SlideShare une entreprise Scribd logo

[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ahmet Can Kan - Attacking Mobile Applications At Runtime

OWASP Turkiye
OWASP Turkiye

Ahmet Can Kan - Attacking Mobile Applications At Runtime OWASP-TR Mobil Güvenlik Çalıştayı 2015 (14 Ekim 2015)

Mobile
1  sur  29
Télécharger pour lire hors ligne
ATTACKING MOBILE APPLICATIONS AT RUNTIME OWASP-TR Mobil Güvenlik Çalıştayı ‘15 Ahmet Can Kan
Ben kimim? OWASP-TR Mobil Güvenlik Çalıştayı ‘15
INVICTUS “Intelligence Research and Development”  Senior Mobile Security Consultant at Invictus in Istanbul  VP, R&D Lead at Prodaft  Bsc. Comp Sci. & Eng. Sabanci University Msc. Candidate, Comp Eng at Bogazici University Security and Privacy in Biometrics OWASP-TR Mobil Güvenlik Çalıştayı ‘15
İÇERİK 1 2 3 4 Android Runtime, Xposed Framework iOS Platformunda Örnek Saldırı Senaryoları iOS Cydia Substrate API Android Platformunda Örnek Saldırı Senaryoları OWASP-TR Mobil Güvenlik Çalıştayı ‘15
1 Android Runtime, Xposed Framework OWASP-TR Mobil Güvenlik Çalıştayı ‘15
Zygote • Zygote işletim sistemindeki bütün uygulamaların başlatılmasından sorumlu ‘daemon’dır ve bütün uygulamalar bu process’ten fork edilir. Android Runtime OWASP-TR Mobil Güvenlik Çalıştayı ‘15 • /system/bin/app_process aracılığıyla ayağa kaldırılır. (@ init.rc)
Yükleme: • Installer uygulaması aracılığıyla sisteme yüklenir (root yetkileri gerektirir). • Extended bir app_process çalıştırılabilir dosyası hali hazırda var olan dosyanın yerini alır. • ClassPath’e XposedBridge.jar kütüphanesini ekler ve bu kütüphanedeki metodları gerektiğinde çağırır. • Böylece XPosedBridge.jar kütüphanesinden gerekli metodları Zygote process’inin bir parçasıymış gibi çalıştırabilir. • https://github.com/rovo89 Xposed Framework OWASP-TR Mobil Güvenlik Çalıştayı ‘15
Method Hooking/Replacing: • Framework’ün asıl gücü hedef uygulamadaki metodları hook’layabilmesinden gelir. • APK’yı modifiye etmek yeterli olmaz mı? • Decompile/Compile/Sign Döngüsü • Redistribution • Yazacağınız bir Xposed modülü ise hedef metodun öncesinde ve sonrasında sizin kendi kodunuzu çağırmanızı veya hedef metodu direkt olarak override etmenizi sağlar. Xposed Framework OWASP-TR Mobil Güvenlik Çalıştayı ‘15
Xposed Framework OWASP-TR Mobil Güvenlik Çalıştayı ‘15
2 Android Platformunda Örnek Saldırı Senaryoları OWASP-TR Mobil Güvenlik Çalıştayı ‘15
JustTrustMe OWASP-TR Mobil Güvenlik Çalıştayı ‘15
SSL Pinning? OWASP-TR Mobil Güvenlik Çalıştayı ‘15
SSL Pinning? OWASP-TR Mobil Güvenlik Çalıştayı ‘15
RootCloak OWASP-TR Mobil Güvenlik Çalıştayı ‘15
Root? OWASP-TR Mobil Güvenlik Çalıştayı ‘15
CryptoLogger OWASP-TR Mobil Güvenlik Çalıştayı ‘15
3 iOS Runtime, Cydia Substrate API OWASP-TR Mobil Güvenlik Çalıştayı ‘15
• Substrate C API, hedef platformlarda kod instrumentasyonu yapmanıza olanak sağlar. • Hedef platformdaki objenin veya metodun argümanlarını, return değerlerini ve hatta implementasyonunu değiştirmenize olanak sağlar. • C/C++/Assembly, Objective-C ve Java (Android/Dalvik) platformlarını destekler. • C seviyesinde çalışır. • Android 4.3’ün üstünü desteklemez. (ART?) Cydia Substrate API OWASP-TR Mobil Güvenlik Çalıştayı ‘15
Cydia Substrate API Hello World – Adım 1 – Binary Decryption OWASP-TR Mobil Güvenlik Çalıştayı ‘15
Cydia Substrate API Hello World – Adım 2 – Tweak Oluşturma OWASP-TR Mobil Güvenlik Çalıştayı ‘15 THEOS SDK • Linux, MacOS ve Windows (Cygwin) desteği bulunur. o Windows: https://coolstar.org/theos.pdf o Linux/OSX: http://iphonedevwiki.net/index.php/Theos/Setup
Cydia Substrate API Hello World – Adım 2 – Tweak Oluşturma OWASP-TR Mobil Güvenlik Çalıştayı ‘15 Logos • Preprocessor tabanlı bir kütüphanedir. • Tweak yazma işlemini kolaylaştırır.
Cydia Substrate API Hello World – Adım 3 – Tweak’i Yükleme OWASP-TR Mobil Güvenlik Çalıştayı ‘15 • Oluşturulan dylib ve plist dosyaları /Library/MobileSubstrate/D ynamicLibraries/ dizinine kopyalanır. • Hedef uygulama (kelime oyunu) yeniden başlatılır.
4 iOS Platformunda Örnek Saldırı Senaryoları OWASP-TR Mobil Güvenlik Çalıştayı ‘15
Snoop-it OWASP-TR Mobil Güvenlik Çalıştayı ‘15
IntroSpy
iOS SSL Kill Switch OWASP-TR Mobil Güvenlik Çalıştayı ‘15
xCon OWASP-TR Mobil Güvenlik Çalıştayı ‘15
Flex OWASP-TR Mobil Güvenlik Çalıştayı ‘15 • NBA Game Time App • Sadece method overriding
Teşekkürler. When next year’s crop of high-school graduates arrive at Oxford University in the fall of 2009, they’ll be joined by a new face; Andrew Hamilton, the 55-year-old provost of Yale, who’llWhen next year’s crop of high-school graduates arrive at

