düzeltilmesine yardımcı olmaktır.
HATALAR NASIL BELIRLENIR • Tehdit Modelleme • Kaynak Kod Analizi • Uygulama Zafiyet Testi (Pentest diye de bilinir)
TEHDIT MODELLEME • Uygulama tehdit modelleme, uygulamaların functional ve non-functional özelliklerini içeren tasarımlar üzerinde abuse case (use case’den hatırlayın) çizerek, olası güvenlik zafiyetleri ile ilgili sorunları ortaya çıkarmak için yapılan işlemdir.
TEHDIT MODELLEME
MICROSOFT SECURE SDLC • Oooooooo Microsoft mu ? Yoksa sen ?!? • Owasp Secure SDLC konusunda en çok Microsoft yayınlarından faydalanır. • Adam Shostack (Microsoft Secure SDLC ve Thread Modeling)
KAYNAK KOD ANALIZI • Kod güvenlik açısından incelenir, zafiyet içeren kod desenleri taranarak raporlanır. • HP Fortify • IBM Appscan • Checkmarx (Yeni bir startup, Israil’de)
CHECKMARX WWW.GAMEOFHACKS.COM
GAME OF HACKS - SORULAR
PENETRASTON TESTLERI / PENTEST • 3’e ayrılır. - Black Box (Saldırgan Gözü) - White Box (Bilgi Alarak) - Grey Box (Karışık)
PENTEST NEDIR • Uygulamalar saldırgan gözü ile denetlenerek hack’lenmeye çalışılır. • Sadece uygulama güvenliği ile ilgili değil, network zafiyetleri de incelenir. • Otomatize araçlar ve manuel olarak gerçekleştirilir.
OTOMATIZE ARAÇLAR • Netsparker (Türkiye girişimi) • Acunetix • IBM Appscan • HP Web Inspect
MANUELDE KULLANıLAN ARAÇLAR • Burp Suite (Tek geçerim) • Owasp ZAP • SQL Map • Kali Linux içerisindeki araçlar
ZAFIYET TÜRLERI
HEPSINE BAKMAK IMKANSıZ • Bir uygulama güvenliği eğitimi en az 3 gün sürmekte. • Yazılım geliştirme tecrübesi • Deneme, deneme, deneme !
MAP.IPVIKING.COM • Zafiyetleri real-time izleme
SEKTÖR HAKKINDA TAHMINLER 1 • Güvenlik denetimlerinde pentest’in yerini Secure SDLC ve Kaynak Kod Analizi alacak • Oraya yönelin ! • Soru ???
SEKTÖR HAKKINDA TAHMINLER 2 • Güvenlik önlemleri artık framework’lere daha fazla bırakılmaya başlanacak. • Geleneksel güvenliğin yeri daha fazla sistemlere devredilmeye başlanacak.
SEKTÖR HAKKINDA TAHMINLER 3 • Geleneksel güvenlik araçlarını yerini yeni nesil araçlar alacak. • Yeni nesil güvenlik aracı nedir ? • İmza tabanlı araçların yerini davranışsal analiz yapan araçlar alacak.
SEKTÖR HAKKINDA TAHMINLER 4 • Incident Response (Anında Müdahale) ekipleri revaçta • Computer Forensics öğrenmeye bakın. • Pentest bilmeden olmaz !!!
SEKTÖR HAKKINDA TAHMINLER 5 • Zero day ataklar artacak • Önlem mekanizmaları neler olabilir ? • Araştırma konusu ??? • Yeni start up’lar çıkabilir.
BLOG TUTUN !!! • Yaptığım en büyük hata • Kitap okuyun ! • Sürekli deneme yapın !!!
DEMO • Shape Security • Malware ve RoBot’lara karşı önlemler
BOTWALL • Post datası üzerinde obfuscation işlemi • Sıralamayı karıştırmak • Başka neler yapılabilir ? • Tüm HTML ve HTTP elemanları
PERFORMANS • Bu sistemdeki tek sorun performans sorunu yaşanması • WAF ile entegrasyon yapılabilir. • PoC için IIS Module yazılmakta. • Html ve Javascript parsing işlemi için AST kullanılıyor. (Abstract syntax tree)
SORULAR

