Http://www.mertsarica.com | http://twitter.com/mertsarica Penetrasyon Testinin Önemi http://www.mertsarica.com | http://twitter.com/mertsarica.

Slides:



Advertisements
Benzer bir sunumlar
8. SINIF 3. ÜNİTE BİLGİ YARIŞMASI
Advertisements

MUSTAFA UYSAL TÜRKÇE ÖĞRETMENLİĞİ(İ.Ö)
| Android Analizi |
.com İletişimde Kökten Çözüm...
B İ LG İ S İ RAYIN İ CADI VE TAR İ HSEL GEL İŞİ M İ TEKNOLOJ İ VE TASARIM HAZIRLAYAN HÜLYA AYTEK İ N GÜNDÜZ-A 2.SINIF.
LEO’ya Hoş geldiniz Potansiyelinizi açığa çıkarın
Ethical Hacking 1. Bölüm Eyüp ÇELİK
S İ STEM BELGELEND İ RME MERKEZ İ BA Ş KANLI Ğ I TSE- GÜMRÜK MÜŞAVİRLERİ ODASI PROTOKOLÜ ÜCRET TEKLİFİ.
Çözümlerimizle İşinizde Değer Yaratalım
Zafiyet Tespit Araçları – Eksileri/Artıları
JOHARİ PENCERESİ HAZIRLAYAN: BEDİİ DURMUŞ
GÜMRÜKLER 2023 VİZYONU 1. ARAMA KONFERANSI/ Stratejisi
Eğitim Programı Kurulum Aşamaları E. Savaş Başcı ASO 1. ORGANİZE SANAYİ BÖLGESİ AVRUPA BİLGİSAYAR YERKİNLİĞİ SERTİFİKASI EĞİTİM PROJESİ (OBİYEP)
MYENGLISHLAB ONLINE Kayıt Kılavuzu.
PRObiz Hakkında PRObiz Yazılım; Interneer’ın Türkiye’deki temsilciliğini yürütmekte olup 2004 yılından itibaren birçok başarılı projeye imza atmıştır.
 Web-Log kelimesinden türetilen bloglar, yazarların herhangi bir konu hakkında hızlı ve kolay ş ekilde yorumlarını, ba ğ lantılarını yazılarını, resimlerini,
Denetim Planının Hazırlanması
Ethical Hacking & Live Hacking
ÜNİTE DEĞERLENDİRMESİ 1.Sınıf Türkçe
E- İ MZA KULLANIM REHBER İ 1- E-imza pin numarasını öğrenme 2- Doküman Yönetim Sisteminde E-imza’nın kullanımı.
Öğrenci Temsilcilikleri Seçimi Mühendislik Fakültesi.
B İ LG İ GÜVENL İĞİ NDE KULLANICI SORUMLULU Ğ U. Sistemi içeriden yani kullanıcıdan gelebilecek hatalara ve zararlara kar ş ı koruyan bir mekanizma yoktur.
Uygulamalı Örneklem Seçimi
Sizin sosyal medya danı ş manınız olarak Markanız için sosyal medya stratejilerinin olu ş turulması ve yönetimini yapıyoruz. Ayrıca kriz durumlarında.
TÜRETİLMİŞ VERİLER VE HASTALIK ÖLÇÜTLERİ
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
ORHAN EREN İLKOKULU 1-A.
Ekim 15, 06© Copyright M.Tınaz Titiz, Sorunların kendileri Cevaplar De ğ ildir..
Bilişim Güvenliği Semineri
Gün Kitabın Adı ve Yazarı Okuduğu sayfa sayısı
ÇALIŞAN SA Ğ LI Ğ I B İ R İ M İ Akdeniz Üniversitesi Hastanesi.
0-6 Yaş Arası Çocukların Temel Gelişimsel Özellikleri
TÜRKİYE İSTATİSTİK KURUMU İzmir Bölge Müdürlüğü 1/25.
İZLEMEİZLEME Defterdarlıklar İç Kontrol Eğitimi 10 Mart-27 Nisan 2013 Strateji Geliştirme Başkanlığı 1.
Bilişim Güvenliği Information Security
 Jean Monnet Burs Programı, AB üyesi bir ülkedeki üniversitede ya da üniversiteye e ş de ğ er bir kurulu ş ta yüksek lisans e ğ itimi veya ara ş tırma.