Recommandé

iOS'da Zararlı Yazılım Yok (mu?)
iOS'da Zararlı Yazılım Yok (mu?)iOS'da Zararlı Yazılım Yok (mu?)
iOS'da Zararlı Yazılım Yok (mu?)Oguzhan Topgul
 
iOS Güvenlik Mekanizmaları - UNISIP Siber Güvenlik Sempozyumu 2014
iOS Güvenlik Mekanizmaları - UNISIP Siber Güvenlik Sempozyumu 2014iOS Güvenlik Mekanizmaları - UNISIP Siber Güvenlik Sempozyumu 2014
iOS Güvenlik Mekanizmaları - UNISIP Siber Güvenlik Sempozyumu 2014Oguzhan Topgul
 
Devfest istanbul'14 - Web Application Attacks and Trusting Frameworks
Devfest istanbul'14 - Web Application Attacks and Trusting FrameworksDevfest istanbul'14 - Web Application Attacks and Trusting Frameworks
Devfest istanbul'14 - Web Application Attacks and Trusting FrameworksMehmet Ince
 
Ativirüs
AtivirüsAtivirüs
AtivirüsCelal Karaca
 
[OWASP-TR Uygulama Güvenliği Günü 2016] Özkan Boztaş - SSL Protokolüne Karşı ...
[OWASP-TR Uygulama Güvenliği Günü 2016] Özkan Boztaş - SSL Protokolüne Karşı ...[OWASP-TR Uygulama Güvenliği Günü 2016] Özkan Boztaş - SSL Protokolüne Karşı ...
[OWASP-TR Uygulama Güvenliği Günü 2016] Özkan Boztaş - SSL Protokolüne Karşı ...OWASP Turkiye
 
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Yalçın Çakmak - Social Media Apps Fo...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Yalçın Çakmak - Social Media Apps Fo...[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Yalçın Çakmak - Social Media Apps Fo...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Yalçın Çakmak - Social Media Apps Fo...OWASP Turkiye
 
[OWASP-TR Uygulama Güvenliği Günü 2016] Emre Kısa - HTTP Güvenlik Başlıkları ...
[OWASP-TR Uygulama Güvenliği Günü 2016] Emre Kısa - HTTP Güvenlik Başlıkları ...[OWASP-TR Uygulama Güvenliği Günü 2016] Emre Kısa - HTTP Güvenlik Başlıkları ...
[OWASP-TR Uygulama Güvenliği Günü 2016] Emre Kısa - HTTP Güvenlik Başlıkları ...OWASP Turkiye
 
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Fatih Emiral - Android Uygulamalara ...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Fatih Emiral - Android Uygulamalara ...[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Fatih Emiral - Android Uygulamalara ...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Fatih Emiral - Android Uygulamalara ...OWASP Turkiye
 

