Güvenli Uygulama Geliştirme Android. Bedirhan Urgun

Ebat: px

Şu sayfadan göstermeyi başlat:

Download "Güvenli Uygulama Geliştirme Android. Bedirhan Urgun"

Pembe Erçetin
10 yıl önce
İzleme sayısı:

1 Güvenli Uygulama Geliştirme Android Bedirhan Urgun

2 OWASP, OWASP Turkey, Yazılım güvenliği farkındalığı Projeler Yarışmalar İletişim Etkinlikler Uygulama Güvenliği Günü, 9 Haziran, Sultanahmet Android Developer Days, May

3 Yazılım Öncelikleri İşlevsellik / Functionality Performans Güvenlik Kod Kalitesi Kullanılabilirlik / GUI Android Developer Days, May

4 Primum non nocere Önce, zarar verme Android Developer Days, May

5 The Next Big Thing Convergence Startups Social Networking Business Mobility Web 2.0 Internet Enterpreneurs Android Developer Days, May

6 Neden Güvenli Geliştirmeliyim? Şan/Şöhret kaybı Para kaybı Zorlayan standardlar PCI, SOX, ISO-27001, HIPAA, v.b. Zorlayan kurumlar BDDK, BTK, v.b. Siyah şapka toplulukları Android Developer Days, May

7 Güvenli Android Geliştirme Hassas Veriler ve Intent Hassas Veriler ve LogCat Girdi Denetimi Güvenli Depolama Bağlantı Güvenliği Bileşenler Arası Yetkilendirme Android Developer Days, May

Bağlantı Güvenliği Bileşenler Arası Yetkilendirme

8 Hassas Veriler ve Intent Intent registrationintent = new Intent("com.google.android.c2dm.intent.REGISTER"); registrationintent.putextra("app", PendingIntent.getBroadcast(this, 0, new Intent(), 0)); registrationintent.putextra("sender","[email protected]"); startservice(registrationintent); Android Developer Days, May

getBroadcast(this, 0, new Intent(), 0)); registrationintent.

9 Hassas Veriler ve Intent Intent <intent-filter android:priority="999"> Android Developer Days, May

10 Hassas Veriler ve LogCat Android Developer Days, May

11 Girdi Denetimi Intent i = getintent(); String url = i.getstringextra("url"); // url whitelist kontrolünden geçirilmelidir. Android Developer Days, May

12 Bağlantı Güvenliği URL url = new URL(" HttpsURLConnection con = (HttpsURLConnection) url.openconnection(); readstream(con.getinputstream()); Android Developer Days, May

13 Güvenli Depolama try{ FileOutputStream fos = openfileoutput("puanlar", MODE_PRIVATE); OutputStreamWriter out = new OutputStreamWriter(fos); out.append("oyuncu1#80\n"); out.append("oyuncu2#34\n"); } catch(filenotfoundexception fnfe){... Android Developer Days, May

$new OutputStreamWriter(fos); out.append("oyuncu1#80\n"); out.$

14 Beni Hatırla getsharedpreferences("myprefsfile", MODE_PRIVATE).edit().putString("username", username).putstring("password", password).commit(); Android Developer Days, May

15 Beni Hatırla String token = login(username, password); getsharedpreferences("myprefsfile", MODE_PRIVATE).edit().putString("token", token).commit(); Android Developer Days, May

16 Android Yetki Yönetimi Android Developer Days, May

17 Gerçek Sahte Ayrımı gerçek kaynak gerçek hedef sahte hedef sahte kaynak Android Developer Days, May

18 Yetkilendirme Yapıları permission tanımı <permission android:name="org.webguvenligi.permission" /> permission isteği <uses-permission android:name="org.webguvenligi.permission" /> Android Developer Days, May

19 Yetkilendirme Yapıları - Devam permission zorunluluğu <receiver android:permission="org.webguvenligi.permission"> <activity android:permission="org.webguvenligi.permission"> <service android:permission="org.webguvenligi.permission"> <provider android:permission="org.webguvenligi.permission"> Android Developer Days, May

permission"> <activity permission"> <service permission"> <provider permission">

20 Yetkilendirme Yapıları - Devam permission zorunluluğu sendbroadcast(intent, "org.webguvenligi.permission") checkcallingpermission("org.webguvenligi.permission") PackageManager pm = context.getpackagemanager(); pm.checkpermission("org.webguvenligi.permission", pkgname); Android Developer Days, May

getpackagemanager(); pm.checkpermission("org.webguvenligi.

21 Yetkilendirme Senaryo 1 A yetkili midir? A B Android Developer Days, May

22 Yetkilendirme Senaryo 2 Sadece A yetkili midir? A B Android Developer Days, May

23 Yetkilendirme Senaryo 3 A gerçek midir? A B Android Developer Days, May

24 Yetkilendirme - İpucu 1 normal permission kontrolü 3 <uses-permission android:name="permission" A yetkili midir? A B 1 2 <permission android:name="permission" /> <receiver android:permission="permission" Android Developer Days, May

25 Yetkilendirme - İpucu 2 1 permission protectionlevel ipucu <permission android:name="permission" android:protectionlevel="signature" /> Sadece A yetkili midir? A B 2 <receiver android:permission="permission" Android Developer Days, May

26 Yetkilendirme - İpucu 3 hardcoded signature kontrolü A gerçek midir? A B packageinfo = pm.getpackageinfo(a_pkgname, PackageManager.GET_SIGNATURES); String A_SIGNATURE = " "; for (Signature signature : packageinfo.signatures) if (signature.tocharsstring().equals(a_signature)) { } Android Developer Days, May

27 Tehdit Modelleme - Push Notification Android Cihaz Uygulama Push Notification Sunucusu Kayıt Broadcast Push Notification Servisi Android Developer Days, May

28 Doğrulama Eğilimi n, 2n, 2n+2 Üçlü Doğru/Yanlış Emin Olma Yüzdesi % 7, 14, 16 Doğru % 60 5, 10, 12 Doğru % 80 8, 16, 18 Doğru % 100 Doğru Formül: a < b < c Android Developer Days, May

29 Yanlışlama Eğilimi n, 2n, 2n+2 Üçlü Doğru/Yanlış Emin Olma Yüzdesi % 7, 14, 16 Doğru % 60 6, 12, 13 Doğru % 0 Android Developer Days, May

30 Teşekkürler owasp turkey mailing list Android Developer Days, May

Benzer belgeler

Gu venli Android Uygulama Geliştirme İ puçları

Gu venli Android Uygulama Geliştirme İ puçları Lokasyon bazlı servisler, mobil sosyal ağlar, mobil bilgi arama, mobil ödeme (NFC), obje tanıma, mobil mesajlaşma ve e-posta, mobil video gibi trendler mobil