Copyright © The OWASP FoundationPermission is granted to copy, distribute and/or modify this document under the terms of the OWASP License.

The OWASP Foundation

OWASP-TR

http://www.owasp.org

Yazılım Geliştirme Sürecinde Güvenlik Testleri

Burak Dayıoğlu, burak.dayioglu@pro-g.com.tr

OWASP-TR

Yazılımları NedenTest Ediyoruz?

OWASP-TR

Test Ediyoruz Çünkü ...

Hatasız yazılım geliştiremiyoruz

Ancak Az hatalı Hatanın etkisinin az olduğuyazılımları hedefleyebiliyoruz

Hatasız geliştirecek teknolojimiz olana değin teste devam...

OWASP-TR

Farklı Test Kategorileri

İşlevsellik Performans Erişilebilirlik (accessibility) Uluslararasılaştırma (i18n) Güvenlik

Her test kategorisi hata bulmayı hedeflemez; bazıları beklentileri karşılama düzeyini belirlemek içindir

OWASP-TR

%80Bilişim güvenliği ihlallerinin

YAZILIM GÜVENLİĞİproblemlerinden kaynaklananlarının oranı

(Kaynak: Gartner)

OWASP-TR

Güvensizliğin Bedeli

Yazılımların güvenlik problemlerinin bedelleri çok ağır olabilir Ölüm ve yaralanma Ulusal güvenlik zafiyetleri Finansal kayıplar İtibar kaybı Kıymetli bilgilerin çalınması ...

OWASP-TR

İşimizi Yazılım Taşıyor

Tüm kritik iş süreçleri bilgisayar yazılımları ile destekleniyor

Yazılımların güvenliğinin sağlanması artık çok daha önemli

OWASP-TR

Güvenlik Testini Kim Yapar?

Geliştiriciler Test uzmanları Meraklılar Güvenlik denetim firmaları Suç işleyecekler / suç örgütleri

OWASP-TR

Neyi Test Ediyoruz?

Girdi denetimi Doğrulama/yetkilendirme Kayıt tutma Zaman/durum yönetimi ...

Buffer overflow Integer overflow Command injection SQL injection LDAP injection Cross-site scripting Format strings HTTP response splitting

Authentication bypass Man in the middle Replay Spoofing Credential management Least privilege violation Password management Privacy violation

Log forging Log flooding Time sync

Deadlocks Race conditions HTTP session fixation Improper thread mgmt Double checked locking

OWASP-TR

Genel Yaklaşım

1. Teste konu yazılımı iyice anla2. Hedef için olumsuz neler yapabileceğini

kurgula ve planla3. Kurgu ve planlar ışığında testlerini

gerçekleştir4. Çevrede ne olup bittiğini izle,

gelişmelerden haberdar ol

OWASP-TR

Güvenliğe Özel Test Teknikleri

Açık kod ileKod ve tasarım gözden geçirmeleriStatik kod analizi araçlarının kullanılması

Kapalı kod ileTersine Mühendislik ile açık koda dönüştürmeSızma TestleriFuzz testleri

Tüm testler fonksiyonel olmayan testlerdir

OWASP-TR

Kod/Tasarım Gözden Geçirmesi

Yazılım kaynak kodunun ve tasarım belgelemesinin “okunması” Avantajı: Çok etkili Dezavantajı: Ölçeklenemiyor

OWASP-TR

Statik Kod Analizi Araçları

Kaynak kodu analiz eden araçların kullanımı ile bilindik güvenlik programlama hatalarının tespitiAvantajı: Problemlerin çok hızlı tespitiDezavantajı: Yazılımın “bağlamından” habersiz

olmak

OWASP-TR

Tersine Mühendislik

Yönetilen platformlar yaygınlaşıyor Java JRE, .Net CLR,

Macromedia Flash

Binary’lere sahipseniz (genellikle) kaynak koda dönebilirsiniz Reflection yolu ile Kod karıştırıcılar

kullanılmadı ise

OWASP-TR

Penetrasyon Testleri

Teste Konu

Yazılım

İşletim Sistemi Platformu ve Ağ Altyapısı

Kullanıcı Arayüzü

Ağ İletişim Arayüzü

Web Servisi Arayüzü

Dosya Sistemi Arayüzü

Veritabanı Arayüzü

Ağ İletişim Arayüzü

Web Servisi Arayüzü

Dosya Sistemi Arayüzü

OWASP-TR

Fuzz Testleri

Yazılımın arayüzlerindenTümüyle rastgeleKısmen rastgeleveri girişi yapılır, yazılımın davranışı incelenir

Her farklı tür uygulama ve protokol için fuzzer bulmak güç olabilirPek çok modern web tarayıcısının içerisinde

web fuzzer’lar bulunmaktadır

OWASP-TR

Özet Olarak

Yazılımları güvenlikleri açısından test etmek zorundayızKaynak kod ve tasarım belgelemesi incelemesiStatik kod analiz araçlarıTersine mühendislikPenetrasyon testleriFuzz testleri

Teknikler geliştirme sürecinin tamamında kullanılabilir

OWASP-TR

Daha Fazla Bilgi İçin...

Copyright © The OWASP FoundationPermission is granted to copy, distribute and/or modify this document under the terms of the OWASP License.

The OWASP Foundation

OWASP-TR

http://www.owasp.org

Güvenliğiniz Geleceğinizdir