Submit Search
Upload
Mobil Pentest Örnek Not
•
17 likes
•
7,308 views
BGA Cyber Security
Follow
Bilgi Güvenliği Akademisi Ekibi Tarafından Hazırlanmış Dokümandır.
Read less
Read more
Technology
Report
Share
Report
Share
1 of 79
Download now
Download to read offline
Recommended
Normshield - Cloud Based Vulnerability Scan Service
Normshield - Cloud Based Vulnerability Scan Service
BGA Cyber Security
Pentest Çalışmalarında Kablosuz Ağ Güvenlik Testleri
Pentest Çalışmalarında Kablosuz Ağ Güvenlik Testleri
BGA Cyber Security
Web Uygulama Saldırıları ve Klasik Çözümlerin Yetersizliği
Web Uygulama Saldırıları ve Klasik Çözümlerin Yetersizliği
BGA Cyber Security
Siber Dünyada Modern Arka Kapılar
Siber Dünyada Modern Arka Kapılar
BGA Cyber Security
BGA Eğitim Sunum
BGA Eğitim Sunum
BGA Cyber Security
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
BGA Cyber Security
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12
BGA Cyber Security
Beyaz Şapkalı Hacker (CEH) Lab Kitabı
Beyaz Şapkalı Hacker (CEH) Lab Kitabı
BGA Cyber Security
Recommended
Normshield - Cloud Based Vulnerability Scan Service
Normshield - Cloud Based Vulnerability Scan Service
BGA Cyber Security
Pentest Çalışmalarında Kablosuz Ağ Güvenlik Testleri
Pentest Çalışmalarında Kablosuz Ağ Güvenlik Testleri
BGA Cyber Security
Web Uygulama Saldırıları ve Klasik Çözümlerin Yetersizliği
Web Uygulama Saldırıları ve Klasik Çözümlerin Yetersizliği
BGA Cyber Security
Siber Dünyada Modern Arka Kapılar
Siber Dünyada Modern Arka Kapılar
BGA Cyber Security
BGA Eğitim Sunum
BGA Eğitim Sunum
BGA Cyber Security
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
BGA Cyber Security
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12
BGA Cyber Security
Beyaz Şapkalı Hacker (CEH) Lab Kitabı
Beyaz Şapkalı Hacker (CEH) Lab Kitabı
BGA Cyber Security
BGA Pentest Hizmeti
BGA Pentest Hizmeti
BGA Cyber Security
Metasploit Framework Eğitimi
Metasploit Framework Eğitimi
BGA Cyber Security
8 Ocak 2015 SOME Etkinligi - BGA Bank Vulnerable Web Application
8 Ocak 2015 SOME Etkinligi - BGA Bank Vulnerable Web Application
BGA Cyber Security
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
BGA Cyber Security
Pfsense Firewall ve Router Eğitimi
Pfsense Firewall ve Router Eğitimi
BGA Cyber Security
SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlem...
SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlem...
BGA Cyber Security
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...
BGA Cyber Security
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu
BGA Cyber Security
SWIFT Altyapısına Yönelik Saldırıların Teknik Analizi - NETSEC
SWIFT Altyapısına Yönelik Saldırıların Teknik Analizi - NETSEC
BGA Cyber Security
Mobil Sistemler ve Uygulama Güvenliği
Mobil Sistemler ve Uygulama Güvenliği
BGA Cyber Security
IstSec'14 - Burak SADIÇ - Elektrikler Neden Kesildi? SCADA Güvenliği
IstSec'14 - Burak SADIÇ - Elektrikler Neden Kesildi? SCADA Güvenliği
BGA Cyber Security
Kablosuz Ağlarda Adli Analiz
Kablosuz Ağlarda Adli Analiz
BGA Cyber Security
APT Saldırıları Karşısında Güvenlik Sistemlerin Yetersiziliği
APT Saldırıları Karşısında Güvenlik Sistemlerin Yetersiziliği
BGA Cyber Security
Siber Güvenlik Kış Kampı'18 Soruları
Siber Güvenlik Kış Kampı'18 Soruları
BGA Cyber Security
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
BGA Cyber Security
Watchguard Firewall Genel Bakış
Watchguard Firewall Genel Bakış
Özden Aydın
Uygulamalı Ağ Güvenliği Eğitim Notları
Uygulamalı Ağ Güvenliği Eğitim Notları
BGA Cyber Security
Kablosuz Ağlara Yapılan Saldırılar
Kablosuz Ağlara Yapılan Saldırılar
BGA Cyber Security
İstSec 2015 - Norm shield why
İstSec 2015 - Norm shield why
BGA Cyber Security
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
BGA Cyber Security
Kablosuz Ağlarda Güvenlik
Kablosuz Ağlarda Güvenlik
BGA Cyber Security
GÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMA
BGA Cyber Security
More Related Content
What's hot
BGA Pentest Hizmeti
BGA Pentest Hizmeti
BGA Cyber Security
Metasploit Framework Eğitimi
Metasploit Framework Eğitimi
BGA Cyber Security
8 Ocak 2015 SOME Etkinligi - BGA Bank Vulnerable Web Application
8 Ocak 2015 SOME Etkinligi - BGA Bank Vulnerable Web Application
BGA Cyber Security
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
BGA Cyber Security
Pfsense Firewall ve Router Eğitimi
Pfsense Firewall ve Router Eğitimi
BGA Cyber Security
SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlem...
SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlem...
BGA Cyber Security
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...
BGA Cyber Security
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu
BGA Cyber Security
SWIFT Altyapısına Yönelik Saldırıların Teknik Analizi - NETSEC
SWIFT Altyapısına Yönelik Saldırıların Teknik Analizi - NETSEC
BGA Cyber Security
Mobil Sistemler ve Uygulama Güvenliği
Mobil Sistemler ve Uygulama Güvenliği
BGA Cyber Security
IstSec'14 - Burak SADIÇ - Elektrikler Neden Kesildi? SCADA Güvenliği
IstSec'14 - Burak SADIÇ - Elektrikler Neden Kesildi? SCADA Güvenliği
BGA Cyber Security
Kablosuz Ağlarda Adli Analiz
Kablosuz Ağlarda Adli Analiz
BGA Cyber Security
APT Saldırıları Karşısında Güvenlik Sistemlerin Yetersiziliği
APT Saldırıları Karşısında Güvenlik Sistemlerin Yetersiziliği
BGA Cyber Security
Siber Güvenlik Kış Kampı'18 Soruları
Siber Güvenlik Kış Kampı'18 Soruları
BGA Cyber Security
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
BGA Cyber Security
Watchguard Firewall Genel Bakış
Watchguard Firewall Genel Bakış
Özden Aydın
Uygulamalı Ağ Güvenliği Eğitim Notları
Uygulamalı Ağ Güvenliği Eğitim Notları
BGA Cyber Security
Kablosuz Ağlara Yapılan Saldırılar
Kablosuz Ağlara Yapılan Saldırılar
BGA Cyber Security
İstSec 2015 - Norm shield why
İstSec 2015 - Norm shield why
BGA Cyber Security
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
BGA Cyber Security
What's hot
(20)
BGA Pentest Hizmeti
BGA Pentest Hizmeti
Metasploit Framework Eğitimi
Metasploit Framework Eğitimi
8 Ocak 2015 SOME Etkinligi - BGA Bank Vulnerable Web Application
8 Ocak 2015 SOME Etkinligi - BGA Bank Vulnerable Web Application
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Pfsense Firewall ve Router Eğitimi
Pfsense Firewall ve Router Eğitimi
SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlem...
SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlem...
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu
SWIFT Altyapısına Yönelik Saldırıların Teknik Analizi - NETSEC
SWIFT Altyapısına Yönelik Saldırıların Teknik Analizi - NETSEC
Mobil Sistemler ve Uygulama Güvenliği
Mobil Sistemler ve Uygulama Güvenliği
IstSec'14 - Burak SADIÇ - Elektrikler Neden Kesildi? SCADA Güvenliği
IstSec'14 - Burak SADIÇ - Elektrikler Neden Kesildi? SCADA Güvenliği
Kablosuz Ağlarda Adli Analiz
Kablosuz Ağlarda Adli Analiz
APT Saldırıları Karşısında Güvenlik Sistemlerin Yetersiziliği
APT Saldırıları Karşısında Güvenlik Sistemlerin Yetersiziliği
Siber Güvenlik Kış Kampı'18 Soruları
Siber Güvenlik Kış Kampı'18 Soruları
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Watchguard Firewall Genel Bakış
Watchguard Firewall Genel Bakış
Uygulamalı Ağ Güvenliği Eğitim Notları
Uygulamalı Ağ Güvenliği Eğitim Notları
Kablosuz Ağlara Yapılan Saldırılar
Kablosuz Ağlara Yapılan Saldırılar
İstSec 2015 - Norm shield why
İstSec 2015 - Norm shield why
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
Viewers also liked
Kablosuz Ağlarda Güvenlik
Kablosuz Ağlarda Güvenlik
BGA Cyber Security
GÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMA
BGA Cyber Security
Web Uygulama Pentest Eğitimi
Web Uygulama Pentest Eğitimi
BGA Cyber Security
Mobile Application Penetration Testing
Mobile Application Penetration Testing
BGA Cyber Security