Recommandé

iOS'da Zararlı Yazılım Yok (mu?)
iOS'da Zararlı Yazılım Yok (mu?)iOS'da Zararlı Yazılım Yok (mu?)
iOS'da Zararlı Yazılım Yok (mu?)Oguzhan Topgul
 
iOS Güvenlik Mekanizmaları - UNISIP Siber Güvenlik Sempozyumu 2014
iOS Güvenlik Mekanizmaları - UNISIP Siber Güvenlik Sempozyumu 2014iOS Güvenlik Mekanizmaları - UNISIP Siber Güvenlik Sempozyumu 2014
iOS Güvenlik Mekanizmaları - UNISIP Siber Güvenlik Sempozyumu 2014Oguzhan Topgul
 
Devfest istanbul'14 - Web Application Attacks and Trusting Frameworks
Devfest istanbul'14 - Web Application Attacks and Trusting FrameworksDevfest istanbul'14 - Web Application Attacks and Trusting Frameworks
Devfest istanbul'14 - Web Application Attacks and Trusting FrameworksMehmet Ince
 
Ativirüs
AtivirüsAtivirüs
AtivirüsCelal Karaca
 
[OWASP-TR Uygulama Güvenliği Günü 2016] Özkan Boztaş - SSL Protokolüne Karşı ...
[OWASP-TR Uygulama Güvenliği Günü 2016] Özkan Boztaş - SSL Protokolüne Karşı ...[OWASP-TR Uygulama Güvenliği Günü 2016] Özkan Boztaş - SSL Protokolüne Karşı ...
[OWASP-TR Uygulama Güvenliği Günü 2016] Özkan Boztaş - SSL Protokolüne Karşı ...OWASP Turkiye
 
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Yalçın Çakmak - Social Media Apps Fo...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Yalçın Çakmak - Social Media Apps Fo...[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Yalçın Çakmak - Social Media Apps Fo...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Yalçın Çakmak - Social Media Apps Fo...OWASP Turkiye
 
[OWASP-TR Uygulama Güvenliği Günü 2016] Emre Kısa - HTTP Güvenlik Başlıkları ...
[OWASP-TR Uygulama Güvenliği Günü 2016] Emre Kısa - HTTP Güvenlik Başlıkları ...[OWASP-TR Uygulama Güvenliği Günü 2016] Emre Kısa - HTTP Güvenlik Başlıkları ...
[OWASP-TR Uygulama Güvenliği Günü 2016] Emre Kısa - HTTP Güvenlik Başlıkları ...OWASP Turkiye
 
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Fatih Emiral - Android Uygulamalara ...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Fatih Emiral - Android Uygulamalara ...[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Fatih Emiral - Android Uygulamalara ...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Fatih Emiral - Android Uygulamalara ...OWASP Turkiye
 
[OWASP-TR Uygulama Güvenliği Günü 2016] Özgür Alp - HTTP/2 ve Güvenlik
[OWASP-TR Uygulama Güvenliği Günü 2016] Özgür Alp - HTTP/2 ve Güvenlik[OWASP-TR Uygulama Güvenliği Günü 2016] Özgür Alp - HTTP/2 ve Güvenlik
[OWASP-TR Uygulama Güvenliği Günü 2016] Özgür Alp - HTTP/2 ve GüvenlikOWASP Turkiye
 
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Sertel Şıracı - Mobil Uygulama Güven...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Sertel Şıracı - Mobil Uygulama Güven...[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Sertel Şıracı - Mobil Uygulama Güven...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Sertel Şıracı - Mobil Uygulama Güven...OWASP Turkiye
 
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Oğuzhan Topgül - iOS'da Zararlı Yazı...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Oğuzhan Topgül - iOS'da Zararlı Yazı...[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Oğuzhan Topgül - iOS'da Zararlı Yazı...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Oğuzhan Topgül - iOS'da Zararlı Yazı...OWASP Turkiye
 
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Bahtiyar Bircan - PwnPhone: Cepteki ...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Bahtiyar Bircan - PwnPhone: Cepteki ...[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Bahtiyar Bircan - PwnPhone: Cepteki ...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Bahtiyar Bircan - PwnPhone: Cepteki ...OWASP Turkiye
 
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Mehmet Sabır Kiraz & Osmanbey Uzunko...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Mehmet Sabır Kiraz & Osmanbey Uzunko...[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Mehmet Sabır Kiraz & Osmanbey Uzunko...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Mehmet Sabır Kiraz & Osmanbey Uzunko...OWASP Turkiye
 
