15 Eylül 2018 Cumartesi programı:
09:00 Ahmet Gürel Scapy ve Ağ Güvenliği
Öğle arasından sonra Ahmet Gürel Mobil Uygulama Güvenliği Temelleri
Konular:
ANDROİD SIZMA TESTİ / Mobil Uygulama Güvenliği Temelleri
Android İşletim Sistemi Temelleri
Android Nedir?
Neden Android?
Android Kullanım Alanlar
Android için Güvenlik İstatistikleri
Android Güvenlik Modeli
Android Uygulamalarının Çalışma Yapısı
Android Uygulama Temelleri
APK (Android Application Package File)
- Android’in Geliştirme Ortamları
Android Paket İçeriği
Android Uygulamaları için Tersine Mühendislik
Kaynak Kod Dönüşümü – Decompile
- Dex2Jar
- JD-GUI
Smali Koduna Dönülüm - Disassemble
- APKTool
Alınabilecek Önemlemler ( Obfuscation )
Mobil Uygulama Zafiyetleri
OWASP TOP10
- M1 - Hatalı Platform Kullanımı
- M2 - Güvensiz Veri Saklama
- M3 – Güvenli Olmayan İletişim
- M4 - Güvensiz Doğrulama
- M5 – Yetersiz Şifreleme
- M6 – Güvensiz Yetki
- M7 – İstemci Kod Kalite Sorunları
- M8 – Kod Kurcalama
- M9 – Tersine Mühendislik
- M10 – Gereksiz İşlevsellik
Mobil Sızma Testi Ortamı ve Kullanılan Araçlar
Genymotin Üzerinde Sanal Cihaz Oluşturma
Android Sızma Testi Araçları
- Xposed Modülleri
- ADB
- Andro Guard
- Burp Suite
- Sqlite Veritabanı için Sqlite Browser ve Sqlite3
- Andro Bugs
- MobSF
- Drozer
Uygulamalı Mobil Sızma Testi Örnekleri
Insecure Bankv2
DIVA (Damn Insecure and Vulnerable App)