Android Geliştirici Günleri (Android Developer Days) yeni başlayanların, geliştiricilerin ve meraklıların bir araya geldiği, teknolojik gelişmelerin geliştiriciler açısından değerlendirildiği ve paylaşıldığı, bu isimle yapılan ilk organizasyondur.
OWASP-Türkiye olarak bu etkinlikte 22 Mayıs 15:30′da “Güvenli Android Uygulama Geliştirme” isimli bir sunum gerçekleştireceğiz.
Not: Android Geliştirici Günleri, ODTÜ Kültür ve Kongre Merkezinde 21 / 22 Mayıs tarihlerinde gerçekleşecektir.
MaestroPanel ve OWASP Türkiye ile beraber hazırlanan bu CTF yarışmasında daha önceden sistemde oluşturulmuş zaafiyetleri bularak hedefe ulaşmanız gerekmektedir. Tabi ki belirlenen senaryo dışında “Zafere Giden Yolda Herşey Mübahtır” felsefesiyle hareket edip special hareketleride ayakta alkışlarız.
MaestroPanel Nedir?
Basitçe MaestroPanel yeni nesil bir Web Hosting Control Panel yazılımıdır. Web yayıncılığında kullanılan bileşenleri etkili bir biçimde yönetmenizi sağlayarak dağıtık sistemler üzerindeki denetiminizi arttırır. Yönetim arayüzü web uygulaması şekilnde tasarlanmıştır, daha fazla bilgiyi maestropanel.com üzerinden edinebilirsiniz.
Amaç:
Yarışmanın temel amacı MaestroPanel’e sızarak gerekli hakları elde edip herhangi bir isimde yeni bir site oluşturmaktır. Bu şekilde yanlış konfigure edilmiş veya basit bir yönetici hatası sonuçlarının neler olabileceğini göstermek amaçlanmıştır. Burada hedef zor kullanarak değil , zarif bir şekilde amaca ulaşmaktır.
İpucu:
Yarışma ile ilgili ipuçları gerek duyulduğunda @owasptr twitter hesabı üzerinden #owasptrctf hashtag’ı ile duyurulacaktır.
Senaryo:
Yarışma toplam üç adımdan oluşmaktadır ve gerçek hayata yakın şekilde tasarlanmıştır. Web sitesinin domain kullanıcısı haklarına sahip olarak başlanacak yarışmada MaestroPanel üzerinde ilk siteyi oluşturan ve oluşturduğu site ismini ve şifresini ctf@webguvenligi.org adresine atan yarışmayı kazanmış sayılacaktır.
Kurallar:
Tarihler:
Başlangıç : 4 Mayıs 2012, Cuma Saat: 18:00
Bitiş : 6 Mayıs 2012, Pazartesi Saat: 18:00
Hediyeler
Yarışmaya Başlamak İçin:
Ayrıntılar Cuma günü yarışma saatinde twitter/owasptr üzerinden açıklanacaktır.
İletişim:
ctf@webguvenligi.org
Eskişehir Osmangazi Üniversitesi Meşelik Kampüsü‘de gerçekleştirilecek olan Readmee İnternet Zirvesi 2012 etkinliğinde OWASP Türkiye olarak yer alacağız.
Etkinlik Programı
Web Güvenliği ve Korunma Yolları ( Seyfullah Kılıç)
Tarih: 7 Nisan 2012 (Cumartesi)
Saat: 14:00 : 14:45
Yer: Prof. Dr. Necla Özdemir Konferans Salonu
Etkinlik ile ilgili detaylı bilgilere etkinliğin aşağıdaki belirtilen linklerinden alabilirsiniz.
