Hizmetler > KAYNAK KOD ANALİZİ

kaynak-kod-analizleri

KAYNAK KOD ANALİZİ

Kaynak Kod Analizi 2 Kısımda Yapılmaktadır. 1. Kısım Kaynak Kod Üzerinden Yapılan Zafiyet Testleri. 2. Kısım Paketlenmis EXE,DLL v.b Dosyalar Üzerinden Yapılan Kod Analizlerini İçermektedir.

Kaynak kod analizi yapılırken dinamik yapıdaki yazılımlar kullanıyor ise Vigasis haftalık yada aylık destekler de vermektedir. Bilindiği gibi bir çok yazılım projesinde iş planında belirlenen yazılım çizelgesinde çeşitli değişikliklere gidilmesi mümkündür. Bu tip durumlarda Vigasis olarak yazılımcılar ile senkron bir şekilde çalışarak istenilen platformdaki uygulamalara analiz desteği verilmektedir. Kurumsal firmalarla çalıştığımız projelerde kaynak kod üzerinde dikkat edilmesi gereken hususlarla ile sistematik eğitimler vermekteyiz. Eğer bu durum için tahsis edilecek bir ekip bulunmuyor ise yapılan çalışmalar düzenli bir şekilde işlenmektedir. Kaynak kod analizleri konusunda en önemli husus dinamik yazılımın gerçek zamanlı analizler ile test edilmesidir.

Kaynak Kod Üzerinden Gerceklestirilen Analizler

Kaynak Kod Üzerinden Gerceklestirilen Testlerde Kurum Web Aplikasyonları , CRM , ERP , SAP Kodlarını Paketlenmemis Haliyle Gerekli Gizlilik Sözlesmeleri Yapıldıktan Sonra Vigasis Ekibine Teslim Ederek Gerceklestirilen Testlerdir.

Web Aplikasyonlar Üzerinde;

  • Sql Injection
  • CSRF / XSS
  • LFI / RFI
  • SSI

Tesleri Gerceklestirerek Detaylı Raporlar Sunulmaktadır. Yine Kurumun Kullanmakta Olduğu Kendine Özel Geliştirilmis Olan Yazılımlar Üzerinde Yukarıda Sıralanmıs Olan ;

  • Buffer Overflow ( Hafıza Tasırma )
  • Seh Based Overflow
  • Unicode Based Overflow
  • Integer Based Overflow
  • Use After Free Testleri
  • Dll Hijacking Testleri

Detaylı Olarak Gerceklestirilerek Kuruma Raporları Sunulmaktadır.

Kapalı Kod (Executable File) Üzerinden Gerceklestirilen Analizler

Yine Açık Kaynak Kod Üzerinden Gerceklestirilen Testler Kapalı (Paketlenmis Dosyalar EXE,DLL) Kaynak Kod Yazılımlar Üzerinde Aynen Yapılmaktadır.

Buffer Overflow Testleri : Bu Testlerde EXE Dosyasına Dışarıdan Alınan Imputlar ve Import Datalar Üzerinde Manipülasyonlar Yapılarak EXE Dosyasının Exploitable Olup Olmadıgı Test Edilmektedir.

Seh Based Overflow Testleri : Bu Testlerde Uygulama İçerisinde Hata Mesajlarının Tetiklendiği Fonksiyonlar Üzerinde Hafıza Taşırma Testleri Uygulanmaktadır. 

Unicode Based Overflow: Bu Testlerde Uygulama Üzerindeki Inputlarda Unicode Teknikleri Uygulanarak Exploit Edilebilirliği Test Edilmektedir.

Integer Based Overflow: Bu Testlerde Sadece Sayısal Veri Alan Inputlar Üzerinde Manipülasyonlar Gerceklestirilerek Exploitable Olup Olmadığı Test Edilmektedir.

Use After Free: Kullanılmayan Bir Objenin Dispose Edildikten Sonra Baska Bir Fonksiyon Üzerinden Tekrar Çağrılması Sonucu Ortaya Cıkan Güvenlik Zafiyetlerinin Yapılan Testlerini İçermektedir.

Dll Hijacking: Uygulama Üzerinde Yüklenen ve Çağırılan DLL Dosyaları Üzerinde Gerceklestirilen Exploitable Testlerini İçermektedir.

Yayınladığımız Bazı Güvenlik Zafiyetleri

http://packetstormsecurity.com/search/?q=akin+tosunlar

http://www.cvedetails.com/cve/CVE-2011-4715/

http://osvdb.org/77322

http://www.exploit-db.com/exploits/29926/

http://www.exploit-db.com/exploits/29791/

http://secunia.com/community/advisories/53601

http://www.securelist.com/en/advisories/53601

*NOT: Daha bir çok yayınlanmamış zafiyet tespitleri ekiplerimiz tarafından yapılmış olup detaylı bilgi için lütfen iletişime geçiniz.

Bilişim güvenliği hakkındaki detaylı bilgilere linkten ulaşabilir yada iletişim bölümümüzden destek alabilirsiniz.