“BGA BANK (Vulnerable Online Bank Application)” uygulaması PHP tabanlı çeşitli zafiyetler içeren sızma testi eğitim platformudur. Türkiye’deki bankacılık altyapısı incelenerek bu altyapılarda çıkabilecek tüm teknik ve mantıksal hatalar uygulamanın içine eklenmiş ve web uygulama güvenliği konusunda çalışanlar için gerçekci bir sızma testi platformu oluşturulmuştur. Webgoat, DVWA vs gibi benzeri amaçla yazılmış programlardan en temel farkı açıklıkların doğrudan kullanıcıya nerede olduğu ve nasıl istismar edileceği ile ilgili ipucu vermemesidir.
BGA BANK altyapısı 3 farklı sistemden oluşmaktadır:
1- BGA BANK – http://www.bgabank.com
2- IPS Korumalı Bankacılık Uygulaması –
3- WAF Korumalı Bankacılık Uygulaması –
Böylece bgabank.com’da çalışan bir açıklığın hem IPS hem de WAF sistemleri ile tekrar test edilerek çeşitli evasion tekniklerinin denenmesi de sağlanmış olmaktadır.
Detay testler icin gerekli internet bankacılık hesap bilgisi bir müddet sadece beta test kullanıcılarına açılmıştır. OWASP’a ait tüm zafiyetler sisteme uygulandıktan sonra genele açık olarak da sunulacaktır.
BGA Bank – Veritabanı Şeması:
