Upload File

evren yalçın - fatmagül ergani - kurumsal firmalar için hata avcılığı

  • Home
  • Technology
  • Evren Yalçın - Fatmagül Ergani - Kurumsal firmalar için hata avcılığı
25
Kurumsal firmalar için hata avcılığı Evren YALÇIN&Fatmagül ERGANİ Superbug Bilgi Güvenliği Topluluğu

Upload: cypsec-siber-guevenlik-konferansi

Post on 14-Jul-2015

405 views

Category:

Technology


2 download

Report

TRANSCRIPT

Page 1: Evren Yalçın - Fatmagül Ergani - Kurumsal firmalar için hata avcılığı

Kurumsal firmalar için hata avcılığı

Evren YALÇIN&Fatmagül ERGANİ

Superbug Bilgi Güvenliği Topluluğu

Page 2: Evren Yalçın - Fatmagül Ergani - Kurumsal firmalar için hata avcılığı

Ajanda

● Hata nedir, nasıl ortaya çıkar?● Nasıl hata avcılığı yapılır?● Kurumlar için hata avcılığı?

Page 3: Evren Yalçın - Fatmagül Ergani - Kurumsal firmalar için hata avcılığı

Acil Durum

● Müşteri&Patron Bekliyor!● Çalışsın yeter!

Page 4: Evren Yalçın - Fatmagül Ergani - Kurumsal firmalar için hata avcılığı

Konfor Alanı

1- Üretim esnasında oluşan hata

2- Üretimden sonra oluşan hata

Page 5: Evren Yalçın - Fatmagül Ergani - Kurumsal firmalar için hata avcılığı

Hata-1

$s = Ben bir değişkenim$sayi = Ben bir sayıyım

Page 6: Evren Yalçın - Fatmagül Ergani - Kurumsal firmalar için hata avcılığı

CamelCase

● Kimyasal bileşiklerin ifadesi için icad edilmiştir.

Örn : toplamSiparisSayisi, personelAd

Page 7: Evren Yalçın - Fatmagül Ergani - Kurumsal firmalar için hata avcılığı

Hata -2

● MVC Çatısı kullanmak...● Güncellemelere dikkat etmemek...

Page 8: Evren Yalçın - Fatmagül Ergani - Kurumsal firmalar için hata avcılığı

Hata avcılığı nedir?

● Firmaların sistemlerinde bulduğunuz güvenlik açıklarını kendilerine bildirmeniz karşılığında ödül kazandığınız ( Para , Eşantiyon, Onur listesi vb gibi... ), karşılıklı güvene dayalı bir organizasyondur.

Page 9: Evren Yalçın - Fatmagül Ergani - Kurumsal firmalar için hata avcılığı

Kim Bunlar?

● Nakit Para● Şöhret● Pratik Yapmak

Page 10: Evren Yalçın - Fatmagül Ergani - Kurumsal firmalar için hata avcılığı

Tercih Sizin

● Sızma testi yapan firmalar● Dünyanın dört bir yanında sızma testi yapan

kişiler

Page 11: Evren Yalçın - Fatmagül Ergani - Kurumsal firmalar için hata avcılığı

Niye yaptırmalıyız?

● Hata avcılığı programı ile yetenekli kişilere ulaşma şansınız artar.

● Masraflı değildir.● Otomatize araçlara olan bağımlılık azalır.

Page 12: Evren Yalçın - Fatmagül Ergani - Kurumsal firmalar için hata avcılığı

Sorunlar?

