Merhaba, Eleştirinizi okuyan biri çalışmayı baştan aşağı yanlış yapmış algılayabilir gayet rahatlıkla.Bu tarz keskin ifadeleri kullanmak doğru değil.
Çalışma 6 kısım ve sadece 2. kısımı incelemişsiniz orada da 14 ayrı bölümden sadece owasp konusuna yoğunlaşmışsınız. (phishing -pharming-e-banking trojan-social engineering vesair var orada). cv nizi inceledim. SSL den bahsetmek yanlış söyleminize inanamadım. Bu e-commerce security için yapılan bir çalışmada ana konulardan biri. Ayrıca PCI-DSS gereksinimi. 100.000 altı kullanıcı olan yerlerde olabilir mi yani credential bilgisinin clear text gitmesi.Çalışmamın ilk sayfasında küçüklü büyüklü farketmeksizin devlet kurumlarının regülasyonu ve kontrolü gereklidir die giriş yapmışım. OWASP konusunda e-commerce security threats altındaki başlıkta benim atakları gruplama veya sıralama gibi bir niyetimin olmadığı gayet açık.Hepsi birebir e-commerce security atağı. Ben e-ticaret güvenliğini DDoS, unauthorized acceess, fraud vb. sınıflandırmadım ve etkilerini hemenaltına yazmadım ki. (maliyet, itibar kaybı, sosyal güvene ve e-ticaret hacmine etkilerini değişik kaynaklardan alıntılayarak da açıklamaya çalıştım. ) Yani her atak açıklamasından sonra bu itibar kaybıdır, para kaybıdır, güven kaybıdır deme kısmını ayrı başlıklar ile farklı kısımlarda inceledim. Hepsini okuyun anlarsınız demek istediğimi. Yazışmanın sonu olarak merak ettiğim bir konu var genel olarak sormak istediğim. sayfa 63-Encryption (Aşağıdaki konuda Türkiye deki durumun ne aşamada olduğu bilgisi olan varsa bilgilendirirse çok sevinirim.) the encryption standard should be a strong and validated format, such as one that complies with the National Institute for Standards and Technology (NIST), Federal Information Processing Standards (FIPS) Publication 140-2. Systems protecting all other assets should meet UL 1076 Section 64A1 line security standards. In Turkey in common there is no encryption standard especially for e-commerce including e-banking. BDDK (banking regulation and supervision of institutions) and TUBITAK (The Scientific and Technological Research Council of Turkey) should specify together a standard about the encryption especially for the e-commerce transactions. *Yaşadığım canlı olay:* Yazılımcıya soruyorum, encryption standardımız nedir. Standard yok 128 ve katları şeklinde ilerler biz encryption için çözüm sağlarız gerisini bilmeyiz. 6 Haziran 2014 19:22 tarihinde Mehmet Dursun Ince <[email protected]> yazdı: > Merhaba > > Yaptığınız çalışmanız, emeğiniz için teşekkürler ellerinize sağlık. Bir > kaç eleştiride bulunmak istiyorum. > > Yayınladığınız dökümanın içeriği ve anlatılanların e-commerce'den ziyade > direk Application/System Security ile alakalı olduğunu görmekteyim. Çünkü > bir çok güvenlik açığı tanımlanmış ve ne olduğu anlatılmış durumda. Oysaki > konu e-commerce olduğu zaman bir çok şey farklılık göstermekte. Bu nedenle, > Türkiye'nin yada dünyanın en popüler e-commerce siteleri üzerinde herhangi > bir analiz yapılmadan hazırlanan bir döküman olduğunu düşünmekteyim. > > Mesela "e-commerce security" üzerinde bir paper hazırlanırsa, bu paper'da > SSL'den bahsedilmesi yanlıştır. Çünkü HTTPS hizmet vermeyen ve 100.000'den > fazla kullanıcı olan bir e-commerce firması ben bilmiyorum. > > OWASP Attacks diye genel bir tanımlama yapıp zafiyetleri açıklamak yerine, > zafiyet türlerinin e-commerce sistemlerinde ki karşılığı ve hangi > case'lerde impact'in ne dengeli değişildiğinden bahsedilmesi gerekirdi. > Yani "XSS budur türleri budur" gibi anlatımların başlığı e-commerce > security olan bir çalışma için yetersiz. Örneğin "CSRF zafiyetleri genel > olarak Orta veya Yüksek öncelikli zafiyetlerdir. Ama konu 500.000 > kullanıcısı olan bir e-commerce sistem ise bu durumda CSRF Kritik bir > zafiyettir. Çünkü sadece kullanıcı adresinin değiştirilmesine imkan tanıyan > bir CSRF zafiyetinin exploit edilmesi ile Tedarik Zincirinin ne kadar zarar > uğrayabileceği aşikardır." gibi çıkarımlar olmalıydı. Bu durumda > dökümanınızda sıraladığınız OWASP listesinin 1. numarasında Injection değil > CSRF ve XSS olmalı. Yani e-commerce için tehlikeli zafiyetler sıralamasının > Injection ile değil XSS/CSRF ile başlaması gerekir. Çünkü analiz > ettiğinizde Türkiye'de top 10 e-commerce firmasında 1 adet bile SQLi bulmak > çok zordur. Ama top 10 firmadan 4 tanesinde tüm tedarik zincirini veya > müşterilerin hesaplarını etkileyen CSRF zafiyeti mevcut(idi). > > Son olarak e-commerce firmalarında Türkiye'de Content Security Policy > uygulayanı göremeyişimin arkasında ki sebeblerin ( advertisement sistemleri > ) analizini okumayı isterdim. > > Bu konu üzerine yayınlamayı planladığınız başka paper'lar varsa bu > noktalara dikkat çekmenizi öneririm. > > iyi çalışmalar > > > > > > 2014-06-05 18:16 GMT+03:00 gökhan çakıl <[email protected]>: > > Merhaba arkadaşlar, >> >> Türkiye'de ilk olduğunu düşündüğüm, (araştırdım ulaşamadım başka bir >> örneğine varsa lütfen iletin) E-Ticaret Güvenliği konusunda, hem teknik >> olarak hem de güvenlik farkındalığı yaratması açısından (içerik olarak >> e-ticaret uygulama güvenlik tehditleri, atak çeşitleri ve bu atakların >> engellenmesi için neler yapılabileceği konularının işlendiği) önemli >> bilgiler ve kaynaklar olduğuna inandığım tez çalışmamı aşağıdaki linkten >> edinebilirsiniz.Umarım bilgilendirici ve faydalı bir çalışma olmuştur. >> >> >> https://www.dropbox.com/s/2el2q1aree7cdeo/E-Commerce%20Security.pdf >> >> >> > > > -- > Sr. Information Security Engineer >
