SlideShare ist ein Scribd-Unternehmen logo
1 von 25
Downloaden Sie, um offline zu lesen
Kurumsal firmalar için hata avcılığı
Evren YALÇIN&Fatmagül ERGANİ
Superbug Bilgi Güvenliği Topluluğu
Ajanda
● Hata nedir, nasıl ortaya çıkar?
● Nasıl hata avcılığı yapılır?
● Kurumlar için hata avcılığı?
Acil Durum
● Müşteri&Patron Bekliyor!
● Çalışsın yeter!
Konfor Alanı
1- Üretim esnasında oluşan hata
2- Üretimden sonra oluşan hata
Hata-1
$s = Ben bir değişkenim
$sayi = Ben bir sayıyım
CamelCase
● Kimyasal bileşiklerin ifadesi için icad edilmiştir.
Örn : toplamSiparisSayisi, personelAd
Hata -2
● MVC Çatısı kullanmak...
● Güncellemelere dikkat etmemek...
Hata avcılığı nedir?
● Firmaların sistemlerinde bulduğunuz güvenlik
açıklarını kendilerine bildirmeniz karşılığında
ödül kazandığınız ( Para , Eşantiyon, Onur
listesi vb gibi... ), karşılıklı güvene dayalı bir
organizasyondur.
Kim Bunlar?
● Nakit Para
● Şöhret
● Pratik Yapmak
Tercih Sizin
● Sızma testi yapan firmalar
● Dünyanın dört bir yanında sızma testi yapan
kişiler
Niye yaptırmalıyız?
● Hata avcılığı programı ile yetenekli kişilere
ulaşma şansınız artar.
● Masraflı değildir.
● Otomatize araçlara olan bağımlılık azalır.
Sorunlar?
● Uluslararası bir takım legal problemler
● Hataların giderilmesi için yoğun takım
çalışması
● False Positive ( Zafiyetin olmama durumu )
● Doğru bir şekilde işlemeyen süreçler
● Hacker dedikoduları
Üçe ayrılır
● Farkedenler
● Farketmeye çalışanlar
● Farketmeyenler
Yahoo Örneği
Yahoo Örneği -2
Bugbounty.yahoo.com
Yandex Örneği
Samsung -1
Samsung -2
● Bir zafiyet sadece kurumun altyapısına
sızabildiğini göstermek amacıyla istismar
edilebilir.
● Sistemde bulunan bir zafiyet internal sisteme
ulaşmaya sebep olacağı için POC kodu
zafiyetin ispatı açısından yeterlidir.
Nereden Başlarım?
● Facebook & Dropbox
Saldırı Vektörü
'"><img src=x onerror=alert(document.domain)>.txt
Bu kadar basit
Takip et!
● “Bir zafiyet buldum” sosyal hesaplarını ve
blogunu takip altına al
Aynı zafiyetin olma ihtimali var...
Sonuç?
Samsung Smart Tv servislerinde milyonlarca cihazı etkileyen 2
adet zafiyet...
Etkilenen Servisler :
Samsung Apps
Samsung Books
Samsung Learning
ChatON (100 milyon kullanıcı)
Family Story
Samsung Link
Telefonumu bul
Samsung Hub
Etkilenen Cihazlar :
Samsung Akıllı Telefonlar
Tabletler
Teşekkürler
www.superbug.co Bilgi Güvenliği Topluluğu

Más contenido relacionado

Mehr von CypSec - Siber Güvenlik Konferansı

Mehr von CypSec - Siber Güvenlik Konferansı (10)

Onur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle Saldırıları
Onur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle SaldırılarıOnur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle Saldırıları
Onur Alanbel & Ozan Uçar - Ulusal Siber Güvenlikte Kitle Saldırıları
 
İsmail Burak Tuğrul - Online Bankacılık Uygulamalarında Karlılaşılan Güvenlik...
İsmail Burak Tuğrul - Online Bankacılık Uygulamalarında Karlılaşılan Güvenlik...İsmail Burak Tuğrul - Online Bankacılık Uygulamalarında Karlılaşılan Güvenlik...
İsmail Burak Tuğrul - Online Bankacılık Uygulamalarında Karlılaşılan Güvenlik...
 
Yrd. Doç. Dr. Yavuz Erdoğan
Yrd. Doç. Dr. Yavuz ErdoğanYrd. Doç. Dr. Yavuz Erdoğan
Yrd. Doç. Dr. Yavuz Erdoğan
 
Suleyman Özarslan - 2014 Hackerların Yükselişi
Suleyman Özarslan - 2014 Hackerların YükselişiSuleyman Özarslan - 2014 Hackerların Yükselişi
Suleyman Özarslan - 2014 Hackerların Yükselişi
 
Canberk Bolat & Barış Vidin - İzleniyorsunuz
Canberk Bolat & Barış Vidin - İzleniyorsunuzCanberk Bolat & Barış Vidin - İzleniyorsunuz
Canberk Bolat & Barış Vidin - İzleniyorsunuz
 
Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı...
Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı...Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı...
Huzeyfe Önal - SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı...
 
Can Deger - Ben Heykır Olcam
Can Deger - Ben Heykır OlcamCan Deger - Ben Heykır Olcam
Can Deger - Ben Heykır Olcam
 
Canberk Bolat - Alice Android Diyarında
Canberk Bolat - Alice Android DiyarındaCanberk Bolat - Alice Android Diyarında
Canberk Bolat - Alice Android Diyarında
 
Can Yıldızlı - Koryak Uzan - Fiziksel Sızma Testi (İntelRad)
Can Yıldızlı - Koryak Uzan - Fiziksel Sızma Testi (İntelRad)Can Yıldızlı - Koryak Uzan - Fiziksel Sızma Testi (İntelRad)
Can Yıldızlı - Koryak Uzan - Fiziksel Sızma Testi (İntelRad)
 
Bünyamin Demir - Secure YourApp
Bünyamin Demir - Secure YourAppBünyamin Demir - Secure YourApp
Bünyamin Demir - Secure YourApp
 

Evren Yalçın - Fatmagül Ergani - Kurumsal firmalar için hata avcılığı