ºÝºÝߣ

ºÝºÝߣShare a Scribd company logo

İsmail Burak Tuğrul - Online Bankacılık Uygulamalarında Karlılaşılan Güvenlik Açıkları

•Download as PPTX, PDF•
•
CypSec - Siber Güvenlik Konferansı
CypSec - Siber Güvenlik Konferansı

Gerçekleştirmesi planlanan sunumda web ve mobil bankacılık uygulamalarında sıklıkla karşılaşılan güvenlik açıklıklarından ve bu açıklıkların doğurduğu risklerden bahsedilecektir.

1 of 16
Downloaded 16 times
Online Bankacılık Uygulamalarında Karşılaşılan Güvenlik Açıkları 15 Nisan 2015, Girne
• İsmail Burak Tuğrul • Hacettepe Üniversitesi Bilgisayar Mühendisliği • CISSP • Web / Mobil Uygulama Sızma Testleri • İzcilik, altyazı çevirmenliği, tarih araştırmaları Konuşmacı
Sunum İçeriği • Web / Mobil bankacılık uygulamalarında karşılaşılan güvenlik açıklıkları • Açıklığın genel çerçevesi • Oluşturabileceği riskler • Çözüm önerileri
Web / Mobil Uygulama Açıkları - 1 • Yama eksiklikleri – Desteklenmeyen Sürüm Kullanımı • Basit ama önemli • Gerçek durum senaryolarında ana kaldıraç noktası(yayınlanan güvenlik raporları, APT vb.) • Riskler • Uzaktan kod çalıştırma(Uzaktan erişim, DoS vb.) • Web config ele geçirme • Çözüm Önerileri • Patch Management(Change Management)
Web / Mobil Uygulama Açıkları - 2 • CSRF Açıklıkları • Oldukça yaygın • Yazılım geliştiricilerce cookie ile karıştırılması • Riskler • Kurbana bilgisi dışında işlem yaptırma • GET ve POST metodu farkı • Çözüm önerileri • Her istekte güncellenen bir token(OTP gibi)
Web / Mobil Uygulama Açıkları - 3 • Mobil cihazlarda açık olarak saklanan hassas bilgiler • Authentication bilgileri • Cookie bilgileri • Riskler • Cihaza fizikî erişim • Olası tehlikeli yazılımlar ve erişebildikleri kaynaklar • Çözüm Önerileri • Kriptolu saklama • Keychain(iOS)
Web / Mobil Uygulama Açıkları - 4 • JB ya da rootlu cihazlara uygulamanın yüklenebilmesi • İşletim sistemi açıklıklarından yararlanılarak yapılan root / JB işlemi • Riskler • Kötücül yazılım yükleme ihtimalinin artması • Uygulamanın cihazda tuttuğu verilerin çalınması(bir önceki bulguyla da artan etki) • Çözüm önerileri • JB / Root işlemi yapılan cihazlara engelleme
