Web Uygulama Sızma Testlerinde Kapsam Genişletme İşlemi İçin Metodoloji Geliştirilmesi ve Uygulanması

Abstract

Günümüzde, farklı alanlarda hizmet veren tüm kurum ve kuruluşlar, hizmet verdikleri kitlelere daha hızlı ulaşabilmek ve daha etkili hizmet verebilmek adına web uygulamalarını etkin bir şekilde kullanmaktadır. Web uygulamalarının yaygın olarak kullanılması, bu uygulamalara yönelik saldırıların sayısında ve çeşidinde ciddi oranda artışa neden olmuştur. Gerçekleştirilen saldırılar sonrasında oluşan zararın ciddi boyutlara ulaşması nedeniyle, kurum ve kuruluşlar web uygulamalarını belirli periyotlarla sızma testlerine tabi tutmaktadırlar. Sızma testlerinde uzmanlar, web uygulamaları üzerinde çeşitli zafiyetlerin varlığını kontrol etmektedirler. Web uygulamaları üzerinde gerçekleştirilen sızma testlerinde uzmanlara çoğunlukla tek bir URL adresi verilmekte, bu URL adresinden yola çıkarak testlerini gerçekleştirmesi istenmektedir. Bu çalışmada; kullanıcı tercihlerine göre, farklı kaynaklar ve yöntemler kullanarak, test esnasında taranacak URL adreslerinin listesini oluşturan bir kapsam belirleme aracı geliştirilmiştir. Geliştirilen araç, web uygulama sızma testlerinde aktif olarak test kapsamı belirlemede kullanılan 6 farklı araç ile karşılaştırılmış, Httrack aracı ile birlikte en fazla sayıda URL adresini topladığı görülmüştür. Bunun yanında, sunduğu farklı modlarda kapsam tarama modülleri sayesinde, literatürde kullanılan zafiyet tarayıcıların birçoğundan daha modüler ve kapsamlı tarama imkânı sunmaktadır.

Keywords

• Web Uygulama Güvenliği
• Sızma Testleri
• Siber Güvenlik
• Bilgi Güvenliği

Development and Implementation Methodology for Extending Scope in Web Application Penetration Testing

Abstract

Nowadays, all institutions and organizations serving in different fields use web applications effectively in order to reach the masses for serving faster and providing more effective services. The widespread use of web applications has led to a significant increase in the number and type of attacks on these applications. Due to the serious damage caused by the attacks, institutions and organizations subject their web applications to penetration tests periodically. In penetration tests, experts check the presence of various vulnerabilities on web applications. In penetration tests performed on web applications, experts are often given a single URL address and are asked to perform their tests based on this URL. In this study; A scoping tool has been developed that creates a list of URL addresses to be scanned during testing, using different sources and methods, according to user preferences. The developed tool was compared with 6 different tools used to determine the scope of the test actively in web application infiltration tests and it was seen that it collected the maximum number of URL addresses together with the Httrack tool. The developed tool presents a more modular and comprehensive scan facility than many of the vulnerability scanners used in the literature thanks to the scope scanning modules in different modes.

Keywords

• Web application security
• Penetration tests
• Cyber security
• Information security

References

1. [1] Andreu A. 2006, Professional Pen Testing For Web Applications. John Wiley and Sons, 9-10.
2. [2] Yalçınkaya, M. A. 2020. Yapay Zeka ve Dinamik Analiz Tabanlı Web Uygulama Zafiyet Tarayıcısı. Süleyman Demirel Üniversitesi, Fen Bilimleri Enstitüsü, Doktora Tezi, 196s, Isparta.
3. [3] Vieira, T., Serrão, C. 2016. Web security in the finance sector. 11th International Conference for Internet Technology and Secured Transactions (ICITST), 5-7 December, Barcelona, Spain.
4. [4] Akrout, R., Alata, E., Kaaniche, M., Nicomette, V. 2014. An automated black box approach for web vulnerability identification and attack scenario generation. Journal of the Brazilian Computer Society, 20(1), 4.
5. [5] Seng, L. K., Ithnin, N., Said, S. Z. M. 2018. The approaches to quantify web application security scanners quality: a review. International Journal of Advanced Computer Research, 8(38), 285-312.
6. [6] Idrissi, S. E., Berbiche, N., Guerouate, F., Shibi, M. 2017. Performance evaluation of web application security scanners for prevention and protection against vulnerabilities. International Journal of Applied Engineering Research, 12(21), 11068-11076.
7. [7] Esposito, D., Rennhard, M., Ruf, L., Wagner, A. 2018. Exploiting the potential of web application vulnerability scanning. The Thirteenth International Conference on Internet Monitoring and Protection, 22-26 July, Barcelona, Spain.
8. [8] Mantra, I. G. N., Alaydrus, M., Misni, H. M. 2016. The web security and vulnerability analysis model on Indonesia Higher Education institution. International Conference on Informatics and Computing, 28- 30 October, Mataram,Indonesia.