Twitter Üzerinde Güvenlik ve Gizlilik Ayarları
Twitter Üzerinde Güvenlik ve Gizlilik Ayarları
BGA Cyber Security
SIZMA TESTLERİNDE BİLGİ TOPLAMA
SIZMA TESTLERİNDE BİLGİ TOPLAMA
BGA Cyber Security
İstSec'14 - Hamza Şamlıoğlu - Sosyal Medya ve Siber Riskler
İstSec'14 - Hamza Şamlıoğlu - Sosyal Medya ve Siber Riskler
BGA Cyber Security
Yazılım Güvenliği Temelleri
Yazılım Güvenliği Temelleri
BGA Cyber Security
Web ve Mobil Uygulama Güvenlik Testleri Eğitimi Uygulama Kitabı
Web ve Mobil Uygulama Güvenlik Testleri Eğitimi Uygulama Kitabı
BGA Cyber Security
PORT TARAMA ve KEŞİF ÇALIŞMALARI
PORT TARAMA ve KEŞİF ÇALIŞMALARI
BGA Cyber Security
PAROLA KIRMA SALDIRILARI
PAROLA KIRMA SALDIRILARI
BGA Cyber Security
Programlama Dilleri
Programlama Dilleri
arifakcay
Sosyal Medyada Psikolojik Harekat Teknikleri ve Tespit Yöntemleri
Sosyal Medyada Psikolojik Harekat Teknikleri ve Tespit Yöntemleri
BGA Cyber Security
DDOS ile Saldırı Gizleme "Smoke Screening"
DDOS ile Saldırı Gizleme "Smoke Screening"
BGA Cyber Security
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
BGA Cyber Security
Hosting Firmalarına Yönelik DDoS Saldırıları ve Çözüm Önerileri
Hosting Firmalarına Yönelik DDoS Saldırıları ve Çözüm Önerileri
BGA Cyber Security
EXPLOIT POST EXPLOITATION
EXPLOIT POST EXPLOITATION
BGA Cyber Security
Güvenlik Testlerinde Bilgi Toplama
Güvenlik Testlerinde Bilgi Toplama
BGA Cyber Security
Syn Flood DDoS Saldırıları
Syn Flood DDoS Saldırıları
BGA Cyber Security
Nmap Kullanım Kitapçığı
Nmap Kullanım Kitapçığı
BGA Cyber Security
Viewers also liked
(20)
Kablosuz Ağlarda Güvenlik
Kablosuz Ağlarda Güvenlik
GÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMA
Web Uygulama Pentest Eğitimi
Web Uygulama Pentest Eğitimi
Mobile Application Penetration Testing
Mobile Application Penetration Testing
Twitter Üzerinde Güvenlik ve Gizlilik Ayarları
Twitter Üzerinde Güvenlik ve Gizlilik Ayarları
SIZMA TESTLERİNDE BİLGİ TOPLAMA
SIZMA TESTLERİNDE BİLGİ TOPLAMA
İstSec'14 - Hamza Şamlıoğlu - Sosyal Medya ve Siber Riskler
İstSec'14 - Hamza Şamlıoğlu - Sosyal Medya ve Siber Riskler
Yazılım Güvenliği Temelleri
Yazılım Güvenliği Temelleri
Web ve Mobil Uygulama Güvenlik Testleri Eğitimi Uygulama Kitabı
Web ve Mobil Uygulama Güvenlik Testleri Eğitimi Uygulama Kitabı
PORT TARAMA ve KEŞİF ÇALIŞMALARI
PORT TARAMA ve KEŞİF ÇALIŞMALARI
PAROLA KIRMA SALDIRILARI
PAROLA KIRMA SALDIRILARI
Programlama Dilleri
Programlama Dilleri
Sosyal Medyada Psikolojik Harekat Teknikleri ve Tespit Yöntemleri
Sosyal Medyada Psikolojik Harekat Teknikleri ve Tespit Yöntemleri
DDOS ile Saldırı Gizleme "Smoke Screening"
DDOS ile Saldırı Gizleme "Smoke Screening"
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
Hosting Firmalarına Yönelik DDoS Saldırıları ve Çözüm Önerileri
Hosting Firmalarına Yönelik DDoS Saldırıları ve Çözüm Önerileri
EXPLOIT POST EXPLOITATION
EXPLOIT POST EXPLOITATION
Güvenlik Testlerinde Bilgi Toplama
Güvenlik Testlerinde Bilgi Toplama
Syn Flood DDoS Saldırıları
Syn Flood DDoS Saldırıları
Nmap Kullanım Kitapçığı
Nmap Kullanım Kitapçığı
Similar to Mobil Pentest Örnek Not
Mobil Pentest Eğitim Dökümanı
Mobil Pentest Eğitim Dökümanı
Ahmet Gürel
Şifre Güvenliği ve AuthPoint MFA
Şifre Güvenliği ve AuthPoint MFA
Özden Aydın
Aybil Bilisim Dayanıklı Mobil Bilgisayar Çözümleri - Rugged Mobile Computer S...
