İsmail Burak Tuğrul - Online Bankacılık Uygulamalarında Karlılaşılan Güvenlik Açıkları
-
Upload
cypsec-siber-guevenlik-konferansi -
Category
Technology
-
view
97 -
download
2
Transcript of İsmail Burak Tuğrul - Online Bankacılık Uygulamalarında Karlılaşılan Güvenlik Açıkları
Online Bankacılık Uygulamalarında Karşılaşılan Güvenlik Açıkları
15 Nisan 2015, Girne
• İsmail Burak Tuğrul
• Hacettepe Üniversitesi Bilgisayar Mühendisliği
• CISSP
• Web / Mobil Uygulama Sızma Testleri
• İzcilik, altyazı çevirmenliği, tarih araştırmaları
Konuşmacı
Sunum İçeriği
• Web / Mobil bankacılık uygulamalarında karşılaşılan güvenlik açıklıkları
• Açıklığın genel çerçevesi
• Oluşturabileceği riskler
• Çözüm önerileri
Web / Mobil Uygulama Açıkları - 1
• Yama eksiklikleri – Desteklenmeyen Sürüm Kullanımı• Basit ama önemli• Gerçek durum senaryolarında ana kaldıraç
noktası(yayınlanan güvenlik raporları, APT vb.)
• Riskler• Uzaktan kod çalıştırma(Uzaktan erişim, DoS vb.)• Web config ele geçirme
• Çözüm Önerileri• Patch Management(Change Management)
Web / Mobil Uygulama Açıkları - 2
• CSRF Açıklıkları• Oldukça yaygın• Yazılım geliştiricilerce cookie ile karıştırılması
• Riskler• Kurbana bilgisi dışında işlem yaptırma• GET ve POST metodu farkı
• Çözüm önerileri• Her istekte güncellenen bir token(OTP gibi)
Web / Mobil Uygulama Açıkları - 3
• Mobil cihazlarda açık olarak saklanan hassas bilgiler• Authentication bilgileri• Cookie bilgileri
• Riskler• Cihaza fizikî erişim• Olası tehlikeli yazılımlar ve erişebildikleri kaynaklar
• Çözüm Önerileri• Kriptolu saklama• Keychain(iOS)
Web / Mobil Uygulama Açıkları - 4
• JB ya da rootlu cihazlara uygulamanın yüklenebilmesi• İşletim sistemi açıklıklarından yararlanılarak
yapılan root / JB işlemi
• Riskler• Kötücül yazılım yükleme ihtimalinin artması• Uygulamanın cihazda tuttuğu verilerin
çalınması(bir önceki bulguyla da artan etki)
• Çözüm önerileri• JB / Root işlemi yapılan cihazlara engelleme
Web / Mobil Uygulama Açıkları - 5
• XSS (Cross-Site Scripting)• İstemci tarafında script çalıştırma• Reflected ve stored XSS
• Riskler• Cookie çalınması
• Çözüm Önerileri• Girdi validasyonu ve encoding• HttpOnly
Web / Mobil Uygulama Açıkları - 6• Oturum yönetimi açıklıkları
• Anonim fazdan tanılanmış faza geçiş• Çok faktörlü tanılamada karşılaşılan sorunlar
• Riskler• Yetkisiz erişim ihlâlleri• DoS atakları(anonim erişilen yüksek boyutlu
kaynaklar)• Regülasyon sorunları(Birden fazla faktör eksikliği)
• Çözüm önerileri• Her fazda değişen oturum çerezi• Tanılama fazlarının kontrolü
Web / Mobil Uygulama Açıkları - 7• Parola politikası
• Bir diğer basit ama en çok sorun çıkaran nokta• Uzunluk politikası• Karmaşıklık politikası
• Riskler• Kullanıcı hesabının ele geçirilmesi• Yetkisiz erişim ihlâlleri
• Çözüm önerileri• Etkin parola politikasının uygulanması(Min. 8
karakter, büyük-küçük harf, özel karakter)
Web / Mobil Uygulama Açıkları - 8• Yatay ve dikey erişim ihlâlleri
• Aynı yetki seviyesindeki diğer kullanıcı kaynaklarına erişim
• Üst yetki seviyesindeki kaynaklara erişim
• Riskler• Yetkisiz erişim ihlâlleri• Gizlilik ve bütünlük ihlâlleri
• Çözüm önerileri• İlgili fonksiyonlara sadece yetkili kullanıcılarca
erişim sağlanması
Web / Mobil Uygulama Açıkları - 9• Certificate Pinning(Mobil)
• Güvenlik sertifikası iğnelenmesi• Sertifika otoritelerinden kaynaklı sorunlar• Mutual authentication
• Riskler• İletişimin gizliliğinin ihlâli• Ortak internet erişim noktaları
• Çözüm önerileri• Uygulama kaynak kodu içine hard-coded• Sertifikanın kendisi ya da Public Key’i
Web / Mobil Uygulama Açıkları - 10• Dosya yükleme fonksiyonu açıklıkları(Backdoor shell)
• Web / uygulamaya sunucuya zararlı dosya yüklenmesi(WAR)
• Riskler• Sunucunun ele geçirilmesi• Veri sızması / sızdırılması
• Çözüm önerileri• Tehlikeli karakterlerin kontrolü(Injection)• Dosya yükleme dizininin kontrolü(web-root)• En güncel sürüm kullanımı
Son Söz• Tespit edilen açıklıklar bütüncül olarak
değerlendirilmeli• İki düşük kritiklikteki zafiyet daha büyük riskler
oluşturabilir
• Güncel sürümler kullanılmalı
• Mantık hataları gözden geçirilmeli(ör. Bilet satın alma)
Teşekkürler
Sorularınız?