Recommended

Guvenlik arastirmacisi olmak
Guvenlik arastirmacisi olmakGuvenlik arastirmacisi olmak
Guvenlik arastirmacisi olmakSiber Güvenlik Toplululuğu
 
Sızma Testi Dokümanı
Sızma Testi DokümanıSızma Testi Dokümanı
Sızma Testi Dokümanı
Siber Güvenlik Toplululuğu
 
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı AnaliziKurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
BGA Cyber Security
 
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?
BGA Cyber Security
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
BGA Cyber Security
 
Cyber Weapons
Cyber WeaponsCyber Weapons
Cyber Weapons
Ibrahim Baliç
 
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC KullanımıZararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
BGA Cyber Security
 
Ibrahim balic cyber-weapons
Ibrahim balic cyber-weaponsIbrahim balic cyber-weapons
Ibrahim balic cyber-weapons
Ibrahim Baliç
 

Recommended

Guvenlik arastirmacisi olmak
Guvenlik arastirmacisi olmakGuvenlik arastirmacisi olmak
Guvenlik arastirmacisi olmakSiber Güvenlik Toplululuğu
 
Sızma Testi Dokümanı
Sızma Testi DokümanıSızma Testi Dokümanı
Sızma Testi Dokümanı
Siber Güvenlik Toplululuğu
 
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı AnaliziKurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
BGA Cyber Security
 
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?
BGA Cyber Security
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
BGA Cyber Security
 
Cyber Weapons
Cyber WeaponsCyber Weapons
Cyber Weapons
Ibrahim Baliç
 
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC KullanımıZararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
BGA Cyber Security
 
Ibrahim balic cyber-weapons
Ibrahim balic cyber-weaponsIbrahim balic cyber-weapons
Ibrahim balic cyber-weapons
Ibrahim Baliç
 
Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi
Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği RehberiCumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi
Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi
Sparta Bilişim
 
BGA Pentest Hizmeti
BGA Pentest HizmetiBGA Pentest Hizmeti
BGA Pentest HizmetiBGA Cyber Security
 
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratıOpen Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
BilgiO A.S / Linux Akademi
 
Osquery İle Open Source EDR
Osquery İle Open Source EDROsquery İle Open Source EDR
Osquery İle Open Source EDR
BGA Cyber Security
 
Siber Güvenlik ve Etik Hacking Sunu - 13
Siber Güvenlik ve Etik Hacking Sunu - 13Siber Güvenlik ve Etik Hacking Sunu - 13
Siber Güvenlik ve Etik Hacking Sunu - 13
Murat KARA
 
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...
BGA Cyber Security
 
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiAçık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
BilgiO A.S / Linux Akademi
 
Windows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiWindows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı Tespiti
Sparta Bilişim
 
OWASP kaynak kod analizi metodolojisi
OWASP kaynak kod analizi metodolojisiOWASP kaynak kod analizi metodolojisi
OWASP kaynak kod analizi metodolojisi
Alper Başaran
 
BDDK penetration testing
BDDK penetration testingBDDK penetration testing
BDDK penetration testing
Burak Gucer
 
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİM
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİMSiber Güvenlik Eğitimleri | SPARTA BİLİŞİM
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİM
Sparta Bilişim
 
Sızma Testlerinde Fiziksel Güvenlik Riskleri
Sızma Testlerinde Fiziksel Güvenlik RiskleriSızma Testlerinde Fiziksel Güvenlik Riskleri
Sızma Testlerinde Fiziksel Güvenlik Riskleri
BGA Cyber Security
 
Siber Savunma Ürünlerinde Profesyonel Arka Kapılar
Siber Savunma Ürünlerinde Profesyonel Arka KapılarSiber Savunma Ürünlerinde Profesyonel Arka Kapılar
Siber Savunma Ürünlerinde Profesyonel Arka Kapılar
BGA Cyber Security
 