KKTC MERKEZ BANKASI BA Ş KANI Dr. Bilal SAN 8 Mart 2013, Lefko ş a Finansal Kriz, KKTC Bankacılık Sektörü ve Kurumsalla ş ma.
İNTERNET ADRESLERİ Ahmet SOYARSLAN biltek.info.
İNTERNET GÜVENLİĞİ İÇİN İNTERNET GÜVENLİK SEMİNERİ
İçindekiler  Amaç  Kullanılan Araçlar  Web Uygulaması ve Matris Resimleri  İkili Arama  Arama & Veri Çekme Algoritmaları  İkili Arama &
Master in Advanced European and International Studies.
AYNALAR TUĞÇE ÇINARLI.
Internette iki çe ş it adresleme kullanılır. IP numarası herhangi bir bilgisayar internete ba ğ landı ğ ı anda, dünya üzerinde sadece ona ait olan bir.
Bilgi Teknolojileri Güvenlik Uzmanı (IT Security Specialist)
Facebook.com/HotMobilePress Twitter.com/HotMobilePress :: EYLÜL 2012 :: MOBİL TEKNOLOJİLERE ODAKLI İLK ve TEK TÜRKÇE ONLINE YAYIN.
GRUBUMUZUN WEB SAYFASI YAYINA GİRMİŞTİR: Bu sunuşu Çözüm Paylaşım Grubuna Üye olduğunuz için aldınız. Benzer sunuşları düzenli.
ISI&SICAKLIK SICAKLIK
İnternetin Güvenli Kullanımı ve Sosyal Ağlar
Hazırlayan: SERDAR ÜNLÜCÖMERT EGİAD ORTAOKULU
AİLE VE İLETİŞİM AİLE VE İLETİŞİM.
YALIN KILIÇ TÜREL Kasım-BOTE-4-ELAZI Ğ Gizlilik ve Doğruluk Ders: bilişim etiği.
ÖĞR. GRV. Ş.ENGIN ŞAHİN BİLGİ VE İLETİŞİM TEKNOLOJİSİ.
BURCUGÜL B İ LG İ N TÜRKÇE Ö Ğ RETMENL İĞİ ( İ.Ö.) EĞİTİMDE WEB 2.0 ARAÇLARI.
Bilişim Güvenliği Hazırlayan: Ümüt EZER. Bili ş im Güvenli ğ i : Sahip oldu ğ umuz bili ş im altyapısının sadece i ş süreçleri için tanımladı ğ ımız amaçlar.
Hazırlayan Ufuk Kemerci  2004 yılında ortaya atılmı ş bir kavramdır. Web sitelerinin yalıtılmı ş bilgi depoları ş eklinden çıkıp kullanıcılara.
|
l Bir Tehdit Mi? Ar. Gör. Zeynep Erkan Atik.
BİLGİSAYARIN TARİHÇESİ
SIZMA TEST İ, E Ğİ T İ M VE DANIŞMANLIK H İ ZMET İ VEREN PERSONEL VE F İ RMALAR İ Ç İ N YETK İ LEND İ RME PROGRAMI KORAY ATSAN SIZMA TEST İ, E Ğİ T İ M.
1. 2 Siber güvenlik dünyasına yönelik, yenilikçi profesyonel çözümleri ile katkıda bulunmak amacı ile 2008 yılında kurulan BGA Bilgi Güvenliği A.Ş. stratejik.
Lınk layer ProtoCol (ARP,INARP) YUNUS EMRE BAYAZIT.
B İ L İŞİ M S İ STEMLER İ GÜVENL İĞİ (2016) PROF. DR. ORHAN TORKUL ARŞ. GÖR. M. RAŞIT CESUR.
İNTERNET ADRESLERİ.
Bilgisayar Ağlarında Güvenlik
Penetrasyon Testleri Erçin DİNÇER.
| Zararlı JavaScript Analizi |
İNTERNET ADRESLERİ.
Hazırlayan : Atahan Aybars ERDEM Fatih ALBAYRAK yılında Bursa’da kurulan Oyak Renault Otomobil Fabrikaları, yıllık 360 bin otomobil ve 450 bin motor.
B İ LG İ S İ RAYIN İ CADI VE TAR İ HSEL GEL İŞİ M İ TEKNOLOJ İ VE TASARIM HAZIRLAYANLAR MEN Ş URE DÜZGÜN S İ MGE ALP EL İ F NUR TURAN.
Bilgi Teknolojileri Hafta 01
Sunum transkripti:

http://www.mertsarica.com | http://twitter.com/mertsarica Penetrasyon Testinin Önemi http://www.mertsarica.com | http://twitter.com/mertsarica

