Geri Dön

Mobil sızma testleri için uygulama çatısı modelinin geliştirilmesi

Development of an application framework model for mobile penetration testing

PDF İndir

  1. Tez No: 819712
  2. Yazar: BERKECAN ÖZGÜR
  3. Danışmanlar: DOÇ. DR. İBRAHİM ALPER DOĞRU
  4. Tez Türü: Yüksek Lisans
  5. Konular: Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol, Computer Engineering and Computer Science and Control
  6. Anahtar Kelimeler: Belirtilmemiş.
  7. Yıl: 2023
  8. Dil: Türkçe
  9. Üniversite: Gazi Üniversitesi
  10. Enstitü: Fen Bilimleri Enstitüsü
  11. Ana Bilim Dalı: Bilgi Güvenliği Mühendisliği Ana Bilim Dalı
  12. Bilim Dalı: Belirtilmemiş.
  13. Sayfa Sayısı: 64

Özet

Mobil cihaz kullanımı, mobil alandaki teknolojinin gelişmelerle yaygınlaşmıştır. Mobil uygulamaların kullanımı giderek arttıkça, uygulamaları test etmek için etkili yöntemlere de ihtiyaç artmaktadır. Güvenlik analistleri, mobil uygulamaları analiz etmek için; statik analiz, dinamik analiz, ağ analizi ve sunucu tarafı analizler gibi analiz yöntemleri kullanmaktadır. Her analiz aracının güçlü ve zayıf olduğu yönleri vardır. Bazı araçlar statik veya dinamik analizi öncelikleyebiliyorken, bazıları statik ve ağ analizini öncelikleyebilmektedir. Mobil uygulama penetrasyon testleri sürecinde, güvenlik analistleri analiz sürecinin sağlıklı ve standartlara uygun bir şekilde ilerlemesi için belirli rehberler kullanırlar. Bu rehberler: OWASP Mobil Uygulama Güvenlik Doğrulama Standardı (MASVS), OWASP Mobil Güvenlik Test Rehberi (MSTG) ve OWASP Mobil Uygulama Güvenlik Kontrol Listesi'dir. Uygulama kapsamında, Java tabanlı sunucu uygulaması ve React tabanlı ön yüz uygulaması geliştirilmiştir. OWASP standartlarını otomatize hale getiren ve bunları bir çerçeve olarak sunan kompakt bir araç sunulmaktadır. Araç analistlere, analiz edilen mobil uygulamanın zayıflık puanını hesaplamak için bir zayıflık puanlama arayüzü ve mobil uygulamanın potansiyel olarak sahip olabileceği zayıflıkları gösteren bir zafiyet raporu sunulmaktadır. Analistlere, konfigüratif kurallar ile puanlamaya etki edebilecekleri bir yapı sunulmaktadır. Önerilen uygulama çatısı, uygulamalar üzerinde gerçekleştirilen testlerde, potansiyel veri sızıntısı tespit sayısında MOBSF aracı ortalama 111,75 sayıda tespit yaparken, önerilen uygulama çatısı 192,90 tespit yapmıştır. Veri sızıntısına sebep olabilecek başka bir öncül olan tespit edilen URL sayısında MAPTF (Mobile Application Penetration Test Framework) ortalama 109,06 sayıda bulgu tespit etmiş, MOBSF ortalama 21,56 sayıda bulgu tespit etmiş, Qark ortalama 114,84 sayıda bulgu tespit etmiştir. Zafiyete sahip uygulamaların karşılaştırılmasında VirusTotal aracı temel olarak alınmıştır. MOBSF ile yapılan karşılaştırmalarda, VirusTotal tarafından belirlenen zafiyetli uygulamalar her iki araçta zafiyet tespit puanlarına uygun tutarlılıkta sonuç verirken, zafiyete sahip olmayan 6 uygulamayı MOBSF zafiyete sahip olarak kategorize ederken, MAPTF aracı potansiyel zafiyet tespit etmemiştir.