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Bakır Emre - Cebinizdeki Hırsız
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Bakır Emre - Cebinizdeki Hırsız[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Bakır Emre - Cebinizdeki Hırsız
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Bakır Emre - Cebinizdeki HırsızOWASP Turkiye
 
[OWASP-TR Uygulama Güvenliği Günü 2016] Muhammet Dilmaç - Ruby on Rails Web F...
[OWASP-TR Uygulama Güvenliği Günü 2016] Muhammet Dilmaç - Ruby on Rails Web F...[OWASP-TR Uygulama Güvenliği Günü 2016] Muhammet Dilmaç - Ruby on Rails Web F...
[OWASP-TR Uygulama Güvenliği Günü 2016] Muhammet Dilmaç - Ruby on Rails Web F...OWASP Turkiye
 
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ömer Faruk Acar - Mobil Uygulamalar ...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ömer Faruk Acar - Mobil Uygulamalar ...[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ömer Faruk Acar - Mobil Uygulamalar ...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ömer Faruk Acar - Mobil Uygulamalar ...OWASP Turkiye
 
[OWASP-TR Uygulama Güvenliği Günü 2016] Gökmen Güreşçi - Web Uygulamalarında ...
[OWASP-TR Uygulama Güvenliği Günü 2016] Gökmen Güreşçi - Web Uygulamalarında ...[OWASP-TR Uygulama Güvenliği Günü 2016] Gökmen Güreşçi - Web Uygulamalarında ...
[OWASP-TR Uygulama Güvenliği Günü 2016] Gökmen Güreşçi - Web Uygulamalarında ...OWASP Turkiye
 
Kali ile Linux'e Giriş | IntelRAD
Kali ile Linux'e Giriş | IntelRADKali ile Linux'e Giriş | IntelRAD
Kali ile Linux'e Giriş | IntelRADMehmet Ince
 
Mobil Pentest Eğitim Dökümanı
Mobil Pentest Eğitim DökümanıMobil Pentest Eğitim Dökümanı
Mobil Pentest Eğitim DökümanıAhmet Gürel
 
Dogus University-Web Application Security
Dogus University-Web Application SecurityDogus University-Web Application Security
Dogus University-Web Application Securitymtimur
 
Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)Cihan Özhan
 
Mobil Pentest Örnek Not
Mobil Pentest Örnek NotMobil Pentest Örnek Not
Mobil Pentest Örnek NotBGA Cyber Security
 
Devfest istanbul'14 web app security and framework
Devfest istanbul'14 web app security and framework Devfest istanbul'14 web app security and framework
Devfest istanbul'14 web app security and framework Mehmet Ince
 
Güvenli Yazılım Geliştirme.pptx
Güvenli Yazılım Geliştirme.pptxGüvenli Yazılım Geliştirme.pptx
Güvenli Yazılım Geliştirme.pptxanilyelken
 
Cyber Kill Chain
Cyber Kill ChainCyber Kill Chain
Cyber Kill ChainSüleyman Özarslan
 
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımıSüleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımıKasım Erkan
 
.Net ile yazılım güvenliği
.Net ile yazılım güvenliği.Net ile yazılım güvenliği
.Net ile yazılım güvenliğiA. Kutlu Ersoy, MSc.
 
Nedir Bu Java ?
Nedir Bu Java ?Nedir Bu Java ?
Nedir Bu Java ?Rıdvan Akar
 
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux 2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux Burak Oğuz
 
Mobil Sistemler ve Uygulama Güvenliği
Mobil Sistemler ve Uygulama GüvenliğiMobil Sistemler ve Uygulama Güvenliği
Mobil Sistemler ve Uygulama GüvenliğiBGA Cyber Security
 

Contenu connexe

En vedette

[OWASP-TR Uygulama Güvenliği Günü 2016] Özgür Alp - HTTP/2 ve Güvenlik
[OWASP-TR Uygulama Güvenliği Günü 2016] Özgür Alp - HTTP/2 ve Güvenlik[OWASP-TR Uygulama Güvenliği Günü 2016] Özgür Alp - HTTP/2 ve Güvenlik
[OWASP-TR Uygulama Güvenliği Günü 2016] Özgür Alp - HTTP/2 ve GüvenlikOWASP Turkiye
 
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Sertel Şıracı - Mobil Uygulama Güven...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Sertel Şıracı - Mobil Uygulama Güven...[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Sertel Şıracı - Mobil Uygulama Güven...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Sertel Şıracı - Mobil Uygulama Güven...OWASP Turkiye
 