http://www.mertsarica.com | http://twitter.com/mertsarica İÇERİK Penetrasyon Testi (Pentest) Nedir, Ne Değildir ? Kurumlar için Neden Önemlidir ? Neden Kurumlar Pentester Arıyorlar ? İyi Bir Pentester Nasıl Olunur ? Sonuç http://www.mertsarica.com | http://twitter.com/mertsarica

http://www.mertsarica.com | http://twitter.com/mertsarica BEN KİMİM? Ahlaklı Korsan Mesai saatlerinde... Blog Yazarı http://www.mertsarica.com Güvenlik TV http://www.guvenliktv.org Python Programcısı http://www.mertsarica.com/programlar Zararlı Yazılım Analisti Boş zamanlarımda... Sertifika Kolleksiyoncusu CISSP , SSCP , OSCP , OPST , CREA http://www.mertsarica.com | http://twitter.com/mertsarica

http://www.mertsarica.com | http://twitter.com/mertsarica MESLEĞİM ? Finans sektörünün ihtiyaçlarına ve günün teknolojilerine uygun hizmetler sunan, ürünler meydana getiren, NBG Grup şirketlerinden Finansbank’ın Bilgi Teknolojileri iştiraki olan IBTech firmasında Bilişim Güvenliği Uzmanı (Senior Penetration Tester / Ethical Hacker) olarak çalışmaktayım. http://www.finansbank.com.tr http://www.ibtech.com.tr http://www.mertsarica.com | http://twitter.com/mertsarica

NEDEN PENETRASYON TESTİ ? http://www.mertsarica.com | http://twitter.com/mertsarica

NEDEN PENETRASYON TESTİ ? Regülasyonlara (PCI, BDDK vs.) uyum için. Müşterilerinizin güvenliği için. İtibarınız için. Kurum içi farkındalığı arttırmak için. Sistemlerinizi savunmak için. (En iyi savunma saldırıdır!) http://www.mertsarica.com | http://twitter.com/mertsarica

http://www.mertsarica.com | http://twitter.com/mertsarica SIZMA TESTİ GENELGESİ http://www.mertsarica.com | http://twitter.com/mertsarica

http://www.mertsarica.com | http://twitter.com/mertsarica PCI DSS v2.0 http://www.mertsarica.com | http://twitter.com/mertsarica

PENETRASYON TESTİ NEDİR ? Pentest, hedef sistemlerin, ağların güvenliğinin hacker gözüyle denetlenmesi, tespit edilen zafiyetlerin istismar edilmesi ve zafiyetleri ortadan kaldıracak çözüm önerilerinin üretilmesidir. Türleri: Whitebox, Blackbox, Greybox Zafiyet değerlendirme testlerinden farklı olarak bu testlerde tespit edilen zafiyetler istismar edilir. Bu testler sayesinde birden fazla düşük seviye bulgu bir araya getirilerek kritik seviyede bulgu ile sonuçlanabilir. http://www.mertsarica.com | http://twitter.com/mertsarica

http://www.mertsarica.com | http://twitter.com/mertsarica PENTEST DÖNGÜSÜ http://www.mertsarica.com | http://twitter.com/mertsarica

PENETRASYON TESTİ NE DEĞİLDİR ? Sadece otomatize araçlar ile « Tara ve Geç » şeklinde gerçekleştirilen testlerden değildir. Zafiyet değerlendirme testleri gibi yüzlerce sayfalık raporlardan oluşmayabilir bu nedenle raporun sayfa sayısına göre değerlendirilmemelidir. Amaç kapsama bağlı kalarak istismar edilebilen zafiyetlerin tespit edilmesi ve raporlanmasıdır, kapsam dışına çıkılması beklenmemelidir. Regülasyonlara uyum nedeniyle yapmış olmak için yapılmamalıdır. Katma değer için işin ehli kişi veya kişilerce gerçekleştirilmelidir. http://www.mertsarica.com | http://twitter.com/mertsarica

http://www.mertsarica.com | http://twitter.com/mertsarica SQLi vs WAS Acunetix  Webinspect  Appscan  Netsparker  Burp Suite Pro  Pentester  http://www.mertsarica.com | http://twitter.com/mertsarica

http://www.mertsarica.com | http://twitter.com/mertsarica TARAYIP GEÇMEYİN! http://www.mertsarica.com | http://twitter.com/mertsarica

http://www.mertsarica.com | http://twitter.com/mertsarica TARAYIP GEÇMEYİN! http://www.mertsarica.com | http://twitter.com/mertsarica