9. [9] Esposito, D., Rennhard, M., Ruf, L., Wagner, A. 2018. Exploiting the potential of web application vulnerability scanning. International Conference on Internet Monitoring and Protection, 22-26 July, Barcelona, Spain.
10. [10] Akrout, R., Alata, E., Kaaniche, M., Nicomette, V. 2014. An automated black box approach for web vulnerability identification and attack scenario generation. Journal of the Brazilian Computer Society, 20(1), 4.
11. [11] Mutai, H. 2019. Hybrid Multi-Agents System Vulnerability Scanner For Detecting SQL Injection Attacks In Web Applications. PhD Thesis. University of Nairobi, 73p, Nairobi.
12. [12] Mukhopadhyay, I., Goswami, S., Mandal, E. 2014. Web penetration testing using nessus and metasploit tool. IOSR Journal of Computer Engineering, 16(3), 126-129.
13. [13] Dessiatnikoff, A., Akrout, R., Alata, E., Kaâniche, M., Nicomette, V. 2011. A clustering approach for web vulnerabilities detection. Pacific Rim International Symposium on Dependable Computing, 12-14 December, California, USA.
14. [14] Munoz, F. R., Villalba, L. G. 2013. Methods to Test Web Applications Scanners. Conference on Information Technology. 11- 14 November, Islamabad, Pakistan.
15. [15] Rapid7, 2019. Metasploit Framework. https://www.metasploit.com/ (Erişim Tarihi: 11.11.2019).
16. [16] Roche, X. 2012. Httrack Website Copier. https://www.httrack.com/ (Erişim Tarihi: 10.11.2019)
17. [17] XeroSecurity, 2018. Black Widow. https://github.com/1N3/BlackWidow (Erişim Tarihi: 12.11.2019)
18. [18] Zalewski, M., Heinen, N., Roschke, S. 2011. Skipfish-Web Application Security Scanner. https://code.google.com/archive/p/skipfish/ (Erişim Tarihi: 13.11.2019)
19. [19] Surribas, N. 2006. Wapiti Web-Application Vulnerability Scanner. http://wapiti.sourceforge.net/ (Erişim Tarihi: 13.11.2019)
20. [20] Wascan, 2018. Web Application Vulnerability Scanner. https://github.com/m4ll0k/WAScan (Erişim Tarihi: 13.11.2019)
21. [21] Burlu, K. 2010. Bilişimin Karanlık Yüzü, Nirvana Yayınları, 479s, Ankara.
22. [22] Yalçınkaya, M. A. 2015. Gelişmiş Hedef Odaklı Siber Saldırılar, Süleyman Demirel Üniversitesi, Fen Bilimleri Enstitüsü, Yüksek Lisans Tezi, 186s, Isparta.
23. [23] Jimenez, R. E. L. 2016. Pentesting on Web Applications using Ethical Hacking. IEEE 36th Central American and Panama Convention, 9-11 November, San Jose, Costa Rica.
24. [24] Sarıman G. 2015. Yazılım Güvenliği Test Ve Değerlendirme Aracı Geliştirilmesi. Süleyman Demirel Üniversitesi, Fen Bilimleri Enstitüsü, Doktora Tezi, 141s, Isparta
25. [25] Doupé, A., Cavedon, L., Kruegel, C., Vigna, G. 2012. Enemy Of The State: A State-Aware Black-Box Web Vulnerability Scanner. 21st USENIX Security Symposium, 8-10 August, Bellevue, USA.
26. [26] Doupé, A., Cova, M., Vigna, G. 2010. Why Johnny Can’t Pentest: An Analysis Of Black-Box Web Vulnerability Scanners. International Conference on Detection of Intrusions and Malware, and Vulnerability Assessment. Berlin, Germany.
27. [27] Hudak, P. 2017. The Art of Subdomain Enumeration. https://blog.sweepatic.com/art-of-subdomain-enumeration/ (Erişim Tarihi: 20.10.2019)