NOPcon sunumu: Attacking iOS Applications

NOPcon güvenlik konferansı 21 Mayıs 2012’de İstanbul Bilgi Üniversitesi’nde yapıldı.

Konferansta Apple iOS uygulamalarının denetlenmesiyle ilgili bir sunum gerçekleştirdim. Hali hazırda iOS uygulamaları ağ tabanlı denetimlere tabi tutuluyor. Amacım ağ tabanlı denetimlerin dışında neler yapılabilir, uygulamalar nasıl bir mimaride çalışıyor, iOS uygulama denetimlerinde nasıl bir yol izlenebilir göstermeye çalışmaktı. Umarım katılan herkes bir bölümünden faydalanabilmiştir. Katılan herkese teşekkür ederim.

Kendi adıma çok faydalı ve güzel bir teknik etkinlikti diyebilirim. Bu yıl kazanılan tecrübelerle organizatörlerin seneye çok daha iyi bir etkinlik düzenleyeceğine eminim.

Sunumu buradan indirebilirsiniz: Attacking iOS Applications

Penetrasyon Testlerinde Düşülebilecek Hatalar

3-4 Haziran 2011’de Bilgi Üniversitesi Dolapdere Kampüsünde gerçekleşen, İstanbul Bilgi Güvenliği Konferansı IstSec’te yaptığım sunumu aşağıda bulabilirsiniz.

Penetrasyon Testlerinde Düşülebilecek Hatalar, zaman içerisinde tecrübeyle edinilmiş bilgi birikiminden oluşan penetrasyon testi ipuçlarını içeriyor. Amacım profesyonel olarak penetasyon testi yapan veya bu işte henüz yeterince tecrübe kazanmamış kişilere ipuçları vererek belirli noktalarda kötü tecrübe yaşamalarını önlemek ve genel denetim kalitesini arttırmaktı.

Tabi ki sunum 45 dakikaya sığabilecek temel noktaları içeriyor. Bir kısmı bir çok kişi tarafından bilinse de, her seviyeden katılımcının kendisine bir şeyler kattığını duymak benim için sevindiriciydi.

Gelen herkese teşekkür ederim.

Sunumu buradan indirebilirsiniz.

Web Uygulamalarında Sık Karşılaşılan Güvenlik Açıkları

30 Nisan’da gerçekleşen Web Uygulama Güvenliği konulu NetSec Topluluk Buluşmasında yaptığım sunum dosyası aşağıda bulunabilir.

2010 yılında denetlenen 100’ün üzerinde özel geliştirilmiş web uygulamasında en sık karşılaşılan güvenlik problemleri bu şekildeydi. Ayrıca kategori bazında, eskiden ne tip durumlarla karşılaştığımız ve günümüzde bunun nasıl değiştiği de konuşuldu.

İstatistik detaylarında o kategoriye ait güvenlik açıklarının alt detayları, en sık karşılaşılandan daha az karşılaşılana göre sıralandı. Sunuma biraz hareket katmak için denetimler sırasında karşılaşılan ilginç güvenlik problemlerinden de bazıları sözlü olarak anlatıldı, bazılarıysa özel oluşturulmuş gerçeğe benzer örnek ekran görüntüleriyle açıklandı.

Bu istatistikler uğraştıran bir çalışmanın sonunda oluşturuldu. İstatistikler güvenlik açığının hedef uygulamada var olup olmadığına göre değerlendirildi. Örneğin XPath Injection denetlenen uygulamada var veya yok olarak değerlendirildi. 3 noktada XPath Injection vardır diye istatistiklere alınmadı.

Buna göre düşündüğünüzde SQL’e Sızma(SQL Injection) ortalama 100 uygulamanın 29’unda karşımıza çıkmıştır diye düşünebilirsiniz. O 29 uygulamanın kaç noktasında SQL Injection vardır bilgisi bu istatistiklerde görülmüyor.

Yurt dışında otomatik denetim yapan bazı firmalar, veritabanından direk bu istatistikleri sağlayabiliyorlar. Ben de ileride daha detaylı istatistikler sağlamak üzere raporlama yazılımlarını değiştirmeyi düşünüyorum.

Katılan herkese teşekkür ederim.

Sunumu indirmek için tıklayınız.