Web Uygulama Sızma Testlerinde Kapsam Genişletme İşlemi İçin Metodoloji Geliştirilmesi ve Uygulanması

Mehmet Ali Yalçınkaya; Ecir Küçüksille

doi:10.19113/sdufenbed.661867

TR EN

Web Uygulama Sızma Testlerinde Kapsam Genişletme İşlemi İçin Metodoloji Geliştirilmesi ve Uygulanması

Öz

Günümüzde, farklı alanlarda hizmet veren tüm kurum ve kuruluşlar, hizmet verdikleri kitlelere daha hızlı ulaşabilmek ve daha etkili hizmet verebilmek adına web uygulamalarını etkin bir şekilde kullanmaktadır. Web uygulamalarının yaygın olarak kullanılması, bu uygulamalara yönelik saldırıların sayısında ve çeşidinde ciddi oranda artışa neden olmuştur. Gerçekleştirilen saldırılar sonrasında oluşan zararın ciddi boyutlara ulaşması nedeniyle, kurum ve kuruluşlar web uygulamalarını belirli periyotlarla sızma testlerine tabi tutmaktadırlar. Sızma testlerinde uzmanlar, web uygulamaları üzerinde çeşitli zafiyetlerin varlığını kontrol etmektedirler. Web uygulamaları üzerinde gerçekleştirilen sızma testlerinde uzmanlara çoğunlukla tek bir URL adresi verilmekte, bu URL adresinden yola çıkarak testlerini gerçekleştirmesi istenmektedir. Bu çalışmada; kullanıcı tercihlerine göre, farklı kaynaklar ve yöntemler kullanarak, test esnasında taranacak URL adreslerinin listesini oluşturan bir kapsam belirleme aracı geliştirilmiştir. Geliştirilen araç, web uygulama sızma testlerinde aktif olarak test kapsamı belirlemede kullanılan 6 farklı araç ile karşılaştırılmış, Httrack aracı ile birlikte en fazla sayıda URL adresini topladığı görülmüştür. Bunun yanında, sunduğu farklı modlarda kapsam tarama modülleri sayesinde, literatürde kullanılan zafiyet tarayıcıların birçoğundan daha modüler ve kapsamlı tarama imkânı sunmaktadır.

Anahtar Kelimeler

Development and Implementation Methodology for Extending Scope in Web Application Penetration Testing

Öz

Nowadays, all institutions and organizations serving in different fields use web applications effectively in order to reach the masses for serving faster and providing more effective services. The widespread use of web applications has led to a significant increase in the number and type of attacks on these applications. Due to the serious damage caused by the attacks, institutions and organizations subject their web applications to penetration tests periodically. In penetration tests, experts check the presence of various vulnerabilities on web applications. In penetration tests performed on web applications, experts are often given a single URL address and are asked to perform their tests based on this URL. In this study; A scoping tool has been developed that creates a list of URL addresses to be scanned during testing, using different sources and methods, according to user preferences. The developed tool was compared with 6 different tools used to determine the scope of the test actively in web application infiltration tests and it was seen that it collected the maximum number of URL addresses together with the Httrack tool. The developed tool presents a more modular and comprehensive scan facility than many of the vulnerability scanners used in the literature thanks to the scope scanning modules in different modes.

Anahtar Kelimeler

Kaynakça

[1] Andreu A. 2006, Professional Pen Testing For Web Applications. John Wiley and Sons, 9-10.
[2] Yalçınkaya, M. A. 2020. Yapay Zeka ve Dinamik Analiz Tabanlı Web Uygulama Zafiyet Tarayıcısı. Süleyman Demirel Üniversitesi, Fen Bilimleri Enstitüsü, Doktora Tezi, 196s, Isparta.
[3] Vieira, T., Serrão, C. 2016. Web security in the finance sector. 11th International Conference for Internet Technology and Secured Transactions (ICITST), 5-7 December, Barcelona, Spain.
[4] Akrout, R., Alata, E., Kaaniche, M., Nicomette, V. 2014. An automated black box approach for web vulnerability identification and attack scenario generation. Journal of the Brazilian Computer Society, 20(1), 4.
[5] Seng, L. K., Ithnin, N., Said, S. Z. M. 2018. The approaches to quantify web application security scanners quality: a review. International Journal of Advanced Computer Research, 8(38), 285-312.
[6] Idrissi, S. E., Berbiche, N., Guerouate, F., Shibi, M. 2017. Performance evaluation of web application security scanners for prevention and protection against vulnerabilities. International Journal of Applied Engineering Research, 12(21), 11068-11076.
[7] Esposito, D., Rennhard, M., Ruf, L., Wagner, A. 2018. Exploiting the potential of web application vulnerability scanning. The Thirteenth International Conference on Internet Monitoring and Protection, 22-26 July, Barcelona, Spain.
[8] Mantra, I. G. N., Alaydrus, M., Misni, H. M. 2016. The web security and vulnerability analysis model on Indonesia Higher Education institution. International Conference on Informatics and Computing, 28- 30 October, Mataram,Indonesia.