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Oğuzhan Topgül - iOS'da Zararlı Yazı...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Oğuzhan Topgül - iOS'da Zararlı Yazı...[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Oğuzhan Topgül - iOS'da Zararlı Yazı...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Oğuzhan Topgül - iOS'da Zararlı Yazı...OWASP Turkiye
 
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Bahtiyar Bircan - PwnPhone: Cepteki ...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Bahtiyar Bircan - PwnPhone: Cepteki ...[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Bahtiyar Bircan - PwnPhone: Cepteki ...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Bahtiyar Bircan - PwnPhone: Cepteki ...OWASP Turkiye
 
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Mehmet Sabır Kiraz & Osmanbey Uzunko...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Mehmet Sabır Kiraz & Osmanbey Uzunko...[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Mehmet Sabır Kiraz & Osmanbey Uzunko...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Mehmet Sabır Kiraz & Osmanbey Uzunko...OWASP Turkiye
 
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Bakır Emre - Cebinizdeki Hırsız
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Bakır Emre - Cebinizdeki Hırsız[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Bakır Emre - Cebinizdeki Hırsız
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Bakır Emre - Cebinizdeki HırsızOWASP Turkiye
 
[OWASP-TR Uygulama Güvenliği Günü 2016] Muhammet Dilmaç - Ruby on Rails Web F...
[OWASP-TR Uygulama Güvenliği Günü 2016] Muhammet Dilmaç - Ruby on Rails Web F...[OWASP-TR Uygulama Güvenliği Günü 2016] Muhammet Dilmaç - Ruby on Rails Web F...
[OWASP-TR Uygulama Güvenliği Günü 2016] Muhammet Dilmaç - Ruby on Rails Web F...OWASP Turkiye
 
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ömer Faruk Acar - Mobil Uygulamalar ...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ömer Faruk Acar - Mobil Uygulamalar ...[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ömer Faruk Acar - Mobil Uygulamalar ...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ömer Faruk Acar - Mobil Uygulamalar ...OWASP Turkiye
 
[OWASP-TR Uygulama Güvenliği Günü 2016] Gökmen Güreşçi - Web Uygulamalarında ...
[OWASP-TR Uygulama Güvenliği Günü 2016] Gökmen Güreşçi - Web Uygulamalarında ...[OWASP-TR Uygulama Güvenliği Günü 2016] Gökmen Güreşçi - Web Uygulamalarında ...
[OWASP-TR Uygulama Güvenliği Günü 2016] Gökmen Güreşçi - Web Uygulamalarında ...OWASP Turkiye
 
Kali ile Linux'e Giriş | IntelRAD
Kali ile Linux'e Giriş | IntelRADKali ile Linux'e Giriş | IntelRAD
Kali ile Linux'e Giriş | IntelRADMehmet Ince
 

En vedette (10)

[OWASP-TR Uygulama Güvenliği Günü 2016] Özgür Alp - HTTP/2 ve Güvenlik
[OWASP-TR Uygulama Güvenliği Günü 2016] Özgür Alp - HTTP/2 ve Güvenlik[OWASP-TR Uygulama Güvenliği Günü 2016] Özgür Alp - HTTP/2 ve Güvenlik
[OWASP-TR Uygulama Güvenliği Günü 2016] Özgür Alp - HTTP/2 ve Güvenlik
 
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Sertel Şıracı - Mobil Uygulama Güven...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Sertel Şıracı - Mobil Uygulama Güven...[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Sertel Şıracı - Mobil Uygulama Güven...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Sertel Şıracı - Mobil Uygulama Güven...
 
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Oğuzhan Topgül - iOS'da Zararlı Yazı...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Oğuzhan Topgül - iOS'da Zararlı Yazı...[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Oğuzhan Topgül - iOS'da Zararlı Yazı...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Oğuzhan Topgül - iOS'da Zararlı Yazı...
 
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Bahtiyar Bircan - PwnPhone: Cepteki ...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Bahtiyar Bircan - PwnPhone: Cepteki ...[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Bahtiyar Bircan - PwnPhone: Cepteki ...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Bahtiyar Bircan - PwnPhone: Cepteki ...
 
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Mehmet Sabır Kiraz & Osmanbey Uzunko...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Mehmet Sabır Kiraz & Osmanbey Uzunko...[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Mehmet Sabır Kiraz & Osmanbey Uzunko...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Mehmet Sabır Kiraz & Osmanbey Uzunko...
 