Aybil Bilisim Dayanıklı Mobil Bilgisayar Çözümleri - Rugged Mobile Computer S...
Tarkan SAYGINER,PMP
ISTSEC 2013 - Kurumsal Ağlarda Kullanılan Güvenlik Sistemlerini Atlatma
ISTSEC 2013 - Kurumsal Ağlarda Kullanılan Güvenlik Sistemlerini Atlatma
BGA Cyber Security
SAP INOVASYON FORUM 2014 - Mobilitede alternatifler çoğalıyor
SAP INOVASYON FORUM 2014 - Mobilitede alternatifler çoğalıyor
Serkan Özcan
5651 Loglama Çözümleri
5651 Loglama Çözümleri
Vizyon Komünikasyon Teknolojileri
Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)
Cihan Özhan
Pingturkpresentationshort 190730231427
Pingturkpresentationshort 190730231427
PingTurk
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ahmet Can Kan - Attacking Mobile App...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ahmet Can Kan - Attacking Mobile App...
OWASP Turkiye
Final project presentation
Final project presentation
battleground35
Tag2sense Lojistik İzleme & Analiz Çözümü
Tag2sense Lojistik İzleme & Analiz Çözümü
tag2sense
Aruba ClearPass’e Genel Bakış Ve Demo Sunum
Aruba ClearPass’e Genel Bakış Ve Demo Sunum
Özden Aydın
SAP Forum 2009: SAP Dijital İmza / Mobil İmza Çözümleri
SAP Forum 2009: SAP Dijital İmza / Mobil İmza Çözümleri
FIT Consulting
Kameralı Araç Takip Sistemleri
Kameralı Araç Takip Sistemleri
Rasim Çetin
BTRisk Android Mobil Uygulama Denetimi Eğitimi
BTRisk Android Mobil Uygulama Denetimi Eğitimi
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
Ozgur Web Catilari Mobil Uygulama Gelistirme
Ozgur Web Catilari Mobil Uygulama Gelistirme
Burak Dede
Siber dunyada izleme ve takip
Siber dunyada izleme ve takip
Aykut Özmen
Zenprise MDM
Zenprise MDM
Citrix
Tablet
Tablet
orkenn
ISG Admin Guide TR.pdf
ISG Admin Guide TR.pdf
Mert339194
Similar to Mobil Pentest Örnek Not
(20)
Mobil Pentest Eğitim Dökümanı
Mobil Pentest Eğitim Dökümanı
Şifre Güvenliği ve AuthPoint MFA
Şifre Güvenliği ve AuthPoint MFA
Aybil Bilisim Dayanıklı Mobil Bilgisayar Çözümleri - Rugged Mobile Computer S...
Aybil Bilisim Dayanıklı Mobil Bilgisayar Çözümleri - Rugged Mobile Computer S...
ISTSEC 2013 - Kurumsal Ağlarda Kullanılan Güvenlik Sistemlerini Atlatma
ISTSEC 2013 - Kurumsal Ağlarda Kullanılan Güvenlik Sistemlerini Atlatma
SAP INOVASYON FORUM 2014 - Mobilitede alternatifler çoğalıyor
SAP INOVASYON FORUM 2014 - Mobilitede alternatifler çoğalıyor
5651 Loglama Çözümleri
5651 Loglama Çözümleri
Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)
Pingturkpresentationshort 190730231427
Pingturkpresentationshort 190730231427
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ahmet Can Kan - Attacking Mobile App...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ahmet Can Kan - Attacking Mobile App...
Final project presentation
Final project presentation
Tag2sense Lojistik İzleme & Analiz Çözümü
Tag2sense Lojistik İzleme & Analiz Çözümü
Aruba ClearPass’e Genel Bakış Ve Demo Sunum
Aruba ClearPass’e Genel Bakış Ve Demo Sunum
SAP Forum 2009: SAP Dijital İmza / Mobil İmza Çözümleri
SAP Forum 2009: SAP Dijital İmza / Mobil İmza Çözümleri
Kameralı Araç Takip Sistemleri
Kameralı Araç Takip Sistemleri
BTRisk Android Mobil Uygulama Denetimi Eğitimi
BTRisk Android Mobil Uygulama Denetimi Eğitimi
Ozgur Web Catilari Mobil Uygulama Gelistirme
Ozgur Web Catilari Mobil Uygulama Gelistirme
Siber dunyada izleme ve takip
Siber dunyada izleme ve takip
Zenprise MDM
Zenprise MDM
Tablet
Tablet
ISG Admin Guide TR.pdf
ISG Admin Guide TR.pdf
More from BGA Cyber Security
WEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesi
BGA Cyber Security
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
BGA Cyber Security
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
BGA Cyber Security
3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?