Özet (Çeviri)

The use of mobile devices has become widespread with the advances in technology in the mobile space. As the use of mobile applications is increasing, the need for effective methods to test applications is also increasing. Security analysts use analysis methods such as static analysis, dynamic analysis, network analysis and server-side analysis to analyze mobile applications. Each analysis tool has its strengths and weaknesses. Some tools may prioritize static or dynamic analysis, while others may prioritize static and network analysis. In the process of mobile application penetration testing, security analysts use certain guidelines to ensure that the analysis process proceeds in a healthy and standardized manner. These guidelines are OWASP Mobile Application Security Verification Standard (MASVS), OWASP Mobile Security Testing Guide (MSTG) and OWASP Mobile Application Security Checklist. Within the scope of the application, a Java-based server application and a React-based front-end application were developed. A compact tool is presented that automates the OWASP standards and presents them as a framework. The study provides analysts with a vulnerability scoring interface to calculate the vulnerability score of the mobile application being analyzed and a vulnerability report showing the vulnerabilities that the mobile application could potentially have. Analysts are provided with a structure where they can influence the scoring with configurative rules. In the tests performed on the applications, the MOBSF tool detected an average of 111.75 potential data leaks, while the proposed application framework detected 192.90. In the number of detected URLs, which is another precursor to data leakage, MAPTF (Mobile Application Penetration Test Framework) detected 109.06 detections on average, MOBSF detected 21.56 detections on average, and Qark detected 114.84 detections on average. The VirusTotal tool was used as the basis for comparing vulnerable applications. In the comparisons made with MOBSF, the applications with vulnerabilities identified by VirusTotal gave results consistent with the vulnerability detection scores of both tools, while MOBSF categorized 6 applications without vulnerabilities as vulnerable, while the MAPTF tool did not detect potential vulnerabilities.

Benzer Tezler

  1. Tez No

    563935

    Popüler işletim sistemleri ve web uygulamalarında penetrasyon testlerinin değerlendirilmesi

    Evaluation of penetration tests in popular operating systems and web applications

    HANDE ÇAVŞİ

    Yüksek Lisans

    Türkçe

    Türkçe

    2019

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolKütahya Dumlupınar Üniversitesi

    Bilgisayar Mühendisliği Ana Bilim Dalı

    DR. ÖĞR. ÜYESİ DURMUŞ ÖZDEMİR

  2. Tez No

    350487

    Gezgin etmenler ve doğadan esinlenen sezgiseller kullanarak dağıtık bilgisayar güvenliğinin sağlanması

    Distributed computer security using mobile agents and nature inspired algorithms

    UĞUR AKYAZI

    Doktora

    Türkçe

    Türkçe

    2011

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrolİstanbul Teknik Üniversitesi

    Bilgisayar Mühendisliği Ana Bilim Dalı

    YRD. DOÇ. DR. A. ŞİMA ETANER UYAR

  3. Tez No

    292106

    Otonom mobil robotlarda dağılımlı kalman filtresi tabanlı eş zamanlı lokalizasyon ve haritalama

    Unscented kalman filter based simultaneous localizatoin and mapping in autonomous mobile robots

    KADİR PASLIOĞLU

    Yüksek Lisans

    Türkçe

    Türkçe

    2010

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrolİstanbul Teknik Üniversitesi

    Mekatronik Mühendisliği Ana Bilim Dalı

    PROF. DR. HAKAN TEMELTAŞ

  4. Tez No

    505159

    Teşhis ve tedavi amaçlı zeki robotik rehabilitasyon sistemi

    Intelligent robotic rehabilitation system for diagnosis and therapy

    MEHMET EMİN AKTAN

    Doktora

    Türkçe

    Türkçe

    2018

    Fizyoterapi ve RehabilitasyonYıldız Teknik Üniversitesi

    Mekatronik Mühendisliği Ana Bilim Dalı

    DOÇ. DR. ERHAN AKDOĞAN

  5. Tez No

    541190

    Hastanede yatan yaşlılarda sarkopeni sıklığı

    Frequency of sarcopenia in older inpatients

    ELİF BAYRAKTAR

    Tıpta Uzmanlık

    Türkçe

    Türkçe

    2019

    GeriatriSağlık Bilimleri Üniversitesi

    İç Hastalıkları Ana Bilim Dalı

    DOÇ. DR. DOĞAN NASIR BİNİCİ

    DR. ÖĞR. ÜYESİ PINAR TOSUN TAŞAR

Geri Dön