[9] Esposito, D., Rennhard, M., Ruf, L., Wagner, A. 2018. Exploiting the potential of web application vulnerability scanning. International Conference on Internet Monitoring and Protection, 22-26 July, Barcelona, Spain.
[10] Akrout, R., Alata, E., Kaaniche, M., Nicomette, V. 2014. An automated black box approach for web vulnerability identification and attack scenario generation. Journal of the Brazilian Computer Society, 20(1), 4.
[11] Mutai, H. 2019. Hybrid Multi-Agents System Vulnerability Scanner For Detecting SQL Injection Attacks In Web Applications. PhD Thesis. University of Nairobi, 73p, Nairobi.
[12] Mukhopadhyay, I., Goswami, S., Mandal, E. 2014. Web penetration testing using nessus and metasploit tool. IOSR Journal of Computer Engineering, 16(3), 126-129.
[13] Dessiatnikoff, A., Akrout, R., Alata, E., Kaâniche, M., Nicomette, V. 2011. A clustering approach for web vulnerabilities detection. Pacific Rim International Symposium on Dependable Computing, 12-14 December, California, USA.
[14] Munoz, F. R., Villalba, L. G. 2013. Methods to Test Web Applications Scanners. Conference on Information Technology. 11- 14 November, Islamabad, Pakistan.
[15] Rapid7, 2019. Metasploit Framework. https://www.metasploit.com/ (Erişim Tarihi: 11.11.2019).
[16] Roche, X. 2012. Httrack Website Copier. https://www.httrack.com/ (Erişim Tarihi: 10.11.2019)
[17] XeroSecurity, 2018. Black Widow. https://github.com/1N3/BlackWidow (Erişim Tarihi: 12.11.2019)
[18] Zalewski, M., Heinen, N., Roschke, S. 2011. Skipfish-Web Application Security Scanner. https://code.google.com/archive/p/skipfish/ (Erişim Tarihi: 13.11.2019)
[19] Surribas, N. 2006. Wapiti Web-Application Vulnerability Scanner. http://wapiti.sourceforge.net/ (Erişim Tarihi: 13.11.2019)
[20] Wascan, 2018. Web Application Vulnerability Scanner. https://github.com/m4ll0k/WAScan (Erişim Tarihi: 13.11.2019)
[21] Burlu, K. 2010. Bilişimin Karanlık Yüzü, Nirvana Yayınları, 479s, Ankara.
[22] Yalçınkaya, M. A. 2015. Gelişmiş Hedef Odaklı Siber Saldırılar, Süleyman Demirel Üniversitesi, Fen Bilimleri Enstitüsü, Yüksek Lisans Tezi, 186s, Isparta.
[23] Jimenez, R. E. L. 2016. Pentesting on Web Applications using Ethical Hacking. IEEE 36th Central American and Panama Convention, 9-11 November, San Jose, Costa Rica.
[24] Sarıman G. 2015. Yazılım Güvenliği Test Ve Değerlendirme Aracı Geliştirilmesi. Süleyman Demirel Üniversitesi, Fen Bilimleri Enstitüsü, Doktora Tezi, 141s, Isparta
[25] Doupé, A., Cavedon, L., Kruegel, C., Vigna, G. 2012. Enemy Of The State: A State-Aware Black-Box Web Vulnerability Scanner. 21st USENIX Security Symposium, 8-10 August, Bellevue, USA.
[26] Doupé, A., Cova, M., Vigna, G. 2010. Why Johnny Can’t Pentest: An Analysis Of Black-Box Web Vulnerability Scanners. International Conference on Detection of Intrusions and Malware, and Vulnerability Assessment. Berlin, Germany.
[27] Hudak, P. 2017. The Art of Subdomain Enumeration. https://blog.sweepatic.com/art-of-subdomain-enumeration/ (Erişim Tarihi: 20.10.2019)