BGA Cyber Security
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
BGA Cyber Security
Webinar: Popüler black marketler
Webinar: Popüler black marketler
BGA Cyber Security
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
BGA Cyber Security
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
BGA Cyber Security
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
BGA Cyber Security
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
BGA Cyber Security
Open Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-II
BGA Cyber Security
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
BGA Cyber Security
Hacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem Analizi
BGA Cyber Security
Open Source SOC Kurulumu
Open Source SOC Kurulumu
BGA Cyber Security
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
BGA Cyber Security
Siber Fidye 2020 Raporu
Siber Fidye 2020 Raporu
BGA Cyber Security
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Cyber Security
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
BGA Cyber Security
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
BGA Cyber Security
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
BGA Cyber Security
More from BGA Cyber Security
(20)
WEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesi
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Webinar: Popüler black marketler
Webinar: Popüler black marketler
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Open Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-II
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Hacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem Analizi
Open Source SOC Kurulumu
Open Source SOC Kurulumu
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
Siber Fidye 2020 Raporu
Siber Fidye 2020 Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
Mobil Pentest Örnek Not
1.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr Mobile Application Pentest Eğitimi @2013 http://www.bga.com.tr bilgi@bga.com.tr ANDROID
2.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr Android • 2003: Android Inc.’in kuruluşu • 2005: Google’a geçişi • 2008: İlk ,cari mobil Android cihaz
3.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr Sayılarla Android • 900 milyon cihazı ak,vasyonu • 1.5 milyon günlük cihaz ak,vasyonu • >50 milyar uygulama kurulumu Google Play
4.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr
5.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr Java VM vs. Dalvik VM
6.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr Android SDK • Android Yazılım Geliş,rme Ki, • Android SDK Bileşenleri; – SDK Manager: Farklı Android SDK’larını yönetme aracı • Android 2.3.3 (Gingerbread, 2010) API Level 9 • Android 3.2 (Honeycomb, 2011) API Level 13 • Android 4.0.3 (Ice Cream Sandwich, 2011) API Level 15 • Android 4.1 (Jelly Bean, 2013) API Level 18 – Emulator: Test Android simulatorü – AVD Manager: Android Emulator yapılandırma aracı
7.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr Android Emulator • Sanal Android mobil cihazlardır. • Geliş,rme ve test amaçları için kullanılır. • Cihaz ,pleri ve içinde çalışacak Android versiyonları emulatorü oluşturur.
8.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr AVD Manager • Android versiyonu ve cihaz ,pi, bir sanal cihazı oluşturur.
9.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr Yeni Android Device Defini,on Çözünürlük Direc,onal Pad Emulator RAM büyüklüğü Keyboard yok
10.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr Yeni Android Virtual Device Device Seçimi Hardware Keyboard SD Card Büyüklüğü
11.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr Emulator w/ Snapshot Sanal cihazın boyutunun belli bir oranda küçültülmesi Eski kaydedilmiş snapshot kullanılır Eski kaydedilmiş snapshot kullanılmaz Değişiklikler snapshot ‘a kaydedilir
12.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr Android Debug Bridge -‐ adb • Android cihazlar veya emulatorler ile ile,şimi sağlayan zengin komut safrı aracıdır. • <SDK>/plahorm-‐tools/adb adb install uygulama.apk adb push <yerel> <uzak> adb pull <uzak> <yerel> adb shell adb logcat
13.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr Android Sandbox Modeli -‐ ps
14.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr Android Sandbox Modeli -‐ ls
15.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr Kurulu Bir Android App İçinde • cache/ : cache’lenen nesneler • databases/ : kullanılan veritabanı • shared_prefs/ : basit veri saklama
16.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr databases/ • Android SQLite veritabanı sistemi ile gelir. • Hassas veriler açık saklanmamalıdır; – kimlik bilgileri, şifreleme anahtarları, kredi kartları
17.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr shared_prefs/ • Basit key:value çinlerini saklamak içindir. • Hassas veriler açık saklanmamalıdır; – kimlik bilgileri, v.b.
18.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr • İşlemler için kullanılan kayıt mekanizması • Hassas veriler açık bir şekilde kayıt alfna alınmamalıdır; – kimlik bilgileri, şifreleme anahtarları, kredi kartları LogCat
19.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr SD Card’lar • Android dahili veya harici depolama ih,yacını SD Card’lar ile sağlar • Ancak SD Card üzerindeki kaynaklar geniş dosya hakları ile kullanılırlar
20.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr Proxy Emulator Cihaz HTTP Proxy
21.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr SSL/TLS • SSL/TLS protokolü, HTTP trafiğinin gizliliğini sağlayan en temel unsurdur.
