Embed Size (px)
Citation preview
![Page 1: [OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ömer Faruk Acar - Mobil Uygulamalar İçin Fuzz Testi ve Bug Avcılığı](https://reader030.pdfslide.net/reader030/viewer/2022031910/58732bfe1a28ab596c8b5c33/html5/page/1.jpg)
MobilUygulamalariçinFuzzTes5veBugAvcılığı
ÖmerFarukACAR
![Page 2: [OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ömer Faruk Acar - Mobil Uygulamalar İçin Fuzz Testi ve Bug Avcılığı](https://reader030.pdfslide.net/reader030/viewer/2022031910/58732bfe1a28ab596c8b5c33/html5/page/2.jpg)
Giriş• Uygulamagüvenliğindegeliş9rmevetestaşamalarındakaynakkodanalizitekniğinikullananotoma9zearaçlaryetersizkalmaktadır.
• FuzzTestleriuygulanmalı(whiteboxveblackbox)• Android,IOS,WindowsPhonev.s.üzerindeolması• SınırlıkaynaklariçinBulutOrtamı• EşzamanlıtestleriçinDağıRkSistem• Dahaverimlifuzztes9içinEvrimselTabanlıyaklaşım
![Page 3: [OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ömer Faruk Acar - Mobil Uygulamalar İçin Fuzz Testi ve Bug Avcılığı](https://reader030.pdfslide.net/reader030/viewer/2022031910/58732bfe1a28ab596c8b5c33/html5/page/3.jpg)
BugHun9ngLifecycle
3
sourcecode(WhiteBox):• manualcodereview(Sourcecodeaudit)• sta9canalysisBinary(BlackBox):• DynamicAnalysis• reverseengineering(Debugging&Disassembly)• fuzzing
![Page 4: [OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ömer Faruk Acar - Mobil Uygulamalar İçin Fuzz Testi ve Bug Avcılığı](https://reader030.pdfslide.net/reader030/viewer/2022031910/58732bfe1a28ab596c8b5c33/html5/page/4.jpg)
FuzzingNedir?Tanım
• FuzzingisimbabasıProf.BartonMiller
1989
• Fuzztes9yadafuzzing,otoma9k
olarakbozulmuşyadayarıbozulmuş
verikullanarakuygulamalardabug
bulmakiçinuygulananyazılım
güvenliğitekniğidir.
• Blackbox,Whitebox
• Metotlar– Genera9on-basedyadaRandom-
based(SmartFuzzing)– Muta9on-based(DumbFuzzing)– Proxy-based
4
![Page 5: [OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ömer Faruk Acar - Mobil Uygulamalar İçin Fuzz Testi ve Bug Avcılığı](https://reader030.pdfslide.net/reader030/viewer/2022031910/58732bfe1a28ab596c8b5c33/html5/page/5.jpg)
FuzzingFazları
• HedefBelirle– Uygulamalar(oynaRcılar,okuyucular,web…)– Protokoller(Unix,Windows,OSX)– Cihazlar(arm,telefonlar,modemler…)– …
• GirdiBelirle– DosyaFormaR(java,pdf,png,m3u,swf…)– Ağprotokolleri(bp,hcp,arp,ssl…)– Kayıtdeberigirdileri,başlıklar,…
![Page 6: [OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ömer Faruk Acar - Mobil Uygulamalar İçin Fuzz Testi ve Bug Avcılığı](https://reader030.pdfslide.net/reader030/viewer/2022031910/58732bfe1a28ab596c8b5c33/html5/page/6.jpg)
FuzzingFazları• Fuzzverisiüret(TestCaseGenera9on)– Muta9on– Genera9on– Evalua9on
• FuzzverisiniçalışRr– Yarı-geçerligirdilerinhedefegönderilmesi
• numbers(signed/unsignedintegers/float...)• chars(urls,command-lineinputs)• metadata:user-inputtext(id3tag)• purebinarysequences
• Monitörişlemi
![Page 7: [OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ömer Faruk Acar - Mobil Uygulamalar İçin Fuzz Testi ve Bug Avcılığı](https://reader030.pdfslide.net/reader030/viewer/2022031910/58732bfe1a28ab596c8b5c33/html5/page/7.jpg)
Tehditler
7
![Page 8: [OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ömer Faruk Acar - Mobil Uygulamalar İçin Fuzz Testi ve Bug Avcılığı](https://reader030.pdfslide.net/reader030/viewer/2022031910/58732bfe1a28ab596c8b5c33/html5/page/8.jpg)
FuzzingWorkflow
8
![Page 9: [OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ömer Faruk Acar - Mobil Uygulamalar İçin Fuzz Testi ve Bug Avcılığı](https://reader030.pdfslide.net/reader030/viewer/2022031910/58732bfe1a28ab596c8b5c33/html5/page/9.jpg)
ExampleTemplateFiles
9
![Page 10: [OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ömer Faruk Acar - Mobil Uygulamalar İçin Fuzz Testi ve Bug Avcılığı](https://reader030.pdfslide.net/reader030/viewer/2022031910/58732bfe1a28ab596c8b5c33/html5/page/10.jpg)
PeachFuzzerTemplate
10
![Page 11: [OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ömer Faruk Acar - Mobil Uygulamalar İçin Fuzz Testi ve Bug Avcılığı](https://reader030.pdfslide.net/reader030/viewer/2022031910/58732bfe1a28ab596c8b5c33/html5/page/11.jpg)
ExampleFuzzingData
11
![Page 12: [OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ömer Faruk Acar - Mobil Uygulamalar İçin Fuzz Testi ve Bug Avcılığı](https://reader030.pdfslide.net/reader030/viewer/2022031910/58732bfe1a28ab596c8b5c33/html5/page/12.jpg)
FuzzVectors
12
• CrossSiteScrip9ng(XSS)• BufferOverflow• FormatString• IntegerOverflow• Sqlinjec9on• LDAPInjec9on• XPATHInjec9on• XMLInjec9on….