Ayrıntılar

Birincil Dil

Türkçe

Konular

Mühendislik

Bölüm

Araştırma Makalesi

Yazarlar

Mehmet Ali Yalçınkaya ^*
0000-0002-7320-5643
Türkiye

Ecir Küçüksille
0000-0002-3293-9878
Türkiye

Yayımlanma Tarihi

20 Nisan 2021

Gönderilme Tarihi

19 Aralık 2019

Kabul Tarihi

8 Ekim 2020

Yayımlandığı Sayı

Yıl 2021 Cilt: 25 Sayı: 1

DOI

https://doi.org/10.19113/sdufenbed.661867

IZ

https://izlik.org/JA53MP97DD

Kaynak Göster

RIS / Bibtex

APA

Yalçınkaya, M. A., & Küçüksille, E. (2021). Web Uygulama Sızma Testlerinde Kapsam Genişletme İşlemi İçin Metodoloji Geliştirilmesi ve Uygulanması. Süleyman Demirel Üniversitesi Fen Bilimleri Enstitüsü Dergisi, 25(1), 16-27. https://doi.org/10.19113/sdufenbed.661867

AMA

1.Yalçınkaya MA, Küçüksille E. Web Uygulama Sızma Testlerinde Kapsam Genişletme İşlemi İçin Metodoloji Geliştirilmesi ve Uygulanması. Süleyman Demirel Üniv. Fen Bilim. Enst. Derg. 2021;25(1):16-27. doi:10.19113/sdufenbed.661867

Chicago

Yalçınkaya, Mehmet Ali, ve Ecir Küçüksille. 2021. “Web Uygulama Sızma Testlerinde Kapsam Genişletme İşlemi İçin Metodoloji Geliştirilmesi ve Uygulanması”. Süleyman Demirel Üniversitesi Fen Bilimleri Enstitüsü Dergisi 25 (1): 16-27. https://doi.org/10.19113/sdufenbed.661867.

EndNote

Yalçınkaya MA, Küçüksille E (01 Nisan 2021) Web Uygulama Sızma Testlerinde Kapsam Genişletme İşlemi İçin Metodoloji Geliştirilmesi ve Uygulanması. Süleyman Demirel Üniversitesi Fen Bilimleri Enstitüsü Dergisi 25 1 16–27.

IEEE

[1]M. A. Yalçınkaya ve E. Küçüksille, “Web Uygulama Sızma Testlerinde Kapsam Genişletme İşlemi İçin Metodoloji Geliştirilmesi ve Uygulanması”, Süleyman Demirel Üniv. Fen Bilim. Enst. Derg., c. 25, sy 1, ss. 16–27, Nis. 2021, doi: 10.19113/sdufenbed.661867.

ISNAD

Yalçınkaya, Mehmet Ali - Küçüksille, Ecir. “Web Uygulama Sızma Testlerinde Kapsam Genişletme İşlemi İçin Metodoloji Geliştirilmesi ve Uygulanması”. Süleyman Demirel Üniversitesi Fen Bilimleri Enstitüsü Dergisi 25/1 (01 Nisan 2021): 16-27. https://doi.org/10.19113/sdufenbed.661867.

JAMA

1.Yalçınkaya MA, Küçüksille E. Web Uygulama Sızma Testlerinde Kapsam Genişletme İşlemi İçin Metodoloji Geliştirilmesi ve Uygulanması. Süleyman Demirel Üniv. Fen Bilim. Enst. Derg. 2021;25:16–27.

MLA

Yalçınkaya, Mehmet Ali, ve Ecir Küçüksille. “Web Uygulama Sızma Testlerinde Kapsam Genişletme İşlemi İçin Metodoloji Geliştirilmesi ve Uygulanması”. Süleyman Demirel Üniversitesi Fen Bilimleri Enstitüsü Dergisi, c. 25, sy 1, Nisan 2021, ss. 16-27, doi:10.19113/sdufenbed.661867.

Vancouver

1.Mehmet Ali Yalçınkaya, Ecir Küçüksille. Web Uygulama Sızma Testlerinde Kapsam Genişletme İşlemi İçin Metodoloji Geliştirilmesi ve Uygulanması. Süleyman Demirel Üniv. Fen Bilim. Enst. Derg. 01 Nisan 2021;25(1):16-27. doi:10.19113/sdufenbed.661867

Cited By

Öğrencilerin Siber Güvenlik Farkındalık Düzeylerinin Makine Öğrenmesi Yöntemleri ile Belirlenmesi

Yüzüncü Yıl Üniversitesi Fen Bilimleri Enstitüsü Dergisi

https://doi.org/10.53433/yyufbed.1181694

Sızma Denemeleri: Ölçünler, Süreçler ve Kandırma Teknikleri Üzerine Bir İnceleme

Bilgisayar Bilimleri ve Mühendisliği Dergisi

https://doi.org/10.54525/bbmd.1652127