Mitre ATT&CK Kullanarak Etkin Saldırı Tespiti
Mitre ATT&CK Kullanarak Etkin Saldırı TespitiMitre ATT&CK Kullanarak Etkin Saldırı Tespiti
Mitre ATT&CK Kullanarak Etkin Saldırı Tespiti
BGA Cyber Security
 
Intelligence Driven Incident
Intelligence Driven Incident Intelligence Driven Incident
Intelligence Driven Incident
BGA Cyber Security
 
Sızma Testi (Penetrasyon Testi) Nedir? - Sparta Bilişim
Sızma Testi (Penetrasyon Testi) Nedir? - Sparta BilişimSızma Testi (Penetrasyon Testi) Nedir? - Sparta Bilişim
Sızma Testi (Penetrasyon Testi) Nedir? - Sparta Bilişim
Sparta Bilişim
 
Yazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriYazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriBGA Cyber Security
 
İstSec 2015 - Norm shield why
İstSec 2015 - Norm shield why İstSec 2015 - Norm shield why
İstSec 2015 - Norm shield why
BGA Cyber Security
 
Kisisel Bilgi Guvenligi by Cagri POLAT
Kisisel Bilgi Guvenligi by Cagri POLATKisisel Bilgi Guvenligi by Cagri POLAT
Kisisel Bilgi Guvenligi by Cagri POLAT
Çağrı Polat
 
Güvenlik Mühendisliği
Güvenlik MühendisliğiGüvenlik Mühendisliği
Güvenlik MühendisliğiBGA Cyber Security
 
Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)
Cihan Özhan
 
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıPenetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıBGA Cyber Security
 

More Related Content

What's hot

Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi
Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği RehberiCumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi
Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi
Sparta Bilişim
 
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratıOpen Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
BilgiO A.S / Linux Akademi
 
Osquery İle Open Source EDR
Osquery İle Open Source EDROsquery İle Open Source EDR
Osquery İle Open Source EDR
BGA Cyber Security
 
Siber Güvenlik ve Etik Hacking Sunu - 13
Siber Güvenlik ve Etik Hacking Sunu - 13Siber Güvenlik ve Etik Hacking Sunu - 13
Siber Güvenlik ve Etik Hacking Sunu - 13
Murat KARA
 
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...
BGA Cyber Security
 
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiAçık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
BilgiO A.S / Linux Akademi
 
Windows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiWindows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı Tespiti
Sparta Bilişim
 
OWASP kaynak kod analizi metodolojisi
OWASP kaynak kod analizi metodolojisiOWASP kaynak kod analizi metodolojisi
OWASP kaynak kod analizi metodolojisi
Alper Başaran
 
BDDK penetration testing
BDDK penetration testingBDDK penetration testing
BDDK penetration testing
Burak Gucer
 
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİM
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİMSiber Güvenlik Eğitimleri | SPARTA BİLİŞİM
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİM
Sparta Bilişim
 
Sızma Testlerinde Fiziksel Güvenlik Riskleri
Sızma Testlerinde Fiziksel Güvenlik RiskleriSızma Testlerinde Fiziksel Güvenlik Riskleri
Sızma Testlerinde Fiziksel Güvenlik Riskleri
BGA Cyber Security
 
Siber Savunma Ürünlerinde Profesyonel Arka Kapılar
Siber Savunma Ürünlerinde Profesyonel Arka KapılarSiber Savunma Ürünlerinde Profesyonel Arka Kapılar
Siber Savunma Ürünlerinde Profesyonel Arka Kapılar
BGA Cyber Security
 
Mitre ATT&CK Kullanarak Etkin Saldırı Tespiti
Mitre ATT&CK Kullanarak Etkin Saldırı TespitiMitre ATT&CK Kullanarak Etkin Saldırı Tespiti
Mitre ATT&CK Kullanarak Etkin Saldırı Tespiti
BGA Cyber Security
 
Intelligence Driven Incident
Intelligence Driven Incident Intelligence Driven Incident
Intelligence Driven Incident
BGA Cyber Security
 