http://www.mertsarica.com | http://twitter.com/mertsarica TARAYIP GEÇMEYİN! http://www.mertsarica.com | http://twitter.com/mertsarica

http://www.mertsarica.com | http://twitter.com/mertsarica TARAYIP GEÇMEYİN! http://www.mertsarica.com | http://twitter.com/mertsarica

http://www.mertsarica.com | http://twitter.com/mertsarica TARAYIP GEÇMEYİN! http://www.mertsarica.com | http://twitter.com/mertsarica

http://www.mertsarica.com | http://twitter.com/mertsarica NEDEN SIKI DENETİM ? Dinamik bir yapıda yılda 1 defa sızma testi gerçekleştirilerek sistemlerin ve ağların güvenliği sağlanamaz ! Güvenlik, dış kaynaklara devredilip unutulacak bir husus değildir. İmza tabanlı sistemlerin tamamına yakını atlatılabilmektedir. Organize suç örgütleri artık 0. gün zafiyetlerinden faydalanmaktalar. (Elderwood Project) En zayıf halkanız kadar güvendesiniz. http://www.mertsarica.com | http://twitter.com/mertsarica

http://www.mertsarica.com | http://twitter.com/mertsarica DEVRET VE UNUTUN SONU http://www.mertsarica.com | http://twitter.com/mertsarica

http://www.mertsarica.com | http://twitter.com/mertsarica HACKING MERAKLILARI 1.5 MİLYON ÜYE http://www.mertsarica.com | http://twitter.com/mertsarica

http://www.mertsarica.com | http://twitter.com/mertsarica MERAKTAN DA ÖTE http://www.mertsarica.com | http://twitter.com/mertsarica

Zararlı Site Ziyaret Tarihi İSTİSMAR KİTİ vs ANTIVIRUS Tarih: 22.06.2012 Zararlı Site Ziyaret Tarihi URL AV Tespit Tarihi Ülke 18/06/2012 14:33:00 EEST  http://bell.madhousedomains.com/Set.jar  - Rusya 18/06/2012 14:33:00 EEST  http://bowl.taxpainkiller.com/Set.jar 11/06/2012 21:10:58 EEST  http://tellmeonlygoodnews.org/l/Set.jar  http://diving-pleasure.com/l/Set.jar 08/06/2012 12:05:44 EEST http://zhdrzfkzq.changeip.name/images/334857960/c17267280eeb8b395c2abca7085a2944.jar - 08/06/2012 11:56:06 EEST  http://ca.miraclestove.org/Half.jar 08/06/2012 11:56:»06 EEST  http://home-page.ezua.com/Half.jar -  Kazakistan  http://shop.rxpillcenter.com/Half.jar 06/06/2012 19:20:43 EEST  http://kioiwrsd.tk/33982.jar 22.06.2012  http://gkiqaue.tk/33982.jar http://www.mertsarica.com | http://twitter.com/mertsarica

http://www.mertsarica.com | http://twitter.com/mertsarica HEDEFLENMİŞ SALDIRI http://www.mertsarica.com | http://twitter.com/mertsarica

http://www.mertsarica.com | http://twitter.com/mertsarica HEDEFLENMİŞ SALDIRI http://www.mertsarica.com | http://twitter.com/mertsarica

http://www.mertsarica.com | http://twitter.com/mertsarica HEDEFLENMİŞ SALDIRI http://www.mertsarica.com | http://twitter.com/mertsarica

http://www.mertsarica.com | http://twitter.com/mertsarica HEDEFLENMİŞ SALDIRI 0. Gün Zafiyeti ? SQL Injection ? Sosyal Mühendislik ? İç Tehdit ? 3. Parti Firma ? Belki de sadece Google Hack ? http://www.mertsarica.com | http://twitter.com/mertsarica

http://www.mertsarica.com | http://twitter.com/mertsarica HEDEFLENMİŞ SALDIRI http://www.mertsarica.com | http://twitter.com/mertsarica

http://www.mertsarica.com | http://twitter.com/mertsarica HEDEFLENMİŞ SALDIRI http://www.mertsarica.com | http://twitter.com/mertsarica

http://www.mertsarica.com | http://twitter.com/mertsarica HEDEFLENMİŞ SALDIRI http://www.mertsarica.com | http://twitter.com/mertsarica

http://www.mertsarica.com | http://twitter.com/mertsarica HEDEFLENMİŞ SALDIRI http://www.mertsarica.com | http://twitter.com/mertsarica