22.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr SSL Tokalaşması
23.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr Güvenilir Ser,fikalar -‐ Browser
24.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr HTTPS Bağlanflar URL url = new URL("htps://www.guvenlikod.com/"); con = (HtpsURLConnec,on)url.openConnec,on();
25.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr Güvenilir Ser,fikalar -‐ Android • Android sisteminde güvenilir ser,fikalar • Burp SSL ser,fikasını yüklemek için; /etc/security/cacerts.bks 1. Browser’da htps://hedefsunucu:hedefport açılması 2. CA ser,fikasının der dosyası olarak export edilmesi 3. der dosyasının uzanfsının cer olarak değiş,rilmesi 4. adb push burp.cer /sdcard/burp.cer 5. Emulator/Cihaz’da Sewngs-‐>Security-‐>Install from SDCARD
26.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr Yüklenen Ser,fika • Sewngs-‐>Security-‐>Trusted creden,als
27.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr Android APN Proxy Ayarları Sewngs Wireless & Networks More Mobile Networks Access Point Names Telkila Dikkat adb bağlan/sı kopabilir! # adb kill-‐server # adb start-‐server
28.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr Android WIFI Proxy Ayarları Sewngs Wireless & Networks WIFI WiredSSID* Modify Network Show Advanced Opt. Manual * WiredSSID üzerine mouse ile basılı tutularak
29.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr Burp Proxy Ayarları Bütün interfacelerden dinler Her Host için ayrı CA imzalı serYfika
30.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr Emulatör Komut Safrı • AVD manager arayüzünün yanısıra Android emulatör komut safsı aracılığı ile de çalışfrılabilir • HTTP Proxy cihaz başlaflırken komut safrından da tanıflabilir emulator -‐avd MyEmulator -‐htp-‐proxy htp://127.0.0.1:8081
31.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr Android Proje Dizin Yapısı src/ Kaynak kodlar; java,aidl dosyaları gen/ Otoma,k üre,len java dosyaları bin/ APK’yı oluşturan derlenmiş dosyalar; dex, xml libs/ Harici kütüphaneler res/ Kaynaklar; imajları, yapılandırma XML’leri project.proper,es Hedef Android versiyonu AndroidManifest.xml Uygulama bileşenleri, kullanılacak izinler, v.b.
32.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr Java → APK
33.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr Android Package -‐ APK Kriptografik imzalanmış serYfikalar UI ile ilgili XML yapılandırma dosyaları, resimler Java class dosyalarının dex forma`na derlenmiş hali Binary forma`nda uygulama bileşenleri, kullanılacak izinler, v.b.
34.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr APK Dosyasının İmzalanması • APK kurulum dosyası, release öncesinde kriptografik olarak imzalanmalıdır. – dijital imza ser,fikası self-‐signed olabilir – ser,fikanın geçerlilik süresi kurulum/yenileme zamanında kontrol edilir – keytool/jarsigner araçları imzalama işlemi için kullanılırlar – imzalar, cihaz üzerinde koşan uygulamalar arası güvenli ile,şimin en önemli kaynaklarındandır
35.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr İmzalama İşlemleri • Yoksa self-‐signed ser,fikasının oluşturulması keytool.exe -‐genkey -‐keystore mykstr -‐alias myalias -‐keyalg RSA -‐validity 10000 10000 gün geçerlilik süresi serYfikanın saklanacağı keystore dosya ismi keystore içindeki serYfikanın alias’ı 1
36.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr İmzalama İşlemleri • APK’nın imzalanması jarsigner.exe -‐verbose -‐keystore mykstr HelloWorld.apk myalias -‐sigalg MD5withRSA -‐digestalg SHA1 keystore içinde imza için kullanılacak serYfikanın alias’ı imzalayacak serYfikayı barındıran keystore imzalanacak APK 2
37.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr İmzalama İşlemleri • APK imzasının kontrolü jarsigner.exe -‐verbose -‐verify HelloWorld.apk 3 imzası kontrol edilecek APK
38.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr Android Market • Android uygulamaların indirildiği bazı popüler web portallar
39.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr Android Uygulama İzinleri • Kurulma/Yenileme esnasında uygulamalar kaynaklara erişmek için kullanacakları izin listesini kullanıcının onayına sunarlar. • Onay sonrası uygulama, kaynaklara erişim esnasında bir daha bu izinleri kullanıcıya sormaz. Kullanıcı Android APP Internet API android.permission.WRITE_EXTERNAL_STORAGE android.permission.INTERNET ... OK SD CARD API İzin Kontrol İzin Kontrol
40.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr AndroidManifest.xml ve İzin Tanımları # aapt.exe dump permissions HerdFinancial.apk package: org.owasp.goatdroid.herdfinancial uses-‐permission: android.permission.READ_PHONE_STATE uses-‐permission: android.permission.INTERNET uses-‐permission: android.permission.WRITE_EXTERNAL_STORAGE
