Merhaba Yaptığınız çalışmanız, emeğiniz için teşekkürler ellerinize sağlık. Bir kaç eleştiride bulunmak istiyorum.
Yayınladığınız dökümanın içeriği ve anlatılanların e-commerce'den ziyade direk Application/System Security ile alakalı olduğunu görmekteyim. Çünkü bir çok güvenlik açığı tanımlanmış ve ne olduğu anlatılmış durumda. Oysaki konu e-commerce olduğu zaman bir çok şey farklılık göstermekte. Bu nedenle, Türkiye'nin yada dünyanın en popüler e-commerce siteleri üzerinde herhangi bir analiz yapılmadan hazırlanan bir döküman olduğunu düşünmekteyim. Mesela "e-commerce security" üzerinde bir paper hazırlanırsa, bu paper'da SSL'den bahsedilmesi yanlıştır. Çünkü HTTPS hizmet vermeyen ve 100.000'den fazla kullanıcı olan bir e-commerce firması ben bilmiyorum. OWASP Attacks diye genel bir tanımlama yapıp zafiyetleri açıklamak yerine, zafiyet türlerinin e-commerce sistemlerinde ki karşılığı ve hangi case'lerde impact'in ne dengeli değişildiğinden bahsedilmesi gerekirdi. Yani "XSS budur türleri budur" gibi anlatımların başlığı e-commerce security olan bir çalışma için yetersiz. Örneğin "CSRF zafiyetleri genel olarak Orta veya Yüksek öncelikli zafiyetlerdir. Ama konu 500.000 kullanıcısı olan bir e-commerce sistem ise bu durumda CSRF Kritik bir zafiyettir. Çünkü sadece kullanıcı adresinin değiştirilmesine imkan tanıyan bir CSRF zafiyetinin exploit edilmesi ile Tedarik Zincirinin ne kadar zarar uğrayabileceği aşikardır." gibi çıkarımlar olmalıydı. Bu durumda dökümanınızda sıraladığınız OWASP listesinin 1. numarasında Injection değil CSRF ve XSS olmalı. Yani e-commerce için tehlikeli zafiyetler sıralamasının Injection ile değil XSS/CSRF ile başlaması gerekir. Çünkü analiz ettiğinizde Türkiye'de top 10 e-commerce firmasında 1 adet bile SQLi bulmak çok zordur. Ama top 10 firmadan 4 tanesinde tüm tedarik zincirini veya müşterilerin hesaplarını etkileyen CSRF zafiyeti mevcut(idi). Son olarak e-commerce firmalarında Türkiye'de Content Security Policy uygulayanı göremeyişimin arkasında ki sebeblerin ( advertisement sistemleri ) analizini okumayı isterdim. Bu konu üzerine yayınlamayı planladığınız başka paper'lar varsa bu noktalara dikkat çekmenizi öneririm. iyi çalışmalar 2014-06-05 18:16 GMT+03:00 gökhan çakıl <[email protected]>: > Merhaba arkadaşlar, > > Türkiye'de ilk olduğunu düşündüğüm, (araştırdım ulaşamadım başka bir > örneğine varsa lütfen iletin) E-Ticaret Güvenliği konusunda, hem teknik > olarak hem de güvenlik farkındalığı yaratması açısından (içerik olarak > e-ticaret uygulama güvenlik tehditleri, atak çeşitleri ve bu atakların > engellenmesi için neler yapılabileceği konularının işlendiği) önemli > bilgiler ve kaynaklar olduğuna inandığım tez çalışmamı aşağıdaki linkten > edinebilirsiniz.Umarım bilgilendirici ve faydalı bir çalışma olmuştur. > > > https://www.dropbox.com/s/2el2q1aree7cdeo/E-Commerce%20Security.pdf > > > -- Sr. Information Security Engineer
