mobil güvenlik testleri Etiketli Yazılar

BGA Blog yazıları

Android Uygulamalarda Güvensiz Veri Depolama – M2
2015

Android Uygulamalarda Güvensiz Veri Depolama – M2

Android işletim sistemi uygulamalara istedikleri verileri depolayabilmeleri için izole edilmiş bir alan tahsis eder, buna Internal Storage denir. Uygulama kullanıcı adı ve şifre gibi hassas verileri saklamak istediğinde Internal Storage bu işlemin gerçekleşebileceği yerdir. Android sandbox bir uygulamanın internal storage alanına diğer uygulamaların erişebilmesini engeller. Birçok geliştirici hassas verileri herhangi bir şifreleme işleminden geçirmeden internal stroage üzerinden saklamayı tercih eder. Kullanıcı adları, yetkilendirme şifreleri ya da tokenları, çerezler, lokasyon bilgisi, kalıcı uygulama…
Devamı
Mobil Güvenlik Testleri icin Uygulama Ortamının Kurulumu (Android)
2014

Mobil Güvenlik Testleri icin Uygulama Ortamının Kurulumu (Android)

Mobil uygulama güvenlik testlerinin en zor aşamalarıdan biri belki de test ortamının kurulmasıdır. Uygulamaların doğru çalışması, içi içe kurulan sanal makinaların performansı hep sıkıntı konusu olmuştur. Genymotion (Android VM) bu konuda işleri oldukça basitleştirmiştir. Hızlı ve stabil olması, dosyaların tut sürükle ile sanal androide aktarılabilmesi uygulamanın en büyük artılarıdır.  Tabi ki bu performansının altında yatan sebep x86 mimarisi üzerine kurulmuş olmasıdır. Bu, ARM mimarisiyle ilgili bazı problemleri ortaya çıkarsada yazının devamında konuyla…
Devamı
iOS Tabanlı Mobil Uygulama Güvenlik Testleri – II
2014

iOS Tabanlı Mobil Uygulama Güvenlik Testleri – II

iOS ortamlardaki uygulamalara yönelik sızma testleri ile ilgili ikinci makalemizde sunucu tarafı testlerinden ziyade mobil uygulama clientı üzerindeki testlere değinilecektir. Konuyla ilgili ilk makaleye buradan erişebilirsiniz. İlk olarak mobil cihazlar üzerinde tutulan veya uygulamalar aracılığı kullanılan, mahremiyet açısından sıkıntılara sebep olabilecek hassas bilgilerin olup olmadığı tespit edilebilir. Ve bunlar çeşitli risk seviyesinde raporlanabilir. Örneğin UDID(Uniq  device idendifier) üzerinden bir örnek verilecek olursa; herhangi bir uygulama tarafından her cihaza ait uniq değer olan…
Devamı
2013

Android Mobil Uygulama Güvenlik Testleri-II

Bir önceki mobil uygulama güvenlik testi ile ilgili makalede burp ve zap gibi proxy uygulamalar ile mobil uygulamalarda araya girip trafiğin manipule edilmesi ile güvenlik açıklıklarının tespitine değinilmişti. İlgili makaleye buradan erişebilirsiniz. Bu makalemizde ise mobil android uygulamalarına yönelik testleri fiziksel bir aygıta ihtiyaç duymadan bir emulator aracılığı ile nasıl yapılacağına değinilecektir.  Testler esnasında kullanılacak emulator için android SDK uygulaması kurulmalıdır. Bu uygulama üzerinde android emulatoru ile birlikte gelmektedir. İlgili uygulama buradan…
Devamı
2013

Android Mobil Uygulama Güvenlik Testleri-I

Android mobil uygulamların birçoğu arka planda sunucu ile haberleşmede http protokolü kullanır. Bu yüzden mobil uygulama testlerinde burp suite veya zad attack proxy (zap) gibi web proxy araçları kullanılarak rahatlıkla test edilebilir. Bunun için web proxy kurulu pc veya notebook sistemimiz ile mobil cihaz ile sunucu arasına girersek gelen giden trafik üzerinde her türlü hakimiyeti elimize almış oluruz. Parametrelere çeşitli payloadlar gönderilerek dönen cevaplar yorumlanarak çeşitli güvenlik açıkları tespit edilebilir. Web proxy…
Devamı