41.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr Reversing APK • Dalvik executable (classes.dex) -‐> Java kaynak kodlarına dönüşüm
42.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr Reversing APK -‐ dex2jar # d2j-‐dex2jar.bat PlayWithSSL.apk 2 1
43.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr Reversing APK -‐ apktool # apktool.bat PlayWithSSL.apk 2 1
44.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr smali? • Dex için üre,len assembly/disassembly aracı • Aynı zamanda assembly diline verilen isim java -‐jar baksmali-‐1.4.2.jar PlayWithSSLclasses.dex -‐o smali 1 2
45.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr java -‐ HelloWorld import java.io.PrintStream; public class HelloWorld { public sta,c void main(String[] paramArrayOfString) { System.out.println("Hello World!"); } }
46.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr smali -‐ HelloWorld .class public LHelloWorld; .super Ljava/lang/Object; .method public sta,c main([Ljava/lang/String;)V .registers 2 sget-‐object v0, Ljava/lang/System;-‐>out:Ljava/io/PrintStream; const-‐string v1, "Hello World!" invoke-‐virtual {v0, v1}, Ljava/io/PrintStream;-‐>println(Ljava/lang/String;)V return-‐void .end method
47.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr apk -‐> smali -‐>apk Unzip Baksmali Edit Smali Smali Zip Sign
48.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr Enjeksiyon -‐ İstemci • SQL enjeksiyonu Android uygulamalarda da bulunabilecek bir zafiyet çeşididir.
49.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr Yetersiz Yetkilendirme -‐ Sunucu • Yetkilendirme kontrolleri sunucu tara‰nda eksiksiz gerçekleş,rilmelidir.
50.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr Yetersiz Yetkilendirme -‐ Sunucu • Yetkilendirme kontrolleri sunucu tara‰nda eksiksiz gerçekleş,rilmelidir.
51.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr LogCat Bilgi Sızdırma • Yapılan işlemler sonucu hassas bilgiler LogCat mekanizmasında kayıt alfna alınmamalıdır.
52.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr Güvensiz Veri Saklama • Kullanıcı şifreleri, kredi karf numaraları, kişisel bilgiler shared_prefs gibi yapılar açık saklanmamalıdır.
53.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr Güvensiz Veri Saklama • SDCard Android sandbox’ının uygulanmadığı güvensiz bir veri alanıdır.
54.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr Güvensiz Veri Transferi • Hassas bilgiler HTTP üzerinden ile,lmemelidir. • SSL bağlanf problemler nedeniyle özel sınıflar kullanılmamalıdır. 1 2
55.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr Android Bileşenler • Android uygulamalarında dört temel bileşen – Ac,vity • kullanıcıların ile,şim kurduğu arayüz – Service • arkaplanda iş yapan bileşen – Content Provider • veri sunan servisler, veritabanı – Broadcast Receiver • iş için komut bekleyen bileşen
56.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr Intent • Bileşenler arası ile,şim Intent’ler ile sağlanır Ac,vity Broadcast Receiver Intent
57.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr Özel veya Açık Bileşenler • Uygulamalar bileşenlerini sisteme AndroidManifest.xml dosyası ile tanıfrlar • Bileşen tanımlarında – export atribute’unun değeri True ise veya – extra Intent tanımları içeriyorsa, ilgili bileşeni diğer uygulamalar da çağırabilir • Özel bir bileşen sadece aynı uygulamadan çağrılabilir
58.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr Örnek Bileşen Tanımı 1 • .mydb Content Provider bileşeni export atribute’u True olduğundan diğer uygulamalar tara‰ndan çağrılabilir <manifest …> <provider android:name=".mydb" android:exported="true"> <intent-‐filter> </intent-‐filter> </provider> </manifest>
59.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr Örnek Bileşen Tanımı 2 • .mysmssender Broadcast Receiver bileşeni export atribute’u True olmasa da, bir Intent ile te,kleneceğini beyan ewği için açıkfr <manifest …> <receiver android:name=“.mysmssender”> <intent-‐filter> <ac,on android:name=“android.intent.sendSMS”/> </intent-‐filter> </receiver> </manifest>
60.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr Bileşenlerin Yetki Kontrolü • Dolayısıyla hassas işlem yapan Açık (Export=True) bir bileşen, diğer uygulamalar tara‰ndan çağrıldığında yetki kontrolü yapmalıdır A B A yetkili midir?
61.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr Güvensiz IPC • Componentlar arasındaki gerekli yetkilendirme kontrolleri gerçekleş,rilmelidir.