Sızma Testi (Penetrasyon Testi) Nedir? - Sparta Bilişim
Sızma Testi (Penetrasyon Testi) Nedir? - Sparta BilişimSızma Testi (Penetrasyon Testi) Nedir? - Sparta Bilişim
Sızma Testi (Penetrasyon Testi) Nedir? - Sparta Bilişim
Sparta Bilişim
 
Yazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriYazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriBGA Cyber Security
 
İstSec 2015 - Norm shield why
İstSec 2015 - Norm shield why İstSec 2015 - Norm shield why
İstSec 2015 - Norm shield why
BGA Cyber Security
 
Kisisel Bilgi Guvenligi by Cagri POLAT
Kisisel Bilgi Guvenligi by Cagri POLATKisisel Bilgi Guvenligi by Cagri POLAT
Kisisel Bilgi Guvenligi by Cagri POLAT
Çağrı Polat
 

What's hot (19)

Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi
Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği RehberiCumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi
Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi
 
BGA Pentest Hizmeti
BGA Pentest HizmetiBGA Pentest Hizmeti
BGA Pentest Hizmeti
 
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratıOpen Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
Open Source Threat Intelligence | Açık Kaynak Tehdit İstihbaratı
 
Osquery İle Open Source EDR
Osquery İle Open Source EDROsquery İle Open Source EDR
Osquery İle Open Source EDR
 
Siber Güvenlik ve Etik Hacking Sunu - 13
Siber Güvenlik ve Etik Hacking Sunu - 13Siber Güvenlik ve Etik Hacking Sunu - 13
Siber Güvenlik ve Etik Hacking Sunu - 13
 
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...
 
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiAçık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
 
Windows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiWindows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı Tespiti
 
OWASP kaynak kod analizi metodolojisi
OWASP kaynak kod analizi metodolojisiOWASP kaynak kod analizi metodolojisi
OWASP kaynak kod analizi metodolojisi
 
BDDK penetration testing
BDDK penetration testingBDDK penetration testing
BDDK penetration testing
 
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİM
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİMSiber Güvenlik Eğitimleri | SPARTA BİLİŞİM
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİM
 
Sızma Testlerinde Fiziksel Güvenlik Riskleri
Sızma Testlerinde Fiziksel Güvenlik RiskleriSızma Testlerinde Fiziksel Güvenlik Riskleri
Sızma Testlerinde Fiziksel Güvenlik Riskleri
 
Siber Savunma Ürünlerinde Profesyonel Arka Kapılar
Siber Savunma Ürünlerinde Profesyonel Arka KapılarSiber Savunma Ürünlerinde Profesyonel Arka Kapılar
Siber Savunma Ürünlerinde Profesyonel Arka Kapılar
 
Mitre ATT&CK Kullanarak Etkin Saldırı Tespiti
Mitre ATT&CK Kullanarak Etkin Saldırı TespitiMitre ATT&CK Kullanarak Etkin Saldırı Tespiti
Mitre ATT&CK Kullanarak Etkin Saldırı Tespiti
 
Intelligence Driven Incident
Intelligence Driven Incident Intelligence Driven Incident
Intelligence Driven Incident
 
Sızma Testi (Penetrasyon Testi) Nedir? - Sparta Bilişim
Sızma Testi (Penetrasyon Testi) Nedir? - Sparta BilişimSızma Testi (Penetrasyon Testi) Nedir? - Sparta Bilişim
Sızma Testi (Penetrasyon Testi) Nedir? - Sparta Bilişim
 
Yazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriYazılım Güvenliği Temelleri
Yazılım Güvenliği Temelleri
 
İstSec 2015 - Norm shield why
İstSec 2015 - Norm shield why İstSec 2015 - Norm shield why
İstSec 2015 - Norm shield why
 
Kisisel Bilgi Guvenligi by Cagri POLAT
Kisisel Bilgi Guvenligi by Cagri POLATKisisel Bilgi Guvenligi by Cagri POLAT
Kisisel Bilgi Guvenligi by Cagri POLAT
 

