|
Web Uygulaması Güvenlik Testleri
Web uygulamaları diğer ağ uygulamaları ile karşılaştırıldığı zaman karmaşık yapıları, kullanılabilecek uygulamaların çeşitliliği ve değişkenliği sebebi ile daha gelişmiş yöntemler kullanılarak değerlendirilmelidirler. Web uygulaması güvenlik testlerinde temel amaç, Internet/Intranet üzerindeki sıradan haklara sahip bir kullanıcı kimliği ile, web uygulaması ve onun kullandığı bileşenlerin açıklarından yararlanarak geniş yetkiler elde edilip edilemeyeceğini kontrol etmektir. Bu testte aşağıdaki adımlar takip edilmektedir.
1.Keşif Aşaması
Test edilen sunucuya ait erişim bilgilerinin tespit edilmesi, dns sorgulaması, web uygulamasının çalıştığı portların tespiti, sunucu ve uygulama sürümlerinin belirlenmesi ve web site haritasının çıkarılması gibi işlemler bu aşamada gerçekleştirilmektedir.
2.Statik Tarama Aşaması
Bu aşamada web sunucusu ve kullanılan uygulamalar bilinen açıklara karşı standart tarama araçları ile kontrol edilmekte, dizinler, uygulamalar belirlenmekte, konfigürasyon hataları, erişim hakları gözden geçirilmektedir.
3.Dinamik Tarama Aşaması
Web uygulamasının ve sunucunun tipine en uygun şekilde seçilmiş özel güvenlik araçları ile kontrol edilmesi işlemidir. Bu aşamada veri girdi ve çıktı denetimleri, komut enjeksiyonu ve XSS testleri vb yapılır, uygulamaya yönelik DoS, parametre, erişim, hata mesajları ve yetkilendirme kontrolleri ve diğer gelişmiş testler uygulanmaktadır.
4.Elle Kontrol Aşaması
Otomatik tarama sonrasında elde edilen sonuçların ve tespit edilen güvenlik açıklarının BizNET uzmanları tarafından sunucu üzerinde gerçekten var olup olmadığının tespit edilmesi aşamasıdır. Bu aşama hatalı sonuçların minimuma indirilmesi ve raporların en doğru sonuçları yansıtması açısından oldukça önemlidir. Bu aşamada varlığı tesbit edilen güvenlik açıkları zorlanır, sunucu ele geçirme, web sunucusunu kullanarak arka plandaki veritabanına erişim, diğer sisitemlere ve yerel ağa sızma gibi girişimler gerçekleştirilmektedir.
5- Raporlama
Elde edilen sonuçların doğru, anlaşılır biçimde ve teknik detaylar ile birlikte sunulmasıdır. Hazırlanan raporlar firmanın bulunduğu risk seviyesi, bu riskleri nasıl minimuma indireceği gibi yönetimi ilgilendiren bilgileri kapsayacağı gibi, bulunan açıkların ne olduğu, bu açık kullanılarak sistemler üzerinde neler yapılabileceği ve açıkların nasıl kapatılacağının anlatıldığı teknik detayları da içerecektir. Raporlar elektronik ve/veya basılı ortamda Türkçe veya İngilizce sunulacaktır.
6- Doğrulama Taraması
Önceki aşamalarda tespit edilen ve raporlanan güvenlik açıklarının kurum tarafından kapatılması sonrasında kalan eksiklerin kontrol edilmesi amacıyla gerçekleştirilen güvenlik taramasıdır. Bu tarama çalışmasında sadece ilk çalışmada tespit edilen güvenlik açıklarının halen sistem üzerinde var olup olmadığı kontrol edilmektedir.
|
Site haritası
E-posta gönder