İnternet Sitesi:http://www.readmee.com/riz12/
Android platformu uygulamalarının güvenli geliştirilmelerine yönelik, kod örnekleri ile beraber, ipuçları dokümanına
Güvenli Android Uygulama Geliştirme İpuçları
linkinden ulaşabilirsiniz. Dokümanda değinilen konu başlıkları;
1. Intent’ler hassas veri transferinde kullanılmamalıdır
2. Hassas veriler LogCat ile kayıt işlemlerinde kullanılmamalıdır
3. Girdi denetimi
4. Bileşenler arası kimlik doğrulama ve yetkilendirme kontrolleri uygulanmalıdır
5. Hassas veriler güvenli bir şekilde depolanmalıdırlar
6. HTTP iletişim güvenliği HTTPS ile sağlanmalıdır
7. Broadcast verilerinin güvenilirliği sağlanmalıdır
İstanbul Bilgi Üniversitesi Dolapdere Kampüsün’de gerçekleştirilecek olan Özgür Yazılım ve Linux Günleri 2012 etkinliğinde OWASP Türkiye olarak yer alacağız.
Etkinlik Programı
Güvenli Kod Geliştirme (Bünyamin Demir)
Tarih: 31 Mart 2012
Saat: 10:00 - 10:45
Yer: 1. Salon (Sunum dökümanı)
OWASP Türkiye Chapter Meeting (Çalışma Toplantısı)
Tarih: 31 Mart 2012
Saat: 12:00 - 13:00
Yer: Toplantı Salonu (Sunum dökümanı)
Etkinlik ile ilgili detaylı bilgilere etkinliğin web sitesinden ulaşabilirsiniz.
11 Ocak itibari ile duyurmuş olduğumuz Web Güvenliği Kontrol Listesi 2012‘nin İngilizce versiyonu da yayına girmiştir.
Web Güvenliği Kontrol Listesi’nin 2013 çalışmalarına da şimdiden başlamış bulunmaktayız. Kontrol Listesi’nin yanı sıra, listenin efektif olarak kullanımını arttırmak amacıyla da gelişmiş özellikler barındıran bir raporlama uygulamasını da yayınlıyor olacağız.
Görüş ve önerileriniz bizim için değerlidir.
Güvenlik TV‘nin bu haftaki konuğu topluluğumuz adına Bünyamin Demir’di. Güvenlik TV ekibi ile OWASP’tan, OWASP-TR/Web güvenliği Topluluğundan ve uygulama güvenliğinden konuştuk.
Davetlerinden dolayı Güvenlik TV ekibine teşekkürlerimizi sunarız.
Güvenlik TV üzerinden ilgili habere ve videoya ulaşabilirsiniz.
Web Güvenliği Topluluğu ve OWASP Türkiye grubu olarak 2007 yılından itibaren gönüllülük esasına dayalı olarak web güvenliği ve ilintili alanlarda çalışmalar yapmaktayız. Bu bağlamda 2011 yılı içerisinde yaptığımız çalışmaları ve 2012 planlarımızı sizlerle paylaşmak istedik. Zira belki katılmayı düşünürsünüz :).
2011 yılı içerisinde;
- 3 adet CTF yarışması düzenledik. İlgili CTF’lerin çözüm bilgilerine ‘Belgeler’ kısmından erişebilirsiniz.
- 4 adet yeni makale yayınladık. Yine ilgili makalelere ‘Belgeler’ kısmından erişebilirsiniz.
- 3 adet yeni çeviri belgesi yayınladık. İlgili çevirilere ‘Çeviriler’ kısmından erişebilirsiniz.
- “Özgür Web Günleri” ile “Bilgi ve Bilişim Günü” etkinliklerinde OWASP Türkiye olarak yerimizi aldık.
- Chiasma projesi ve Davshan projesi / uygulamasını yayınladık.
- Dergi projesini sonlandırarak, dergi sayılarına yazılan yazıları WGT web sitesinde topladık.
- OWASP Türkiye mail listesi olarak 503 kişiye ulaştık. Dolayısıyla Dominik Cumhuriyetinin nufus artış hızını geçmiş bulunuyoruz :).
Bu çalışmalarımız sırasında desteklerini esirgemeyen OWASP Türkiye ekibine ve özverileri ile katkı sağlayan, bizler ile birlikte çalışma yapan üyelerimize/katılımcılarımıza çok teşekkür ederiz.