Similar to Web Uygulama Güvenliği ve Kariyer

Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)
Cihan Özhan
 
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıPenetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıBGA Cyber Security
 
Kaynak Kod Analiz Süreci
Kaynak Kod Analiz SüreciKaynak Kod Analiz Süreci
Kaynak Kod Analiz Süreci
PRISMA CSI
 
Zed attack-proxy-web
Zed attack-proxy-webZed attack-proxy-web
Zed attack-proxy-web
Barkın Kılıç
 
Mobil Pentest Eğitim Dökümanı
Mobil Pentest Eğitim DökümanıMobil Pentest Eğitim Dökümanı
Mobil Pentest Eğitim Dökümanı
Ahmet Gürel
 
Yapılan ağ saldırılarına karşı önlemler
Yapılan ağ saldırılarına karşı önlemlerYapılan ağ saldırılarına karşı önlemler
Yapılan ağ saldırılarına karşı önlemler
Ilkin Azizov
 
Beyaz Şapkalı Hacker CEH Eğitimi - Zafiyet Keşfi
Beyaz Şapkalı Hacker CEH Eğitimi - Zafiyet KeşfiBeyaz Şapkalı Hacker CEH Eğitimi - Zafiyet Keşfi
Beyaz Şapkalı Hacker CEH Eğitimi - Zafiyet Keşfi
PRISMA CSI
 
Başarılı Projelerin Anahtarı: Çevik Yazılım Geliştirme Pratikleri
Başarılı Projelerin Anahtarı: Çevik Yazılım Geliştirme PratikleriBaşarılı Projelerin Anahtarı: Çevik Yazılım Geliştirme Pratikleri
Başarılı Projelerin Anahtarı: Çevik Yazılım Geliştirme Pratikleri
Lemi Orhan Ergin
 
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
BGA Cyber Security
 
Information security Bilgi Guvenligi
Information security Bilgi GuvenligiInformation security Bilgi Guvenligi
Information security Bilgi Guvenligi
Bilal Dursun
 
Zafiyet tespiti ve sizma yöntemleri
Zafiyet tespiti ve sizma yöntemleriZafiyet tespiti ve sizma yöntemleri
Zafiyet tespiti ve sizma yöntemleri
EPICROUTERS
 
Yapay Zeka Güvenliği : Machine Learning & Deep Learning & Computer Vision Sec...
Yapay Zeka Güvenliği : Machine Learning & Deep Learning & Computer Vision Sec...Yapay Zeka Güvenliği : Machine Learning & Deep Learning & Computer Vision Sec...
Yapay Zeka Güvenliği : Machine Learning & Deep Learning & Computer Vision Sec...
Cihan Özhan
 
GUVENLI YAZILIM ve BILGI GUVENLIGI
GUVENLI YAZILIM ve BILGI GUVENLIGIGUVENLI YAZILIM ve BILGI GUVENLIGI
GUVENLI YAZILIM ve BILGI GUVENLIGI
Ahmet Pekel
 
Güvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak DerslerGüvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak DerslerBGA Cyber Security
 
Lecture 1 Siber Güvenlik Temel Kavramlar
Lecture 1 Siber Güvenlik Temel KavramlarLecture 1 Siber Güvenlik Temel Kavramlar
Lecture 1 Siber Güvenlik Temel Kavramlar
TurkIOT
 
Onur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle Saldırıları
Onur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle SaldırılarıOnur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle Saldırıları
Onur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle Saldırıları
CypSec - Siber Güvenlik Konferansı
 
Siber_Guvenlik_ve_Etik_Hacking-2023-BB.pdf
Siber_Guvenlik_ve_Etik_Hacking-2023-BB.pdfSiber_Guvenlik_ve_Etik_Hacking-2023-BB.pdf
Siber_Guvenlik_ve_Etik_Hacking-2023-BB.pdf
Murat KARA
 
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow
KocSistem_
 
Maltepe Üniversitesi - Spring AOP
Maltepe Üniversitesi - Spring AOPMaltepe Üniversitesi - Spring AOP
Maltepe Üniversitesi - Spring AOP
Mimar Aslan
 

