Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.

Slides:



Advertisements
Benzer bir sunumlar
Web uygulamalarında yeni bir yaklaşım AJAX
Advertisements

.NET FRAMEWORK -MASAÜSTÜ VE SUNUCU YAZILIMLARI
Dört Bölüm 1.Tanıtım ve Mevcut Durum 2.Hedefler 4.Demo 3.Yeni Sürüm Planlaması.
SGB.NET’İN TEKNİK ALTYAPISI
IIS 6.0. Giriş  Geçtiğimiz yıllarda, Microsoft güvenlik açıkları nedeniyle IIS 4/5 üstünden bir çok saldırıya uğradı.  Bu sebepten Microsoft’un geliştirdiği.
Bilgisayar ve İnternet Güvenliği
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
WEB SERVİCE İDRİS YÜRÜK MAHMUT KAYA.
.NET FRAMEWORK.
Eğitsel Yazılımların Değerlendirilmesi
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the Creative Commons Attribution-ShareAlike.
YZM Yazılım Doğrulama ve Geçerlileme
(Bilişim Sektörüne Nitelikli Ara Eleman Yetiştirilmesi Projesi)
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
INTERNET TABANLI HASTA KAYDI PAYLAŞIMI VE TELEKONSÜLTASYON PLATFORMU
E-SINAV Sistemi Halil Özmen
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the Creative Commons Attribution-ShareAlike.
Bir Saldırının Senaryosu-2
FRAMEWORK.
Bilgisayar Mühendisliği Bölümü Bilgi Servisleri (IS) GRID Kullanıcı Eğitimi Boğaziçi Üniversitesi 2007, İstanbul Emrah AKKOYUN.
BTP 108 BİLGİSAYAR AĞ SİSTEMLERİ AĞ KAVRAMI Birden çok bilgisayarın birbirine bağlı olarak kullanılmasıyla oluşturulan çalışma biçimine bilgisayar ağı.
Bilişim Güvenliğinde Yaşam Döngüsü ve Derinlik
İÇERİK İhtiyaç Amaç Yazılım Emniyeti Yaşam Döngüsü Süreçleri Sonuç
BBY Bilgi Teknolojisi ve Yönetimi
Bora GÜRSEL CBÜ BAUM Proje Yöneticisi
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Site Türleri ve Yapıları
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Week 1 Yönetim Bilişim Sistemleri Dr. Alper Özpınar
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Yazılım Proje Yönetimi
Grid Hesaplaması Özgür Erbaş GRID Kullanıcı Eğitimi Boğaziçi Üniversitesi 2007, İstanbul.
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Bilgisayar ve internet güvenliği için yardımcı programlar
Marie-laure Lemineur Çocuklara Yönelik Online Cinsel Sömürü ile Mücadele Programı Uluslaraarası ECPAT Ağı ÇTCS ile Mücadele Ağı Türkiye Eylül 1, 2014,
FERHAT KADİR PALA SACİDE GÜZİN MAZMAN
.NET Teknolojileri .NET mimarisi VB.NET, C.NET, C#.NET
ODTÜ Bilgi İşlem Merkezi Anti-Spam Çalışmaları Tayfun Asker ODTÜ-BİDB
Güvenli ve Pratik Web’de çalışma saatleri için;
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Erman Yukselturk1 PHP NEDİR? Scripting / Progralama dilidir (C’ye benzer) C ++ ortamında geliştirilmiştir Bedava / Açık Kod Hızlı, açık, dengeli (stable),
ALİ FINDIK Galatasaray Ünİversİtesİ 2015
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Bilgisayar ve Veri Güvenliği
İNTERNET ADRESLERİ.
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
KONGRE YÖNETİM SİSTEMİ MEHMET TURAN M. SERTAÇ KELEŞ.
Kritik Finansal Sistemlerde Yazılım Değişiklik ve Takip Yönetim Sistemi Mehmet Vacit BAYDARMAN BİLGİ TEKNOLOJİLERİ.
|
Modül 1: Giriş. Genel Bakış Temel.NET kavramları Geliştirme ortamında gezinti Bir C# projesi oluştur Use Visual Studio.NET Veriye eriş Hata ayıkla ve.
Ağ ve Sistem Güvenliği’nde Yaygın Problemler
SG501-Siber Güvenliğe Giriş
Mobil Uygulama Geliştirme Teknikleri
Bilgisayar Mühendisliğindeki Yeri
Koray Yılmaz – Cevdet Kaymaz KURUMSALLIKTA BİLİŞİMİN ÖNEMİ ve BİLGİ GÜVENLİĞİ.
Nesne Tabanlı Yazılım Geliştirme Bora Güngören Portakal Teknoloji EMO Ankara Şubesi
Bilgi Güvenliği Denetim Sürecinde Özgür Yazılımlar Fatih Özavcı Bilgi Güvenliği Danışmanı
Bilgisayar Ağlarında Güvenlik
haZIRLAYAN: ELİF KARAOĞLU
Penetrasyon Testleri Erçin DİNÇER.
BİLGİSAYAR DESTEKLİ EĞİTİM İÇİN ÖĞRETİM TASARIMI
Amazon Web Servisleri ve Javascript Dilinin Birlikte Kullanımı
Dünya Üzerine Yayılmış Çok-Kullanıcılı Çevrim-İçi Eğitsel
Genel PHP Akademik Bilişim 2003 Adana, Şubat 2003 Hidayet Doğan
DRUPAL ile Kampüs Yönetimi
Sunum transkripti:

Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation OWASP-TR Yazılım Geliştirme Sürecinde Güvenlik Testleri Burak Dayıoğlu,

OWASP-TR Yazılımları Neden Test Ediyoruz?