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Bakır Emre - Cebinizdeki Hırsız
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Bakır Emre - Cebinizdeki Hırsız[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Bakır Emre - Cebinizdeki Hırsız
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Bakır Emre - Cebinizdeki Hırsız
 
[OWASP-TR Uygulama Güvenliği Günü 2016] Muhammet Dilmaç - Ruby on Rails Web F...
[OWASP-TR Uygulama Güvenliği Günü 2016] Muhammet Dilmaç - Ruby on Rails Web F...[OWASP-TR Uygulama Güvenliği Günü 2016] Muhammet Dilmaç - Ruby on Rails Web F...
[OWASP-TR Uygulama Güvenliği Günü 2016] Muhammet Dilmaç - Ruby on Rails Web F...
 
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ömer Faruk Acar - Mobil Uygulamalar ...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ömer Faruk Acar - Mobil Uygulamalar ...[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ömer Faruk Acar - Mobil Uygulamalar ...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ömer Faruk Acar - Mobil Uygulamalar ...
 
[OWASP-TR Uygulama Güvenliği Günü 2016] Gökmen Güreşçi - Web Uygulamalarında ...
[OWASP-TR Uygulama Güvenliği Günü 2016] Gökmen Güreşçi - Web Uygulamalarında ...[OWASP-TR Uygulama Güvenliği Günü 2016] Gökmen Güreşçi - Web Uygulamalarında ...
[OWASP-TR Uygulama Güvenliği Günü 2016] Gökmen Güreşçi - Web Uygulamalarında ...
 
Kali ile Linux'e Giriş | IntelRAD
Kali ile Linux'e Giriş | IntelRADKali ile Linux'e Giriş | IntelRAD
Kali ile Linux'e Giriş | IntelRAD
 

Similaire à [OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ahmet Can Kan - Attacking Mobile Applications At Runtime

Mobil Pentest Eğitim Dökümanı
Mobil Pentest Eğitim DökümanıMobil Pentest Eğitim Dökümanı
Mobil Pentest Eğitim DökümanıAhmet Gürel
 
Dogus University-Web Application Security
Dogus University-Web Application SecurityDogus University-Web Application Security
Dogus University-Web Application Securitymtimur
 
Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)Cihan Özhan
 
Devfest istanbul'14 web app security and framework
Devfest istanbul'14 web app security and framework Devfest istanbul'14 web app security and framework
Devfest istanbul'14 web app security and framework Mehmet Ince
 
Güvenli Yazılım Geliştirme.pptx
Güvenli Yazılım Geliştirme.pptxGüvenli Yazılım Geliştirme.pptx
Güvenli Yazılım Geliştirme.pptxanilyelken
 
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımıSüleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımıKasım Erkan
 
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux 2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux Burak Oğuz
 
Mobil Sistemler ve Uygulama Güvenliği
Mobil Sistemler ve Uygulama GüvenliğiMobil Sistemler ve Uygulama Güvenliği
Mobil Sistemler ve Uygulama GüvenliğiBGA Cyber Security
 
Open cv kütüphanesi
Open cv kütüphanesiOpen cv kütüphanesi
Open cv kütüphanesiahmetkakici
 
Metasploit Framework ile Güvenlik Denetimi
Metasploit Framework ile Güvenlik DenetimiMetasploit Framework ile Güvenlik Denetimi
Metasploit Framework ile Güvenlik DenetimiFatih Ozavci
 
Güvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak DerslerGüvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak DerslerBGA Cyber Security
 
DevOps Pratikleri ile Yazılım Dünyasında Neler Değişiyor?
DevOps Pratikleri ile Yazılım Dünyasında Neler Değişiyor?DevOps Pratikleri ile Yazılım Dünyasında Neler Değişiyor?
DevOps Pratikleri ile Yazılım Dünyasında Neler Değişiyor?Derya SEZEN
 
Android Eğitimleri Hacettepe Üniversitesi
Android Eğitimleri Hacettepe ÜniversitesiAndroid Eğitimleri Hacettepe Üniversitesi
Android Eğitimleri Hacettepe ÜniversitesiVolkan Ulutaş
 
Lecture 1 Siber Güvenlik Temel Kavramlar
Lecture 1 Siber Güvenlik Temel KavramlarLecture 1 Siber Güvenlik Temel Kavramlar
Lecture 1 Siber Güvenlik Temel KavramlarTurkIOT
 
Siber Dünyada Modern Arka Kapılar
Siber Dünyada Modern Arka KapılarSiber Dünyada Modern Arka Kapılar
Siber Dünyada Modern Arka KapılarBGA Cyber Security
 

Similaire à [OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ahmet Can Kan - Attacking Mobile Applications At Runtime (20)

Mobil Pentest Eğitim Dökümanı
Mobil Pentest Eğitim DökümanıMobil Pentest Eğitim Dökümanı
Mobil Pentest Eğitim Dökümanı
 
