OzzTech - Web Uygulamalarında Zaafiyet Tespiti Ve Değerlendirmesi

Web Uygulamalarında Zaafiyet Tespiti Ve Değerlendirmesi

Güvenlik Açığı

Güvenlik açığı değerlendirmesi nedir?

Bu, bir bilgi sistemindeki tüm güvenlik açıklıklarının sistematik olarak gözden geçirilmesidir. Güvenlik açığı belirlemeyi, ölçmeyi ve önceliklendirmeyi içerir. Ardından yapılması gerekenler hakkında öneriler içeren bir rapor hazırlanır.

Güvenlik açığı değerlendirmesinin penetrasyon testinden farkı nedir?

Güvenlik açığı taramaları, sistemlerinizdeki bilinen güvenlik açıklarını arar ve olası tehditleri bildirir. Penetrasyon testleri, bilgi sisteminizin mimarisindeki zayıflıklardan yararlanmayı ve kötü niyetli bir saldırganın varlıklarınıza yetkisiz erişim elde etme derecesini belirlemeyi amaçlar. Bir güvenlik açığı taraması tipik olarak otomatiktir, sızma testi ise bir güvenlik uzmanı tarafından gerçekleştirilen manuel bir testtir.

Güvenlik Açığı Türleri

1- İnsan Güvenlik Açıkları: Bilgi eksikliği, sistemleri veya ağları bozabilir ve kötü niyetli aktörlere erişim sağlayabilir.

2- Ağ Güvenlik Açıkları: Yetersiz yapılandırılmış bir güvenlik duvarı ve güvenli olmayan Wi-Fi erişim noktalarını içerir.

3- Süreç Güvenlik Açıkları: Belirli süreç kontrollerinin zayıflığı veya birinin yokluğu, “bkz. zayıf parolalar” yoluyla ortaya çıkabilir.

4- İşletim Sistemi Güvenlik Açıkları: Bu güvenlik açıkları belirli bir işletim sisteminde bulunur ve kötü niyetli saldırganlar sistemden bilgilere zarar vermek veya bunlara erişmek için bunları kullanabilir.

Değerlendirme Araçları

Güvenlik açığı tarama araçları, birçok yolu kullanarak uygulamalardaki güvenlik açıklarının tespit edilmesini sağlar, bunlar arasında kodlama hatalarını analiz eden kod analizi güvenlik açığı araçları da bulunur. Bazı güvenlik açığı araçları, iyi bilinen rootkit'leri, arka kapıları ve truva atlarını da bulabilir.

Aşağıda, güvenlik açığı değerlendirmesi için kullanılabilecek araçlardan bazıları verilmiştir:

1- Nikto: 6700'den fazla potansiyel olarak tehlikeli dosya/program, 1250'den fazla sunucunun güncel olmayan sürümleri için kontroller ve 270'den fazla sunucuda sürüme özel sorunlar dahil olmak üzere birden çok öğe için web sunucularına karşı kapsamlı testler gerçekleştiren bir Açık Kaynak (GPL) web sunucusu tarayıcısıdır. Ayrıca birden çok dizin dosyasının varlığı, HTTP sunucusu seçenekleri gibi sunucu yapılandırma öğelerini kontrol eder ve kurulu web sunucularını ve yazılımları tanımlamaya çalışır. Tarama öğeleri ve eklentiler sık ​​sık güncellenir ve otomatik olarak güncellenebilir.

2- Netsparker: Yüzlerce ve binlerce web uygulaması ve web hizmetindeki güvenlik açıklarını birkaç saat içinde kolayca ölçeklendirebilen ve otomatik olarak bulabilen, kullanımı kolay ve gelişmiş bir web güvenlik çözümüdür. Ayrıca güvenli SDLC'nize kolayca entegre edilebilir.

3- OpenVAS: Tam özellikli bir güvenlik açığı tarayıcısıdır. Yetenekleri arasında kimliği doğrulanmamış testler, kimliği doğrulanmış testler, çeşitli yüksek ve düşük seviyeli İnternet ve endüstriyel protokoller, büyük ölçekli taramalar için performans ayarı ve her türlü güvenlik açığı testini uygulamak için güçlü bir dahili programlama dili bulunur.