![Page 13: [OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ömer Faruk Acar - Mobil Uygulamalar İçin Fuzz Testi ve Bug Avcılığı](https://reader030.pdfslide.net/reader030/viewer/2022031910/58732bfe1a28ab596c8b5c33/html5/page/13.jpg)
OWASP-TOP10MobileSecurityRisks
13
• M1:InsecureDataStorage• M2:WeakServerSideControls• M3:InsufficientTransportLayerProtec9on
• SSLImplementa9on• FlowManipula9on
• M4:ClientSideInjec9on• SQLInjec9on• XSSInjec9on
• M5:PoorAuthoriza9onandAuthen9ca9on• RemoteCodeExecu9onviaOverflows
• M6:ImproperSessionHandling• FlowManipula9on
• M7:SecurityDecisionsViaUntrustedInputs• MemoryCorrup9ons
• M8:SideChannelDataLeakage• M9:BrokenCryptography• M10:Sensi9veInforma9onDisclosure
• Informa9onLeatwithErrorandWarningMessages
![Page 14: [OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ömer Faruk Acar - Mobil Uygulamalar İçin Fuzz Testi ve Bug Avcılığı](https://reader030.pdfslide.net/reader030/viewer/2022031910/58732bfe1a28ab596c8b5c33/html5/page/14.jpg)
14
![Page 15: [OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ömer Faruk Acar - Mobil Uygulamalar İçin Fuzz Testi ve Bug Avcılığı](https://reader030.pdfslide.net/reader030/viewer/2022031910/58732bfe1a28ab596c8b5c33/html5/page/15.jpg)
TestResults
15
![Page 16: [OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ömer Faruk Acar - Mobil Uygulamalar İçin Fuzz Testi ve Bug Avcılığı](https://reader030.pdfslide.net/reader030/viewer/2022031910/58732bfe1a28ab596c8b5c33/html5/page/16.jpg)
YapılanÇalışmalar
• Fuzzinggüvenliktestlerininilkkullanıldığızamanlar2009yıllarınadayanmaktadır.
(BlackHatUSA2009)• CharlieMiller’ınönemliçalışmalarındanbiriolanbumakaledeakıllıtelefonlarüzerindeaçıkkaynakkodluSulleyfuzzer’ıkullanılarakbozulmuşSMSmesajlarıilestrestestlerigerçekleş9rilmiş9r.
![Page 17: [OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ömer Faruk Acar - Mobil Uygulamalar İçin Fuzz Testi ve Bug Avcılığı](https://reader030.pdfslide.net/reader030/viewer/2022031910/58732bfe1a28ab596c8b5c33/html5/page/17.jpg)
YapılanÇalışmalar• 2013yılındabulutortamındafuzzingyöntemikullanılarak
zafiyetaraşRrmalarıyapılmışRr.
• XensanallaşRrmaplawormundamediafuzzerkullanarakmedyaoynaRcıandroiduygulamalarıüzerindemutasyontabanlıfuzzingtestlerigerçekleş9rilmiş9r.
• 120KB’lık10,000adetavidosyasıadbkabuğuaracılığıylabulutortamınabağlanıptestlergerçekleş9rilmiş9r.
• Exploitedilebilir“heapleakage”zafiyetlertespitedilmiş9r.
![Page 18: [OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ömer Faruk Acar - Mobil Uygulamalar İçin Fuzz Testi ve Bug Avcılığı](https://reader030.pdfslide.net/reader030/viewer/2022031910/58732bfe1a28ab596c8b5c33/html5/page/18.jpg)
YapılanÇalışmalar
• FuzzingçalışmalarınıneşzamanlıolmasıiçindağıRkfuzzingyapısınıkullananbiraraşRrmada150sanalmakineüzerindemilyonlarcatestgerçekleş9rebilmiş9r.
(2013IEEESixthInterna9onalConferenceonCloudCompu9ng)
• Yüzbinlerceçakılma(crash)eldeederken,onlarcada
ciddigüvenlikaçığıtespitedilmiş9r.• AraşRrmasadecemasaüstüuygulamalardatestlerini
gerçekleş9rmiş9r.