Web / Mobil Uygulama Açıkları - 5 • XSS (Cross-Site Scripting) • İstemci tarafında script çalıştırma • Reflected ve stored XSS • Riskler • Cookie çalınması • Çözüm Önerileri • Girdi validasyonu ve encoding • HttpOnly
Web / Mobil Uygulama Açıkları - 6 • Oturum yönetimi açıklıkları • Anonim fazdan tanılanmış faza geçiş • Çok faktörlü tanılamada karşılaşılan sorunlar • Riskler • Yetkisiz erişim ihlâlleri • DoS atakları(anonim erişilen yüksek boyutlu kaynaklar) • Regülasyon sorunları(Birden fazla faktör eksikliği) • Çözüm önerileri • Her fazda değişen oturum çerezi • Tanılama fazlarının kontrolü
Web / Mobil Uygulama Açıkları - 7 • Parola politikası • Bir diğer basit ama en çok sorun çıkaran nokta • Uzunluk politikası • Karmaşıklık politikası • Riskler • Kullanıcı hesabının ele geçirilmesi • Yetkisiz erişim ihlâlleri • Çözüm önerileri • Etkin parola politikasının uygulanması(Min. 8 karakter, büyük-küçük harf, özel karakter)
Web / Mobil Uygulama Açıkları - 8 • Yatay ve dikey erişim ihlâlleri • Aynı yetki seviyesindeki diğer kullanıcı kaynaklarına erişim • Üst yetki seviyesindeki kaynaklara erişim • Riskler • Yetkisiz erişim ihlâlleri • Gizlilik ve bütünlük ihlâlleri • Çözüm önerileri • İlgili fonksiyonlara sadece yetkili kullanıcılarca erişim sağlanması
Web / Mobil Uygulama Açıkları - 9 • Certificate Pinning(Mobil) • Güvenlik sertifikası iğnelenmesi • Sertifika otoritelerinden kaynaklı sorunlar • Mutual authentication • Riskler • İletişimin gizliliğinin ihlâli • Ortak internet erişim noktaları • Çözüm önerileri • Uygulama kaynak kodu içine hard-coded • Sertifikanın kendisi ya da Public Key’i
Web / Mobil Uygulama Açıkları - 10 • Dosya yükleme fonksiyonu açıklıkları(Backdoor shell) • Web / uygulamaya sunucuya zararlı dosya yüklenmesi(WAR) • Riskler • Sunucunun ele geçirilmesi • Veri sızması / sızdırılması • Çözüm önerileri • Tehlikeli karakterlerin kontrolü(Injection) • Dosya yükleme dizininin kontrolü(web-root) • En güncel sürüm kullanımı
Son Söz • Tespit edilen açıklıklar bütüncül olarak değerlendirilmeli • İki düşük kritiklikteki zafiyet daha büyük riskler oluşturabilir • Güncel sürümler kullanılmalı • Mantık hataları gözden geçirilmeli(ör. Bilet satın alma)
Teşekkürler Sorularınız?
İsmail Burak Tuğrul - Online Bankacılık Uygulamalarında Karlılaşılan Güvenlik Açıkları