62.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr Güvensiz IPC Önlem 1 • normal permission kontrolü <uses-‐permission android:name="permission" <receiver android:permission="permission" A B A yetkili midir? <permission android:name="permission" /> 1 2 3
63.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr Güvensiz IPC Önlem 2 • permission protecYonLevel ipucu <receiver android:permission="permission" A B Sadece A mı yetkilidir? 3 2 <permission android:name="permission" android:protectionLevel="signature" /> 1 <uses-‐permission android:name="permission"
64.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr Güvensiz IPC Önlem 3 • hardcoded signature kontrolü A B A gerçek midir? packageInfo = pm.getPackageInfo(A_PkgName, PackageManager.GET_SIGNATURES); String A_SIGNATURE = "308202..."; for (Signature signature : packageInfo.signatures) if (signature.toCharsString().equals(A_SIGNATURE)) { }
65.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr Yetersiz An,-‐Otomasyon • Özellikle login işlemleri, deneme-‐yanılma saldırılarına açık olmamalıdırlar.
66.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr Memory Analizi • Eclipse MAT ile uygulamaların heap memory analizi gerçekleş,rilebilir.
67.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr DDMS Ekranı -‐ Hprof Dump
68.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr MAT Ekranı -‐ Dominator Tree
69.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr MAT Ekranı -‐ DT -‐ List Objects
70.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr MAT Ekranı -‐ DT -‐ List Objects
71.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr SMALI -‐ Log Injec,on • APKSmash iki amaç için kullanılabilir; – Hedef APK içerisinde telefon numaraları, IP adresleri, URL’leri ve kayıt işlemlerine ait incelenebilecek bazı bilgileri – Hedef uygulamayı patchleyerek run,me’da LogCat mekanizmasına bir çok kayıt aflmasını sağlar. Bu şekilde uygulama hakkında detaylı bir çok dinamik bilgi elde edilebilir
72.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr SMALI -‐ Log Injec,on • APKSmash için iLogger ve APKTool araçları gerekmektedir • Hedef uygulamanın APK’sı belirlendikten sonra; 1. apktool ile decode edilir 2. apksmash.py, decode edilen dizinde, kod içerisinde aşağıdaki değişiklik ile çalışfrılır JonestownThisAPK = FalseTrue
73.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr SMALI -‐ Log Injec,on 3. Aynı dizinde oluşturulan apk-‐ig-‐info.txt dosyası ilginç bazı bulgular için analiz edilebilir 4. Kayıt enjeksiyonu için iglogger.smali dosyası smali dizinine kopyalanır 5. apktool kullanılarak dizin build edilir ve imzalanır 6. Elde edilen apk, emulator’e kurulduktan sonra çalışfrmadan önce incelenmek için adb logcat açılır 7. adb logcat çıkfları, uygulama kullanıldıkça izlenir
74.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr SMALI -‐ Log Injec,on • apksmash ile enjekte edilen log metotları, logcat ile hassas bazı bilgileri açığa çıkarabilir
75.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr CCRAWL -‐ Kaynak Kod Analizi • Kaynak kodu elde olan veya decompile edilebilen Android uygulamalar için kaynak kod analizi ile hızlı bir dene,m gerçekleş,rilebilir • Açık kaynak kodlu CCRAWL Android uygulamalarında probleme yol açabilecek bazı API’ları otoma,k olarak göstermektedir
76.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr CCRAWL -‐ Android APIs • Privacy Viola,on – Log • SQL Injec,on – rawQuery, query • Eksik BroadcastReceiver İzinleri – registerReceiver, sendBroadcast, sendOrderedBroadcast • Kod Enjeksiyonu – DexClassLoader
77.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr CCRAWL -‐ Android APIs • SDCard Dosya İşlemleri – android.permission.WRITE_EXTERNAL_STORAGE – android.permission.READ_EXTERNAL_STORAGE – getExternalStorageDirectory • Şüpheli Geo-‐Lokasyon İşlemleri – android.permission.ACCESS_COARSE_LOCATION – android.permission.ACCESS_FINE_LOCATION – requestLoca,onUpdates, getLastKnownLoca,on
78.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr CCRAWL -‐ Android APIs • Süpheli SMS İşlemleri – android.permission.SEND_SMS – android.permission.WRITE_SMS – sendTextMessage( – content://sms/inbox • Özel SSL Dene,mi – SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER – checkServerTrusted, checkClientTrusted – setHostnameVerifier, AllowAllHostnameVerifier
79.
Mobile Applica,on Pentest
© 2013|Bilgi Güvenliği AKADEMİSİ | www.bga.com.tr CCRAWL -‐ Android APIs • Bilgi İfşası – setData, getData, putExtra, getExtras • XSS – setJavaScriptEnabled, addJavaScriptInterface • Hassas İşlemler – getCallState, getCellLoca,on, getDeviceId, getLine1Number, getSimSerialNumber, Intent.ACTION_CALL, SmsManager, ContactsContract, Loca,onManager
Download now