Similar to Web Uygulama Güvenliği ve Kariyer (20)

Güvenlik Mühendisliği
Güvenlik MühendisliğiGüvenlik Mühendisliği
Güvenlik Mühendisliği
 
Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)
 
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıPenetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
 
Kaynak Kod Analiz Süreci
Kaynak Kod Analiz SüreciKaynak Kod Analiz Süreci
Kaynak Kod Analiz Süreci
 
Zed attack-proxy-web
Zed attack-proxy-webZed attack-proxy-web
Zed attack-proxy-web
 
Mobil Pentest Eğitim Dökümanı
Mobil Pentest Eğitim DökümanıMobil Pentest Eğitim Dökümanı
Mobil Pentest Eğitim Dökümanı
 
Yapılan ağ saldırılarına karşı önlemler
Yapılan ağ saldırılarına karşı önlemlerYapılan ağ saldırılarına karşı önlemler
Yapılan ağ saldırılarına karşı önlemler
 
Beyaz Şapkalı Hacker CEH Eğitimi - Zafiyet Keşfi
Beyaz Şapkalı Hacker CEH Eğitimi - Zafiyet KeşfiBeyaz Şapkalı Hacker CEH Eğitimi - Zafiyet Keşfi
Beyaz Şapkalı Hacker CEH Eğitimi - Zafiyet Keşfi
 
Başarılı Projelerin Anahtarı: Çevik Yazılım Geliştirme Pratikleri
Başarılı Projelerin Anahtarı: Çevik Yazılım Geliştirme PratikleriBaşarılı Projelerin Anahtarı: Çevik Yazılım Geliştirme Pratikleri
Başarılı Projelerin Anahtarı: Çevik Yazılım Geliştirme Pratikleri
 
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
 
Information security Bilgi Guvenligi
Information security Bilgi GuvenligiInformation security Bilgi Guvenligi
Information security Bilgi Guvenligi
 
Zafiyet tespiti ve sizma yöntemleri
Zafiyet tespiti ve sizma yöntemleriZafiyet tespiti ve sizma yöntemleri
Zafiyet tespiti ve sizma yöntemleri
 
Yapay Zeka Güvenliği : Machine Learning & Deep Learning & Computer Vision Sec...
Yapay Zeka Güvenliği : Machine Learning & Deep Learning & Computer Vision Sec...Yapay Zeka Güvenliği : Machine Learning & Deep Learning & Computer Vision Sec...
Yapay Zeka Güvenliği : Machine Learning & Deep Learning & Computer Vision Sec...
 
GUVENLI YAZILIM ve BILGI GUVENLIGI
GUVENLI YAZILIM ve BILGI GUVENLIGIGUVENLI YAZILIM ve BILGI GUVENLIGI
GUVENLI YAZILIM ve BILGI GUVENLIGI
 
Güvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak DerslerGüvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak Dersler
 
Lecture 1 Siber Güvenlik Temel Kavramlar
Lecture 1 Siber Güvenlik Temel KavramlarLecture 1 Siber Güvenlik Temel Kavramlar
Lecture 1 Siber Güvenlik Temel Kavramlar
 
Onur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle Saldırıları
Onur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle SaldırılarıOnur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle Saldırıları
Onur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle Saldırıları
 
Siber_Guvenlik_ve_Etik_Hacking-2023-BB.pdf
Siber_Guvenlik_ve_Etik_Hacking-2023-BB.pdfSiber_Guvenlik_ve_Etik_Hacking-2023-BB.pdf
Siber_Guvenlik_ve_Etik_Hacking-2023-BB.pdf
 
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow
 
Maltepe Üniversitesi - Spring AOP
Maltepe Üniversitesi - Spring AOPMaltepe Üniversitesi - Spring AOP
Maltepe Üniversitesi - Spring AOP
 

