Günümüzde, farklı alanlarda hizmet veren tüm kurum ve kuruluşlar, hizmet verdikleri kitlelere daha hızlı ulaşabilmek ve daha etkili hizmet verebilmek adına web uygulamalarını etkin bir şekilde kullanmaktadır. Web uygulamalarının yaygın olarak kullanılması, bu uygulamalara yönelik saldırıların sayısında ve çeşidinde ciddi oranda artışa neden olmuştur. Gerçekleştirilen saldırılar sonrasında oluşan zararın ciddi boyutlara ulaşması nedeniyle, kurum ve kuruluşlar web uygulamalarını belirli periyotlarla sızma testlerine tabi tutmaktadırlar. Sızma testlerinde uzmanlar, web uygulamaları üzerinde çeşitli zafiyetlerin varlığını kontrol etmektedirler. Web uygulamaları üzerinde gerçekleştirilen sızma testlerinde uzmanlara çoğunlukla tek bir URL adresi verilmekte, bu URL adresinden yola çıkarak testlerini gerçekleştirmesi istenmektedir. Bu çalışmada; kullanıcı tercihlerine göre, farklı kaynaklar ve yöntemler kullanarak, test esnasında taranacak URL adreslerinin listesini oluşturan bir kapsam belirleme aracı geliştirilmiştir. Geliştirilen araç, web uygulama sızma testlerinde aktif olarak test kapsamı belirlemede kullanılan 6 farklı araç ile karşılaştırılmış, Httrack aracı ile birlikte en fazla sayıda URL adresini topladığı görülmüştür. Bunun yanında, sunduğu farklı modlarda kapsam tarama modülleri sayesinde, literatürde kullanılan zafiyet tarayıcıların birçoğundan daha modüler ve kapsamlı tarama imkânı sunmaktadır.
Web Uygulama Güvenliği Sızma Testleri Siber Güvenlik Bilgi Güvenliği
Nowadays, all institutions and organizations serving in different fields use web applications effectively in order to reach the masses for serving faster and providing more effective services. The widespread use of web applications has led to a significant increase in the number and type of attacks on these applications. Due to the serious damage caused by the attacks, institutions and organizations subject their web applications to penetration tests periodically. In penetration tests, experts check the presence of various vulnerabilities on web applications. In penetration tests performed on web applications, experts are often given a single URL address and are asked to perform their tests based on this URL. In this study; A scoping tool has been developed that creates a list of URL addresses to be scanned during testing, using different sources and methods, according to user preferences. The developed tool was compared with 6 different tools used to determine the scope of the test actively in web application infiltration tests and it was seen that it collected the maximum number of URL addresses together with the Httrack tool. The developed tool presents a more modular and comprehensive scan facility than many of the vulnerability scanners used in the literature thanks to the scope scanning modules in different modes.
Web application security Penetration tests Cyber security Information security
Birincil Dil | Türkçe |
---|---|
Konular | Mühendislik |
Bölüm | Makaleler |
Yazarlar | |
Yayımlanma Tarihi | 20 Nisan 2021 |
Yayımlandığı Sayı | Yıl 2021 |
e-ISSN :1308-6529
Linking ISSN (ISSN-L): 1300-7688
Dergide yayımlanan tüm makalelere ücretiz olarak erişilebilinir ve Creative Commons CC BY-NC Atıf-GayriTicari lisansı ile açık erişime sunulur. Tüm yazarlar ve diğer dergi kullanıcıları bu durumu kabul etmiş sayılırlar. CC BY-NC lisansı hakkında detaylı bilgiye erişmek için tıklayınız.