http://www.mertsarica.com | http://twitter.com/mertsarica HEDEFLENMİŞ SALDIRI http://www.mertsarica.com | http://twitter.com/mertsarica

http://www.mertsarica.com | http://twitter.com/mertsarica DÜNYA NE YAPIYOR ? http://www.mertsarica.com | http://twitter.com/mertsarica

http://www.mertsarica.com | http://twitter.com/mertsarica DÜNYA NE YAPIYOR ? http://www.mertsarica.com | http://twitter.com/mertsarica

http://www.mertsarica.com | http://twitter.com/mertsarica BİZ NE YAPIYORUZ ? http://www.mertsarica.com | http://twitter.com/mertsarica

http://www.mertsarica.com | http://twitter.com/mertsarica BİZ NE YAPIYORUZ ? http://www.mertsarica.com | http://twitter.com/mertsarica

PENTESTER’IN KATMA DEĞERİ Hacklenme riskinizi azaltır. Projelerde güvenlik danışmanlığı yapar. Güvenlik ürünü seçiminde en doğru kararı vermenizi sağlar. Bilgisayar olayları müdahalesinde kilit rol oynar. Süre ve maaliyet kısıtları olmaksızın gerçekleştirdiği testler ile daha fazla zafiyet tespit ederek güvende olmanızı sağlar. http://www.mertsarica.com | http://twitter.com/mertsarica

http://www.mertsarica.com | http://twitter.com/mertsarica PENTESTER OLMAK İÇİN Herşeyden önce İngilizce dilini iyi bilmek! ( Yerli kaynak sıkıntısı ) Çok çok okumak, bol bol pratik yapmak Sistem bilgisi ( Hack edeceğiniz sistemi iyi bilmeniz gerekir ) Programlama bilmek ( Araçlar her zaman işinizi görmeyebilir ) Eğitim Şart http://www.mertsarica.com | http://twitter.com/mertsarica

http://www.mertsarica.com | http://twitter.com/mertsarica PENTESTER OLMAK İÇİN Penetrasyon testi haberleşme gerçekleştiren her cihaza yapılabilir. OSI katmanlarını ve protokollere hakim olmak şart. Giriş seviyesi için C ve Python (Ruby veya Perl) programlama dili bilmeniz, ileri seviye için ise Assembly bilmeniz şart. Yaratıcı düşünme şart. (Ben siyah şapka olsaydım ne yapardım ?) Teknolojiyi yakından takip edin. (Mobile Pentest / NFC vs.) Sosyal medyayı yakından takip edin. (Twitter) http://www.mertsarica.com | http://twitter.com/mertsarica

http://www.mertsarica.com | http://twitter.com/mertsarica PENTEST EĞİTİMLERİ http://www.mertsarica.com | http://twitter.com/mertsarica

http://www.mertsarica.com | http://twitter.com/mertsarica PENTEST EĞİTİMLERİ http://www.mertsarica.com | http://twitter.com/mertsarica

http://www.mertsarica.com | http://twitter.com/mertsarica PENTEST EĞİTİMLERİ http://www.mertsarica.com | http://twitter.com/mertsarica

http://www.mertsarica.com | http://twitter.com/mertsarica OKUNASI KİTAPLAR Hacking Exposed serileri Hackers Handbook serileri Linked’in hesabımda okuduğum kitaplar. http://www.mertsarica.com | http://twitter.com/mertsarica

http://www.mertsarica.com | http://twitter.com/mertsarica SONUÇ Yedekten dönemeyeceğiniz tek bir şey vardır o da itibarınız. Bilgi güçtür ve Pastebin’e asıldıkça azalır  Hacklenmediğiniz için rehavete kapılmayın çünkü henüz sıra size gelmemiş olabilir, önleminizi şimdiden alın. Yetişmiş Pentester bulamıyorsanız yetiştirmeye bakın. Pentesterınıza mutlaka yatırım yapın o sıradan bir iş yapmıyor. No news is s/good news/APT/g http://www.mertsarica.com | http://twitter.com/mertsarica

http://www.mertsarica.com | http://twitter.com/mertsarica

http://www.mertsarica.com | http://twitter.com/mertsarica TEŞEKKÜRLER http://www.mertsarica.com | http://twitter.com/mertsarica

Geri bildirim: Gizlilik Politikası Geri bildirim
Proje hakkında: SlidePlayer Kullanım şartları

© 2024 SlidePlayer.biz.tr Inc. All rights reserved.