Web Uygulama Güvenliği ve Kariyer

  • 1. UYGULAMA GÜVENLIĞI VE GELECEK HAKKıNDA TAHMINLER TAHMINLERIN ÇOĞU ÇıKMAYABILIR
  • 2. KIMIM BEN ? • Caner Özden • Matematik ve Bilgisayar Bilimleri • Yazılım Uzmanı ve Bilgi Güvenliği Kıdemli Uzmanı • Aselsan, Havelsan, BGA, Avea, TT Grup • twitter.com/canerozden
  • 3. SUNUMDA NELER VAR ? • Uygulama güvenliği ne ola ki ? • Neden uygulama güvenliği ? Trend mi yoksa ? • Bu alanda ilerlersek çok para kazanılır mı ? • Bordrolu, SGK’lı Hacker • Gelecekte neler olur ?
  • 4. TAHMINLER • Hendy Ford ilk Ford araçlarını ürettiği zaman insanların sadece siyah ve tek tip araç isteyeceğini iddaa ederek farklı model araç üretimini gerekli görmemiştir. • Televizyon en geç altı ay içinde piyasadan silinecektir. İnsanlar her akşam böyle bir kutuya bakmak istemezler. Daryik F. Zanuck • http://tr.wikiquote.org/wiki/Bilimsel_gaflar • Tahminler sadece tahmindir, ayrıca hatasız kul olmaz.
  • 5. UYGULAMA GÜVENLIĞI NEDIR ? • Güvenliğin tanımı aksiyomatik, vakit kaybetmeye gerek yok, kabul edelim herkes güvenlik ister. (En çok şirketler !) • Güvenliğin Türleri - Ağ Güvenliği - Sistem Güvenliği - Uygulama Güvenliği
  • 6. İLK ZAMANLAR • Ağ Güvenliği önemliydi, tam standartlar belirlenmiş değildi. • Şirketlerde ağ kurulumu bile yeni idi. • Bir musibet bin nasihattan iyidir. (Güvenlik zamanla anlaşılmaya başlandı)
  • 7. UYGULAMA GÜVENLIĞI NEDIR ? • Uygulama güvenliği, yazılımların kod seviyesinde yapılan hatalardan dolayı, bilgi sızdırılması veya sistemlerin ele geçirilmesi ile sonuçlanan olayları inceleyen bilim dalı, ilgi alanı.
  • 8.
  • 9. UYGULAMALARDAKI HATALAR • Yazılım geliştiricilerin gerçekleştirmesi gereken çok fazla görev var. • Fonksiyonellik • Hatasız çalışma • Kullanım kolaylığı • Zaman kısıtı
  • 10. DEADLINE GELİŞTİRİCİNİN DÜŞMANI • Saldırganlar yazılımcıların yaptıkları yazılımsal hatalardan yararlanırlar. • Zaman kısıtı altında ve standartlara uygun geliştirilmeyen yazılımlar • Sürekli iş değiştiren yazılımcılar • Kodlar bir zaman sonra karışıyor (Spagetti kod)
  • 11. NE TIP HATALAR • Şüpheci Yaklaşım • Doğrulama Eğilimi • Akışkan ve saydam bir sıvının su olma öngörüsü • Userid değişkeninin integer alma öngörüsü
  • 12. NE TIP HATALAR • Girdi Denetimi -> En önemlisi • İş mantığındaki hatalar
  • 13. HATA VE BILGI MESAJLARINDAN FAYDALANMAK
  • 14. OWASP • Open Web Application Security Project • Web uygulamalarının güvenliği ile ilgilenen bir kuruluş, kar amacı gütmez. • Her sene en çok çıkan 10 zafiyet türünü belirleyip, konu hakkında yayınlar çıkarır.
  • 15. HATALARI ÖNCEDEN BELIRLEMEK • Uygulama güvenlik uzmanlarının en temel görevlerinden biri, geliştirilmiş ve canlı ortama çıkmak üzere hazırlanmış uygulamaları güvenlik açısından inceleyerek bu hata durumlarını raporlayıp, düzeltilmesine yardımcı olmaktır.
  • 16. HATALAR NASIL BELIRLENIR • Tehdit Modelleme • Kaynak Kod Analizi • Uygulama Zafiyet Testi (Pentest diye de bilinir)