4- W3AF: Bu, geliştiricilerin ve sızma testi uzmanlarının, web uygulamalarındaki güvenlik açıklarını belirlemelerine ve bunlardan yararlanmalarına yardımcı olan açık kaynaklı bir web uygulaması güvenlik tarayıcısıdır.

5- Acunetix: SQL İnjection, uzaktan komut ve dosyası çalıştırma, diğer açıklardan yararlanarak zincirleme saldırılar gibi güvenlik açıklarını kontrol ederek web uygulamalarınızı denetleyen otomatik bir web uygulaması güvenlik test aracıdır. Genel olarak Acunetix, bir web tarayıcısı aracılığıyla erişilebilen ve HTTP/HTTPS protokolünü kullanan herhangi bir web sitesini veya web uygulamasını tarar.

6- Nmap: Ağ keşfi ve güvenlik denetimi için ücretsiz ve açık kaynaklı bir araçtır. Birçok sistem ve ağ yöneticisi, ağ envanteri, hizmet güncelleme programlarını yönetme veya hizmet çalışma süresini izleme gibi görevler için de yararlı bulur. Nmap, ağda hangi bilgisayarların mevcut olduğunu, bu bilgisayarların hangi hizmetleri sunduğunu, hangi işletim sistemlerini çalıştırdıklarını, ne tür paket filtrelerinin/güvenlik duvarlarının kullanıldığını ve düzinelerce başka özelliği belirlemek için ham IP paketlerini kullanır. Büyük ağları hızla taramak için tasarlanmıştır.

7- Nessus: Bir bilgisayarı tarayan ve kötü niyetli bilgisayar korsanlarının bir ağa bağladığınız herhangi bir bilgisayara erişmek için kullanabileceği herhangi bir güvenlik açığı keşfederse uyarı veren bir uzaktan güvenlik tarama aracıdır. Belirli bir bilgisayarda 1200'den fazla kontrol çalıştırarak, bu saldırılardan herhangi birinin bilgisayara girmek veya bilgisayara zarar vermek için kullanılıp kullanılamayacağını test eder.

Değerlendirme adımları

1- Planlama: Varlıklarınızı tanımlayın ve ağınızın parçası olan cihazları bilin. Riskleri ve kritik değere sahip cihazlarını tespit edin. Cihazların herkes tarafından erişilebilir olup olmadığını veya yalnızca yetkili kullanıcılar ve yöneticilerle sınırlı olup olmadığını analiz edin.

2- Tarama: Ardından, sistemi veya ağı manuel olarak veya otomatik araçlar aracılığıyla aktif olarak tarayın ve güvenlik kusurlarını ve zayıflıklarını belirlemek ve false positive olanları filtrelemek için testler yapın. Özellikle ilk değerlendirmede, bulunan güvenlik açıklarının sayısı çok fazla olabilir ki bu da üçüncü adımın devreye girdiği yerdir.

3- Analiz: Ardından, güvenlik açıklarının nedenlerine, potansiyel etkilerine ve önerilen iyileştirme yöntemlerine ilişkin net bir fikir sağlayan daha ayrıntılı bir analiz yapılır. Daha sonra her güvenlik açığını, risk altındaki verilere, zafiyetin ciddiyetine ve etkilenen sistemin ihlalinin neden olabileceği hasara göre sıralanır veya derecelendirilir. Buradaki fikir, tehdidi ölçmek, her bir kusurun arkasındaki aciliyet veya risk düzeyi ve potansiyel etkisi hakkında net bir fikir vermektir.

4- İyileştirme: Son olarak, tespit edilen zafiyetli uygulamaların veya servislerin güncellemesi yapılmalıdır. Üçüncü adımdaki sıralama, en acil kusurların ilk önce ele alınmasını sağlayarak bu sürece öncelik verilmesine yardımcı olacaktır. Ayrıca, bazı kusurların çok az etkisi olabileceğini ve düzeltme için gereken maliyete ve kesinti süresine değmeyebileceğini de belirtmekte fayda var.


İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.