Dogus University-Web Application Security
Dogus University-Web Application SecurityDogus University-Web Application Security
Dogus University-Web Application Security
 
Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)
 
Mobil Pentest Örnek Not
Mobil Pentest Örnek NotMobil Pentest Örnek Not
Mobil Pentest Örnek Not
 
Devfest istanbul'14 web app security and framework
Devfest istanbul'14 web app security and framework Devfest istanbul'14 web app security and framework
Devfest istanbul'14 web app security and framework
 
Güvenli Yazılım Geliştirme.pptx
Güvenli Yazılım Geliştirme.pptxGüvenli Yazılım Geliştirme.pptx
Güvenli Yazılım Geliştirme.pptx
 
Cyber Kill Chain
Cyber Kill ChainCyber Kill Chain
Cyber Kill Chain
 
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımıSüleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
 
.Net ile yazılım güvenliği
.Net ile yazılım güvenliği.Net ile yazılım güvenliği
.Net ile yazılım güvenliği
 
Nedir Bu Java ?
Nedir Bu Java ?Nedir Bu Java ?
Nedir Bu Java ?
 
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux 2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
 
Mobil Sistemler ve Uygulama Güvenliği
Mobil Sistemler ve Uygulama GüvenliğiMobil Sistemler ve Uygulama Güvenliği
Mobil Sistemler ve Uygulama Güvenliği
 
Open cv kütüphanesi
Open cv kütüphanesiOpen cv kütüphanesi
Open cv kütüphanesi
 
Metasploit Framework ile Güvenlik Denetimi
Metasploit Framework ile Güvenlik DenetimiMetasploit Framework ile Güvenlik Denetimi
Metasploit Framework ile Güvenlik Denetimi
 
Zed attack-proxy-web
Zed attack-proxy-webZed attack-proxy-web
Zed attack-proxy-web
 
Güvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak DerslerGüvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak Dersler
 
DevOps Pratikleri ile Yazılım Dünyasında Neler Değişiyor?
DevOps Pratikleri ile Yazılım Dünyasında Neler Değişiyor?DevOps Pratikleri ile Yazılım Dünyasında Neler Değişiyor?
DevOps Pratikleri ile Yazılım Dünyasında Neler Değişiyor?
 
Android Eğitimleri Hacettepe Üniversitesi
Android Eğitimleri Hacettepe ÜniversitesiAndroid Eğitimleri Hacettepe Üniversitesi
Android Eğitimleri Hacettepe Üniversitesi
 
Lecture 1 Siber Güvenlik Temel Kavramlar
Lecture 1 Siber Güvenlik Temel KavramlarLecture 1 Siber Güvenlik Temel Kavramlar
Lecture 1 Siber Güvenlik Temel Kavramlar
 
Siber Dünyada Modern Arka Kapılar
Siber Dünyada Modern Arka KapılarSiber Dünyada Modern Arka Kapılar
Siber Dünyada Modern Arka Kapılar
 

[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ahmet Can Kan - Attacking Mobile Applications At Runtime