  • 17. TEHDIT MODELLEME • Uygulama tehdit modelleme, uygulamaların functional ve non-functional özelliklerini içeren tasarımlar üzerinde abuse case (use case’den hatırlayın) çizerek, olası güvenlik zafiyetleri ile ilgili sorunları ortaya çıkarmak için yapılan işlemdir.
  • 19. MICROSOFT SECURE SDLC • Oooooooo Microsoft mu ? Yoksa sen ?!? • Owasp Secure SDLC konusunda en çok Microsoft yayınlarından faydalanır. • Adam Shostack (Microsoft Secure SDLC ve Thread Modeling)
  • 20. KAYNAK KOD ANALIZI • Kod güvenlik açısından incelenir, zafiyet içeren kod desenleri taranarak raporlanır. • HP Fortify • IBM Appscan • Checkmarx (Yeni bir startup, Israil’de)
  • 22. GAME OF HACKS - SORULAR
  • 23. PENETRASTON TESTLERI / PENTEST • 3’e ayrılır. - Black Box (Saldırgan Gözü) - White Box (Bilgi Alarak) - Grey Box (Karışık)
  • 24. PENTEST NEDIR • Uygulamalar saldırgan gözü ile denetlenerek hack’lenmeye çalışılır. • Sadece uygulama güvenliği ile ilgili değil, network zafiyetleri de incelenir. • Otomatize araçlar ve manuel olarak gerçekleştirilir.
  • 25. OTOMATIZE ARAÇLAR • Netsparker (Türkiye girişimi) • Acunetix • IBM Appscan • HP Web Inspect
  • 26. MANUELDE KULLANıLAN ARAÇLAR • Burp Suite (Tek geçerim) • Owasp ZAP • SQL Map • Kali Linux içerisindeki araçlar
  • 28. HEPSINE BAKMAK IMKANSıZ • Bir uygulama güvenliği eğitimi en az 3 gün sürmekte. • Yazılım geliştirme tecrübesi • Deneme, deneme, deneme !
  • 30. SEKTÖR HAKKINDA TAHMINLER 1 • Güvenlik denetimlerinde pentest’in yerini Secure SDLC ve Kaynak Kod Analizi alacak • Oraya yönelin ! • Soru ???
  • 31. SEKTÖR HAKKINDA TAHMINLER 2 • Güvenlik önlemleri artık framework’lere daha fazla bırakılmaya başlanacak. • Geleneksel güvenliğin yeri daha fazla sistemlere devredilmeye başlanacak.
  • 32. SEKTÖR HAKKINDA TAHMINLER 3 • Geleneksel güvenlik araçlarını yerini yeni nesil araçlar alacak. • Yeni nesil güvenlik aracı nedir ? • İmza tabanlı araçların yerini davranışsal analiz yapan araçlar alacak.
  • 33. SEKTÖR HAKKINDA TAHMINLER 4 • Incident Response (Anında Müdahale) ekipleri revaçta • Computer Forensics öğrenmeye bakın. • Pentest bilmeden olmaz !!!
  • 34. SEKTÖR HAKKINDA TAHMINLER 5 • Zero day ataklar artacak • Önlem mekanizmaları neler olabilir ? • Araştırma konusu ??? • Yeni start up’lar çıkabilir.
  • 35. BLOG TUTUN !!! • Yaptığım en büyük hata • Kitap okuyun ! • Sürekli deneme yapın !!!
  • 36. DEMO • Shape Security • Malware ve RoBot’lara karşı önlemler
  • 37. BOTWALL • Post datası üzerinde obfuscation işlemi • Sıralamayı karıştırmak • Başka neler yapılabilir ? • Tüm HTML ve HTTP elemanları
  • 38. PERFORMANS • Bu sistemdeki tek sorun performans sorunu yaşanması • WAF ile entegrasyon yapılabilir. • PoC için IIS Module yazılmakta. • Html ve Javascript parsing işlemi için AST kullanılıyor. (Abstract syntax tree)