Online Bankacılık Uygulamalarında Karşılaşılan Güvenlik Açıkları

15 Nisan 2015, Girne

• İsmail Burak Tuğrul

• Hacettepe Üniversitesi Bilgisayar Mühendisliği

• CISSP

• Web / Mobil Uygulama Sızma Testleri

• İzcilik, altyazı çevirmenliği, tarih araştırmaları

Konuşmacı

Sunum İçeriği

• Web / Mobil bankacılık uygulamalarında karşılaşılan güvenlik açıklıkları

• Açıklığın genel çerçevesi

• Oluşturabileceği riskler

• Çözüm önerileri

Web / Mobil Uygulama Açıkları - 1

• Yama eksiklikleri – Desteklenmeyen Sürüm Kullanımı• Basit ama önemli• Gerçek durum senaryolarında ana kaldıraç

noktası(yayınlanan güvenlik raporları, APT vb.)

• Riskler• Uzaktan kod çalıştırma(Uzaktan erişim, DoS vb.)• Web config ele geçirme

• Çözüm Önerileri• Patch Management(Change Management)

Web / Mobil Uygulama Açıkları - 2

• CSRF Açıklıkları• Oldukça yaygın• Yazılım geliştiricilerce cookie ile karıştırılması

• Riskler• Kurbana bilgisi dışında işlem yaptırma• GET ve POST metodu farkı

• Çözüm önerileri• Her istekte güncellenen bir token(OTP gibi)

Web / Mobil Uygulama Açıkları - 3

• Mobil cihazlarda açık olarak saklanan hassas bilgiler• Authentication bilgileri• Cookie bilgileri

• Riskler• Cihaza fizikî erişim• Olası tehlikeli yazılımlar ve erişebildikleri kaynaklar

• Çözüm Önerileri• Kriptolu saklama• Keychain(iOS)

Web / Mobil Uygulama Açıkları - 4

• JB ya da rootlu cihazlara uygulamanın yüklenebilmesi• İşletim sistemi açıklıklarından yararlanılarak

yapılan root / JB işlemi

• Riskler• Kötücül yazılım yükleme ihtimalinin artması• Uygulamanın cihazda tuttuğu verilerin

çalınması(bir önceki bulguyla da artan etki)

• Çözüm önerileri• JB / Root işlemi yapılan cihazlara engelleme

Web / Mobil Uygulama Açıkları - 5

• XSS (Cross-Site Scripting)• İstemci tarafında script çalıştırma• Reflected ve stored XSS

• Riskler• Cookie çalınması

• Çözüm Önerileri• Girdi validasyonu ve encoding• HttpOnly

Web / Mobil Uygulama Açıkları - 6• Oturum yönetimi açıklıkları

• Anonim fazdan tanılanmış faza geçiş• Çok faktörlü tanılamada karşılaşılan sorunlar

• Riskler• Yetkisiz erişim ihlâlleri• DoS atakları(anonim erişilen yüksek boyutlu

kaynaklar)• Regülasyon sorunları(Birden fazla faktör eksikliği)

• Çözüm önerileri• Her fazda değişen oturum çerezi• Tanılama fazlarının kontrolü

Web / Mobil Uygulama Açıkları - 7• Parola politikası

• Bir diğer basit ama en çok sorun çıkaran nokta• Uzunluk politikası• Karmaşıklık politikası

• Riskler• Kullanıcı hesabının ele geçirilmesi• Yetkisiz erişim ihlâlleri

• Çözüm önerileri• Etkin parola politikasının uygulanması(Min. 8

karakter, büyük-küçük harf, özel karakter)

Web / Mobil Uygulama Açıkları - 8• Yatay ve dikey erişim ihlâlleri

• Aynı yetki seviyesindeki diğer kullanıcı kaynaklarına erişim

• Üst yetki seviyesindeki kaynaklara erişim

• Riskler• Yetkisiz erişim ihlâlleri• Gizlilik ve bütünlük ihlâlleri

• Çözüm önerileri• İlgili fonksiyonlara sadece yetkili kullanıcılarca

erişim sağlanması

Web / Mobil Uygulama Açıkları - 9• Certificate Pinning(Mobil)

• Güvenlik sertifikası iğnelenmesi• Sertifika otoritelerinden kaynaklı sorunlar• Mutual authentication

• Riskler• İletişimin gizliliğinin ihlâli• Ortak internet erişim noktaları

• Çözüm önerileri• Uygulama kaynak kodu içine hard-coded• Sertifikanın kendisi ya da Public Key’i

Web / Mobil Uygulama Açıkları - 10• Dosya yükleme fonksiyonu açıklıkları(Backdoor shell)

• Web / uygulamaya sunucuya zararlı dosya yüklenmesi(WAR)

• Riskler• Sunucunun ele geçirilmesi• Veri sızması / sızdırılması

• Çözüm önerileri• Tehlikeli karakterlerin kontrolü(Injection)• Dosya yükleme dizininin kontrolü(web-root)• En güncel sürüm kullanımı

Son Söz• Tespit edilen açıklıklar bütüncül olarak

değerlendirilmeli• İki düşük kritiklikteki zafiyet daha büyük riskler

oluşturabilir

• Güncel sürümler kullanılmalı

• Mantık hataları gözden geçirilmeli(ör. Bilet satın alma)

Teşekkürler

Sorularınız?