  • 1. ATTACKING MOBILE APPLICATIONS AT RUNTIME OWASP-TR Mobil Güvenlik Çalıştayı ‘15 Ahmet Can Kan
  • 2. Ben kimim? OWASP-TR Mobil Güvenlik Çalıştayı ‘15
  • 3. INVICTUS “Intelligence Research and Development”  Senior Mobile Security Consultant at Invictus in Istanbul  VP, R&D Lead at Prodaft  Bsc. Comp Sci. & Eng. Sabanci University Msc. Candidate, Comp Eng at Bogazici University Security and Privacy in Biometrics OWASP-TR Mobil Güvenlik Çalıştayı ‘15
  • 4. İÇERİK 1 2 3 4 Android Runtime, Xposed Framework iOS Platformunda Örnek Saldırı Senaryoları iOS Cydia Substrate API Android Platformunda Örnek Saldırı Senaryoları OWASP-TR Mobil Güvenlik Çalıştayı ‘15
  • 5. 1 Android Runtime, Xposed Framework OWASP-TR Mobil Güvenlik Çalıştayı ‘15
  • 6. Zygote • Zygote işletim sistemindeki bütün uygulamaların başlatılmasından sorumlu ‘daemon’dır ve bütün uygulamalar bu process’ten fork edilir. Android Runtime OWASP-TR Mobil Güvenlik Çalıştayı ‘15 • /system/bin/app_process aracılığıyla ayağa kaldırılır. (@ init.rc)
  • 7. Yükleme: • Installer uygulaması aracılığıyla sisteme yüklenir (root yetkileri gerektirir). • Extended bir app_process çalıştırılabilir dosyası hali hazırda var olan dosyanın yerini alır. • ClassPath’e XposedBridge.jar kütüphanesini ekler ve bu kütüphanedeki metodları gerektiğinde çağırır. • Böylece XPosedBridge.jar kütüphanesinden gerekli metodları Zygote process’inin bir parçasıymış gibi çalıştırabilir. • https://github.com/rovo89 Xposed Framework OWASP-TR Mobil Güvenlik Çalıştayı ‘15
  • 8. Method Hooking/Replacing: • Framework’ün asıl gücü hedef uygulamadaki metodları hook’layabilmesinden gelir. • APK’yı modifiye etmek yeterli olmaz mı? • Decompile/Compile/Sign Döngüsü • Redistribution • Yazacağınız bir Xposed modülü ise hedef metodun öncesinde ve sonrasında sizin kendi kodunuzu çağırmanızı veya hedef metodu direkt olarak override etmenizi sağlar. Xposed Framework OWASP-TR Mobil Güvenlik Çalıştayı ‘15
  • 9. Xposed Framework OWASP-TR Mobil Güvenlik Çalıştayı ‘15
  • 10. 2 Android Platformunda Örnek Saldırı Senaryoları OWASP-TR Mobil Güvenlik Çalıştayı ‘15
  • 12. SSL Pinning? OWASP-TR Mobil Güvenlik Çalıştayı ‘15
  • 13. SSL Pinning? OWASP-TR Mobil Güvenlik Çalıştayı ‘15
  • 14. RootCloak OWASP-TR Mobil Güvenlik Çalıştayı ‘15
  • 15. Root? OWASP-TR Mobil Güvenlik Çalıştayı ‘15
  • 17. 3 iOS Runtime, Cydia Substrate API OWASP-TR Mobil Güvenlik Çalıştayı ‘15
  • 18. • Substrate C API, hedef platformlarda kod instrumentasyonu yapmanıza olanak sağlar. • Hedef platformdaki objenin veya metodun argümanlarını, return değerlerini ve hatta implementasyonunu değiştirmenize olanak sağlar. • C/C++/Assembly, Objective-C ve Java (Android/Dalvik) platformlarını destekler. • C seviyesinde çalışır. • Android 4.3’ün üstünü desteklemez. (ART?) Cydia Substrate API OWASP-TR Mobil Güvenlik Çalıştayı ‘15
  • 19. Cydia Substrate API Hello World – Adım 1 – Binary Decryption OWASP-TR Mobil Güvenlik Çalıştayı ‘15
  • 20. Cydia Substrate API Hello World – Adım 2 – Tweak Oluşturma OWASP-TR Mobil Güvenlik Çalıştayı ‘15 THEOS SDK • Linux, MacOS ve Windows (Cygwin) desteği bulunur. o Windows: https://coolstar.org/theos.pdf o Linux/OSX: http://iphonedevwiki.net/index.php/Theos/Setup
  • 21. Cydia Substrate API Hello World – Adım 2 – Tweak Oluşturma OWASP-TR Mobil Güvenlik Çalıştayı ‘15 Logos • Preprocessor tabanlı bir kütüphanedir. • Tweak yazma işlemini kolaylaştırır.
  • 22. Cydia Substrate API Hello World – Adım 3 – Tweak’i Yükleme OWASP-TR Mobil Güvenlik Çalıştayı ‘15 • Oluşturulan dylib ve plist dosyaları /Library/MobileSubstrate/D ynamicLibraries/ dizinine kopyalanır. • Hedef uygulama (kelime oyunu) yeniden başlatılır.
  • 23. 4 iOS Platformunda Örnek Saldırı Senaryoları OWASP-TR Mobil Güvenlik Çalıştayı ‘15
  • 24. Snoop-it OWASP-TR Mobil Güvenlik Çalıştayı ‘15
  • 26. iOS SSL Kill Switch OWASP-TR Mobil Güvenlik Çalıştayı ‘15
  • 27. xCon OWASP-TR Mobil Güvenlik Çalıştayı ‘15
  • 28. Flex OWASP-TR Mobil Güvenlik Çalıştayı ‘15 • NBA Game Time App • Sadece method overriding
  • 29. Teşekkürler. When next year’s crop of high-school graduates arrive at Oxford University in the fall of 2009, they’ll be joined by a new face; Andrew Hamilton, the 55-year-old provost of Yale, who’llWhen next year’s crop of high-school graduates arrive at