![Page 19: [OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ömer Faruk Acar - Mobil Uygulamalar İçin Fuzz Testi ve Bug Avcılığı](https://reader030.pdfslide.net/reader030/viewer/2022031910/58732bfe1a28ab596c8b5c33/html5/page/19.jpg)
YapılanÇalışmalar
• BualandakiengüncelçalışmaiseAlexandruBlandatarazndanfuzztes9niAndroidüzerindekiMedyauygulamalarıüzerindegerçekleştrdiğiçalışma(linuxFounda9on2015)
• MFFA(MediaFuzzingFrameworkforAndroid)• 8habaiçerisinde1milyontestdenemesisonrası185,000çakılma(crash)tespitedilmiş9r.
![Page 20: [OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ömer Faruk Acar - Mobil Uygulamalar İçin Fuzz Testi ve Bug Avcılığı](https://reader030.pdfslide.net/reader030/viewer/2022031910/58732bfe1a28ab596c8b5c33/html5/page/20.jpg)
CaseStudy:AmericanFuzzyLop
20
• Noveldumbfuzzerby7MichaelZalewski• Combinessimplefuzzingtechniqueswith
targetinstrumenta9on• compile-9meinstrumenta9onandgene9c
algorithms• Fastfuzzingspeedagainstcommonreal-
worldtargets
![Page 21: [OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ömer Faruk Acar - Mobil Uygulamalar İçin Fuzz Testi ve Bug Avcılığı](https://reader030.pdfslide.net/reader030/viewer/2022031910/58732bfe1a28ab596c8b5c33/html5/page/21.jpg)
MobileFuzzingFrameworkProjeleri
21
• MBFuzzer• ADBFuzz• STAMP• MFFA-MediaFuzzingFrameworkfor
Android(Stagefrightfuzzer)• AndroidIntentFuzzer• SulleyFuzzer….
Mul9pleintegeroverflowsinStagefrightcode(libstagefrightSampleTable):CVE-2014-7915CVE-2014-7916CVE-2014-7917
AcrabedMPEG4mediafilecanresultinheapcorrup9oninlibstagefright,thatcanleadtoarbitrarycodeexecu9oninthemediaserverprocess:
CVE-2015-3832
![[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Hüseyin Aslanoğlu - QRishing Saldırıları ve Önlemleri](https://img.pdfslide.net/doc/110x75/58732be91a28ab596c8b5be5/owasp-tr-mobil-guevenlik-calistayi-2015-hueseyin-aslanoglu-qrishing.jpg)
![[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Fatih Emiral - Android Uygulamalara Malware Yerleştirme](https://img.pdfslide.net/doc/110x75/5882e8ae1a28ab33258b794b/owasp-tr-mobil-guevenlik-calistayi-2015-fatih-emiral-android-uygulamalara.jpg)
![[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Mehmet Sabır Kiraz & Osmanbey Uzunkol - Kriptografik Hesaplamaların Buluta Güvenli Tevdisi](https://img.pdfslide.net/doc/110x75/58732be91a28ab596c8b5bdf/owasp-tr-mobil-guevenlik-calistayi-2015-mehmet-sabir-kiraz-osmanbey.jpg)
![Page 22: [OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ömer Faruk Acar - Mobil Uygulamalar İçin Fuzz Testi ve Bug Avcılığı](https://reader030.pdfslide.net/reader030/viewer/2022031910/58732bfe1a28ab596c8b5c33/html5/page/22.jpg)
![[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Bahtiyar Bircan - PwnPhone: Cepteki Ninja](https://img.pdfslide.net/doc/110x75/58732be91a28ab596c8b5bdd/owasp-tr-mobil-guevenlik-calistayi-2015-bahtiyar-bircan-pwnphone-cepteki.jpg)
![[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Bakır Emre - Cebinizdeki Hırsız](https://img.pdfslide.net/doc/110x75/58732bd11a28ab596c8b5b8b/owasp-tr-mobil-guevenlik-calistayi-2015-bakir-emre-cebinizdeki-hirsiz.jpg)
![[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Oğuzhan Topgül - iOS'da Zararlı Yazılım Yok (mu?)](https://img.pdfslide.net/doc/110x75/58732be91a28ab596c8b5be3/owasp-tr-mobil-guevenlik-calistayi-2015-oguzhan-topguel-iosda.jpg)
![[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Yalçın Çakmak - Social Media Apps Forensics](https://img.pdfslide.net/doc/110x75/58732bfe1a28ab596c8b5c37/owasp-tr-mobil-guevenlik-calistayi-2015-yalcin-cakmak-social-media.jpg)
![[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ahmet Can Kan - Attacking Mobile Applications At Runtime](https://img.pdfslide.net/doc/110x75/58732bfe1a28ab596c8b5c35/owasp-tr-mobil-guevenlik-calistayi-2015-ahmet-can-kan-attacking-mobile.jpg)