● Uluslararası bir takım legal problemler● Hataların giderilmesi için yoğun takım

çalışması● False Positive ( Zafiyetin olmama durumu )● Doğru bir şekilde işlemeyen süreçler● Hacker dedikoduları

Page 13: Evren Yalçın - Fatmagül Ergani - Kurumsal firmalar için hata avcılığı

Üçe ayrılır

● Farkedenler● Farketmeye çalışanlar● Farketmeyenler

Page 14: Evren Yalçın - Fatmagül Ergani - Kurumsal firmalar için hata avcılığı

Yahoo Örneği

Page 15: Evren Yalçın - Fatmagül Ergani - Kurumsal firmalar için hata avcılığı

Yahoo Örneği -2

Page 16: Evren Yalçın - Fatmagül Ergani - Kurumsal firmalar için hata avcılığı

Bugbounty.yahoo.com

Page 17: Evren Yalçın - Fatmagül Ergani - Kurumsal firmalar için hata avcılığı

Yandex Örneği

Page 18: Evren Yalçın - Fatmagül Ergani - Kurumsal firmalar için hata avcılığı

Samsung -1

Page 19: Evren Yalçın - Fatmagül Ergani - Kurumsal firmalar için hata avcılığı

Samsung -2

● Bir zafiyet sadece kurumun altyapısına sızabildiğini göstermek amacıyla istismar edilebilir.

● Sistemde bulunan bir zafiyet internal sisteme ulaşmaya sebep olacağı için POC kodu zafiyetin ispatı açısından yeterlidir.

Page 20: Evren Yalçın - Fatmagül Ergani - Kurumsal firmalar için hata avcılığı

Nereden Başlarım?

● Facebook & Dropbox

Page 21: Evren Yalçın - Fatmagül Ergani - Kurumsal firmalar için hata avcılığı

Saldırı Vektörü

'"><img src=x onerror=alert(document.domain)>.txt

Page 22: Evren Yalçın - Fatmagül Ergani - Kurumsal firmalar için hata avcılığı

Bu kadar basit

Page 23: Evren Yalçın - Fatmagül Ergani - Kurumsal firmalar için hata avcılığı

Takip et!

● “Bir zafiyet buldum” sosyal hesaplarını ve blogunu takip altına al

Aynı zafiyetin olma ihtimali var...

Page 24: Evren Yalçın - Fatmagül Ergani - Kurumsal firmalar için hata avcılığı

Sonuç?

Samsung Smart Tv servislerinde milyonlarca cihazı etkileyen 2 adet zafiyet...

Etkilenen Servisler :

Samsung AppsSamsung BooksSamsung LearningChatON (100 milyon kullanıcı)Family StorySamsung LinkTelefonumu bulSamsung Hub

Etkilenen Cihazlar :

Samsung Akıllı TelefonlarTabletler

Page 25: Evren Yalçın - Fatmagül Ergani - Kurumsal firmalar için hata avcılığı

Teşekkürler

www.superbug.co Bilgi Güvenliği Topluluğu


Sysmon İle Siber Tehdit Avcılığı (Threat Hunting)

Kaybolan Bodrum Sünger Avcılığı ve Avcıları · sünger avcılarının kişisel özellikleriyle ilgilenilecektir. Bir meslek grubu olarak bu grubun bilgi, birikim, deneyimleri

voli avçılığıGİRİŞİ YAZILMAMIŞ · MODÜLÜN ADI Voli Avcılığı MODÜLÜN TANIMI Öğrenciye; Voli avcılığıile ilgili konuların verildiği öğrenme materyalidir

T.C. Resmî Gazeteresmigazete.gov.tr/arsiv/2370.pdf · ASDASDASDASD Klâziz şube hattının inşasına dair Kanun ASDASDAASDASDASDASAS Madde 1 — Fevzıpaşa - Ergani hattı üzerinde

T.C. ANABİLİM DALI 16. YÜZYILDA BALKANLARDA ...docs.neu.edu.tr/library/nadir_eserler_el_yazmalari/TEZLER...2 Paul Wittek; Osmanlı İmparatorluğu’nun Doğuşu , Çev. Fatmagül

YAZARLAR - Eğitim Bilişim Ağıtegmmateryal.eba.gov.tr/upload/uygulama/b07c0f09-99b0/4...şılamıştır. Çayönü yerleşmesinin olduğu Ergani Ovası’nın Neolitik Dönem öncesinde

MEB DİYARBAKIR - ERGANİ İLÇE MİLLÎ EĞİTİM MÜDÜRLÜĞÜ · 2017. 1. 25. · T.c. DIYARBAKIR VALÎLÎGÎ Îl Millî Egitim Müdürlügti : 91282664-135.03-E.897184 Konu :