2012 yılına, 2010 yılında yayınladığımız ‘Web Uygulama Güvenliği Kontrol Listesi – 2010’un yeni ve ikinci versiyonunu yayınlayarak başladık. Hala İngilizce sürüm üzerinde çalışmalarımız devam ediyor.
Ek olarak ise 2012 yılı içerisinde;
- Mevcut projelere aktif katılım çağrısı yaparak, projeleri bir adım öteye götürmeye çalışacağız. Bu konuda yakın zamanda siz değerli takipçilerimiz ve mail listesi üyelerimizin de yardımını rica ediyor olacağız.
- Yeni CTF’ler düzenlemeye devam edeceğiz. Bol bol hediye vermek istiyoruz. Sponsorlar bulursak:).
- Yeni etkinlikler düzenleyecek ve çağrıldığımız etkinliklere katılmaya çalışacağız.
- Ve yine şu an planladığımız yeni projeleri de yine 2012 yılında gerçekleştiriyoruz olacağız.
Bu kapsamda 2011 yılını değerlendirmeye, 2012 yılında ise ufak bir yol haritası çizmeye çalıştık. Görüş, öneri ve eleştirileriniz için her zaman bizimle iletişime geçebilirsiniz.
Ayrıca fitre, zekat, sadaka ve kurban derilerinizi bize ulaştırmak için tıklayın.
2011 Yılı içerisinde tarafımıza yapılan bağışlara ait videoyu izleyebilirsiniz.
Web Uygulama Güvenliği Kontrol Listesi 2010’u, OWASP-Türkiye ve Web Güvenliği Topluluğu tarafından güvenli web uygulamalarında aktif olması gereken denetim adımlarını içeren bir dokümantasyon projesi olarak 30 Ağustos 2010 tarihinde yayınlamıştık.
Web Uygulama Güvenliği Kontrol Listesi 2012’de ise, ilk dokümana göre bir çok iyileştirme yapılmıştır. Bu yeni ikinci sürümde yapılan başlıca değişiklikler aşağıda listelenmiştir;
• Kategorilerde OWASP Testing Guide’ın kategorileri temel alınmıştır.
• Her kontrol maddesi ayrıca ASVS (OWASP Application Security Verification Standard) kategorileri ile de eşlenmiştir.
• Risk seviyesi ve de sorumlular kısmı revize edilmiştir.
• Excel dokümanında kontrollerin aktif olup olmadığına verilecek “Evet” / “Hayır” / “—” cevabına göre farklı risk seviyesindeki ve de toplamdaki güvenlik durumu grafiksel olarak gösterilmektedir. “—” seçeneği ilgili güvenlik kontrolünün denetlenen sistemin kapsamının dışında olduğunu gösterir ve grafiksel gösterimlerde değerlendirmeye alınmaz.
• Kontrol listesi, PDF belgesine ek olarak Excel formatında da sunulmuştur. Bu sayede proje esnasında güvenlik aktivitelerinin durumlarının bir araç yardımı ile takip edilebilmesine olanak sağlanmıştır.
Web Uygulama Güvenliği Kontrol Listesi 2012`nin hazırlanış aşamasında katkıda bulunanlara teşekkür ederiz.
İlgili dökümanın Excel versiyonu ve PDF versiyonu indirilebilir.
Linux Kullanıcıları Derneği ve Yeditepe Üniversitesi Bilgisayar Topluluğu tarafından ikinci kez düzenlenen ‘Özgür Web Günleri 2011′ etkinliği kapsamında OWASP Turkey olarak biz de varız !
Etkinliğe OWASP Turkey adına ekibimizden Bünyamin Demir arkadaşımız katılacak ve “Güvenli Kod Geliştirme ve Kaotik Yaşam Döngüsü” konulu bir sunum yapacaktır.
Tarih: 14 Ekim 2011 - Cuma
Saat: 15:00-15:45 (Sunum)
Yer: Salon 2
Etkinlik ile ilgili detaylara Özgür Web Günleri internet sitesinden ulaşabilirsiniz.
Ek: Sunuma buradan ulaşabilirsiniz