OWASP-TR Test Ediyoruz Çünkü...  Hatasız yazılım geliştiremiyoruz  Ancak  Az hatalı  Hatanın etkisinin az olduğu yazılımları hedefleyebiliyoruz  Hatasız geliştirecek teknolojimiz olana değin teste devam...

OWASP-TR Farklı Test Kategorileri  İşlevsellik  Performans  Erişilebilirlik (accessibility)  Uluslararasılaştırma (i18n)  Güvenlik Her test kategorisi hata bulmayı hedeflemez; bazıları beklentileri karşılama düzeyini belirlemek içindir

OWASP-TR %80 Bilişim güvenliği ihlallerinin YAZILIM GÜVENLİĞİ problemlerinden kaynaklananlarının oranı (Kaynak: Gartner)

OWASP-TR Güvensizliğin Bedeli  Yazılımların güvenlik problemlerinin bedelleri çok ağır olabilir  Ölüm ve yaralanma  Ulusal güvenlik zafiyetleri  Finansal kayıplar  İtibar kaybı  Kıymetli bilgilerin çalınması ...

OWASP-TR İşimizi Yazılım Taşıyor  Tüm kritik iş süreçleri bilgisayar yazılımları ile destekleniyor  Yazılımların güvenliğinin sağlanması artık çok daha önemli

OWASP-TR Güvenlik Testini Kim Yapar?  Geliştiriciler  Test uzmanları  Meraklılar  Güvenlik denetim firmaları  Suç işleyecekler / suç örgütleri

OWASP-TR Neyi Test Ediyoruz?  Girdi denetimi  Doğrulama/yetkilendirme  Kayıt tutma  Zaman/durum yönetimi ...  Buffer overflow  Integer overflow  Command injection  SQL injection  LDAP injection  Cross-site scripting  Format strings  HTTP response splitting  Authentication bypass  Man in the middle  Replay  Spoofing  Credential management  Least privilege violation  Password management  Privacy violation  Log forging  Log flooding  Time sync  Deadlocks  Race conditions  HTTP session fixation  Improper thread mgmt  Double checked locking

OWASP-TR Genel Yaklaşım 1.Teste konu yazılımı iyice anla 2.Hedef için olumsuz neler yapabileceğini kurgula ve planla 3.Kurgu ve planlar ışığında testlerini gerçekleştir 4.Çevrede ne olup bittiğini izle, gelişmelerden haberdar ol

OWASP-TR Güvenliğe Özel Test Teknikleri  Açık kod ile  Kod ve tasarım gözden geçirmeleri  Statik kod analizi araçlarının kullanılması  Kapalı kod ile  Tersine Mühendislik ile açık koda dönüştürme  Sızma Testleri  Fuzz testleri Tüm testler fonksiyonel olmayan testlerdir

OWASP-TR Kod/Tasarım Gözden Geçirmesi  Yazılım kaynak kodunun ve tasarım belgelemesinin “okunması”  Avantajı: Çok etkili  Dezavantajı: Ölçeklenemiyor

OWASP-TR Statik Kod Analizi Araçları  Kaynak kodu analiz eden araçların kullanımı ile bilindik güvenlik programlama hatalarının tespiti  Avantajı: Problemlerin çok hızlı tespiti  Dezavantajı: Yazılımın “bağlamından” habersiz olmak

OWASP-TR Tersine Mühendislik  Yönetilen platformlar yaygınlaşıyor  Java JRE,.Net CLR, Macromedia Flash  Binary’lere sahipseniz (genellikle) kaynak koda dönebilirsiniz  Reflection yolu ile  Kod karıştırıcılar kullanılmadı ise

OWASP-TR Penetrasyon Testleri Teste Konu Yazılım İşletim Sistemi Platformu ve Ağ Altyapısı Kullanıcı Arayüzü Ağ İletişim Arayüzü Web Servisi Arayüzü Dosya Sistemi Arayüzü Veritabanı Arayüzü Ağ İletişim Arayüzü Web Servisi Arayüzü Dosya Sistemi Arayüzü

OWASP-TR Fuzz Testleri  Yazılımın arayüzlerinden  Tümüyle rastgele  Kısmen rastgele veri girişi yapılır, yazılımın davranışı incelenir  Her farklı tür uygulama ve protokol için fuzzer bulmak güç olabilir  Pek çok modern web tarayıcısının içerisinde web fuzzer’lar bulunmaktadır

OWASP-TR Özet Olarak  Yazılımları güvenlikleri açısından test etmek zorundayız  Kaynak kod ve tasarım belgelemesi incelemesi  Statik kod analiz araçları  Tersine mühendislik  Penetrasyon testleri  Fuzz testleri  Teknikler geliştirme sürecinin tamamında kullanılabilir

OWASP-TR Daha Fazla Bilgi İçin...

Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation OWASP-TR Güvenliğiniz Geleceğinizdir