> /Q />U/m Z X/Z8// ZDO8^=U 8aileakademisi.org/sites/default/files/10_mddede... · 2019-01-07 · [3] Bkz. Prof. Dr. Fatmagül Berktay, Tek Tanrılı Dinler Karşısında Kadın,

KARA AVCILIĞI KANUNUNA MUHALEFET SUÇLARINI … · Kara Avcılığı Kanunu’na muhalefet edenlerin sosyo-kültürel yapısı konulu tez çalışmasında bilgi birikimi ve tecrübesi

5. İNSAN KAYNAKLARI ZİRVESİ SONUÇ BİLDİRGESİ2018.ikzirve.com/sites/2018.ikzirve.com/files/İKZ... · Çalışan Deneyimi ve Yetenek Avcılığı Mervyn Dinnen · İşe yeni

İSTANBUL SÖZLEŞMESİ NEDEN İPTAL EDİLMELİDİR?aileakademisi.org/sites/default/files/10_maddede... · 2019-07-17 · [6] Bkz. Prof. Dr. Fatmagül Berktay, Tek Tanrılı Dinler

ERGANİ ÇİMENTO FABRİKASI MODERNİZASYON YATIRIMI ve …diyarbakir.ormansu.gov.tr/Diyarbakir/Files/LimakRapor.pdf · Ergani Çimento Fabrikası Modernizasyon Yatırımı ve Kapasite

MEGEP...ii AÇIKLAMALAR KOD 624B00022 ALAN Denizcilik DAL/MESLEK Balıkçı Gemisi Kaptanlığı MODÜLÜN ADI Serpme Avcılığı MODÜLÜN TANIMI Serpme Avcılığıile ilgili uygulamaların

Türklerde Tarih Boyunca Su Ürünleri Avcılığı...kökleri ile örülmüş bazı balık sepetleri) rastlanmıştır. Kemikten yapılmış ilkel zıpkınlar eski Mısır’da kullanılmıştır

Fatmagül Berktay TekTanrılı Dinler Karşısında Kadın · 2019-05-19 · Fatmagül Berktay Tektanrılı Dinler Karşısında Kadın Fatmagül Berktay (Baltalı), AÜSBF'de Uluslararası

5 - 2 Ergani - Diyarbakır Kıymeti Esami Zürra’ Dönümü Kıt ... · 2 1 “ “ “ Arno veled-i tüccar Serger 45 1 Sulu tarla hissesi Sulu tarla hissesi Hersini Tüccaroğlu

Sieger des Wettbewerbs ist FATMAGÜL BİLGİNER

DENİZCİLİK - megep.meb.gov.trTranslate this page Avcılığı.pdf1 GİRİŞ Sevgili Öğrenci, Olta avcılığı basit yöntem ve araçlarla genellikle sportif amaçlı yapılan

SCHULE RAsssmus mrr COURAGE - hermannschule …… · mrr COURAGE Grundschule Hermannstraße Of fene Sanztagsgrundschule . Schuljahr Fatmagül Unurlu 4b Muhamet Ademi 4b Hayrunnisa

[OWASP-TR Uygulama Güvenliği Günü 2016] Gökmen Güreşçi - Web Uygulamalarında Ödül Avcılığı (Av Gözünden)

Ergani-Maden (Elazığ) bakır yatağı cevherlerinin Bi, …...Türkiye Jeoloji Bülteni, C.37, Sayı 2,149-154, Ağustos 1994 Geological Bulletin of Turkey, V. 37, No 2,149-154,

BOLU İL MİLLİ EĞİTİM MÜDÜRLÜĞÜ 1...mak" adlı tiyatro gösterisinin sergilendiği programda ilimizi en iyi şekilde temsil eden öğrencimiz Fatmagül ARIK’ı teb-rik

Paul Wittek - Osmanlı İmparatorluğunun Doğuşu (Trc. Fatmagül Berktay)