More Related Content

İsmail Burak Tuğrul - Online Bankacılık Uygulamalarında Karlılaşılan Güvenlik Açıkları

  • 1. Online Bankacılık Uygulamalarında Karşılaşılan Güvenlik Açıkları 15 Nisan 2015, Girne
  • 2. • Ä°smail Burak TuÄŸrul • Hacettepe Ãœniversitesi Bilgisayar MühendisliÄŸi • CISSP • Web / Mobil Uygulama Sızma Testleri • Ä°zcilik, altyazı çevirmenliÄŸi, tarih araÅŸtırmaları KonuÅŸmacı
  • 3. Sunum İçeriÄŸi • Web / Mobil bankacılık uygulamalarında karşılaşılan güvenlik açıklıkları • Açıklığın genel çerçevesi • OluÅŸturabileceÄŸi riskler • Çözüm önerileri
  • 4. Web / Mobil Uygulama Açıkları - 1 • Yama eksiklikleri – Desteklenmeyen Sürüm Kullanımı • Basit ama önemli • Gerçek durum senaryolarında ana kaldıraç noktası(yayınlanan güvenlik raporları, APT vb.) • Riskler • Uzaktan kod çalıştırma(Uzaktan eriÅŸim, DoS vb.) • Web config ele geçirme • Çözüm Önerileri • Patch Management(Change Management)
  • 5. Web / Mobil Uygulama Açıkları - 2 • CSRF Açıklıkları • Oldukça yaygın • Yazılım geliÅŸtiricilerce cookie ile karıştırılması • Riskler • Kurbana bilgisi dışında iÅŸlem yaptırma • GET ve POST metodu farkı • Çözüm önerileri • Her istekte güncellenen bir token(OTP gibi)
  • 6. Web / Mobil Uygulama Açıkları - 3 • Mobil cihazlarda açık olarak saklanan hassas bilgiler • Authentication bilgileri • Cookie bilgileri • Riskler • Cihaza fizikî eriÅŸim • Olası tehlikeli yazılımlar ve eriÅŸebildikleri kaynaklar • Çözüm Önerileri • Kriptolu saklama • Keychain(iOS)
  • 7. Web / Mobil Uygulama Açıkları - 4 • JB ya da rootlu cihazlara uygulamanın yüklenebilmesi • Ä°ÅŸletim sistemi açıklıklarından yararlanılarak yapılan root / JB iÅŸlemi • Riskler • Kötücül yazılım yükleme ihtimalinin artması • Uygulamanın cihazda tuttuÄŸu verilerin çalınması(bir önceki bulguyla da artan etki) • Çözüm önerileri • JB / Root iÅŸlemi yapılan cihazlara engelleme
  • 8. Web / Mobil Uygulama Açıkları - 5 • XSS (Cross-Site Scripting) • Ä°stemci tarafında script çalıştırma • Reflected ve stored XSS • Riskler • Cookie çalınması • Çözüm Önerileri • Girdi validasyonu ve encoding • HttpOnly
  • 9. Web / Mobil Uygulama Açıkları - 6 • Oturum yönetimi açıklıkları • Anonim fazdan tanılanmış faza geçiÅŸ • Çok faktörlü tanılamada karşılaşılan sorunlar • Riskler • Yetkisiz eriÅŸim ihlâlleri • DoS atakları(anonim eriÅŸilen yüksek boyutlu kaynaklar) • Regülasyon sorunları(Birden fazla faktör eksikliÄŸi) • Çözüm önerileri • Her fazda deÄŸiÅŸen oturum çerezi • Tanılama fazlarının kontrolü
  • 10. Web / Mobil Uygulama Açıkları - 7 • Parola politikası • Bir diÄŸer basit ama en çok sorun çıkaran nokta • Uzunluk politikası • Karmaşıklık politikası • Riskler • Kullanıcı hesabının ele geçirilmesi • Yetkisiz eriÅŸim ihlâlleri • Çözüm önerileri • Etkin parola politikasının uygulanması(Min. 8 karakter, büyük-küçük harf, özel karakter)
  • 11. Web / Mobil Uygulama Açıkları - 8 • Yatay ve dikey eriÅŸim ihlâlleri • Aynı yetki seviyesindeki diÄŸer kullanıcı kaynaklarına eriÅŸim • Ãœst yetki seviyesindeki kaynaklara eriÅŸim • Riskler • Yetkisiz eriÅŸim ihlâlleri • Gizlilik ve bütünlük ihlâlleri • Çözüm önerileri • Ä°lgili fonksiyonlara sadece yetkili kullanıcılarca eriÅŸim saÄŸlanması
  • 12. Web / Mobil Uygulama Açıkları - 9 • Certificate Pinning(Mobil) • Güvenlik sertifikası iÄŸnelenmesi • Sertifika otoritelerinden kaynaklı sorunlar • Mutual authentication • Riskler • Ä°letiÅŸimin gizliliÄŸinin ihlâli • Ortak internet eriÅŸim noktaları • Çözüm önerileri • Uygulama kaynak kodu içine hard-coded • Sertifikanın kendisi ya da Public Key’i
  • 13. Web / Mobil Uygulama Açıkları - 10 • Dosya yükleme fonksiyonu açıklıkları(Backdoor shell) • Web / uygulamaya sunucuya zararlı dosya yüklenmesi(WAR) • Riskler • Sunucunun ele geçirilmesi • Veri sızması / sızdırılması • Çözüm önerileri • Tehlikeli karakterlerin kontrolü(Injection) • Dosya yükleme dizininin kontrolü(web-root) • En güncel sürüm kullanımı
  • 14. Son Söz • Tespit edilen açıklıklar bütüncül olarak deÄŸerlendirilmeli • Ä°ki düşük kritiklikteki zafiyet daha büyük riskler oluÅŸturabilir • Güncel sürümler kullanılmalı • Mantık hataları gözden geçirilmeli(ör. Bilet satın alma)