WEB SERVİSLERİNİN YAZILIM GÜVENLİK TESTLERİ İÇİN ÖNERİLEN HİBRİT YAKLAŞIM

Yıl 2016, Cilt: 8 Sayı: 2, 1 - 14, 01.06.2016

Güncel Sarıman Ecir Uğur Küçüksille

Öz

Teknolojik gelişmelerin toplumun her kesimine hitap etmesi, çeşitli ihtiyaçlarıda beraberinde getirmektedir. Günlük hayatı zorlaştıran birçok hizmet artık web ve mobil uygulamalar ile yapılabilirken yazılımların son yıllarda çeşitlenmesiyle farklı sistemler arasında veri transferleri de ihtiyaç haline gelmiştir. Farklı sistemlerdeki veritabanlarının birbirleriyle platform bağımsız bir şekilde haberleşebilmeleri için web servisleri kullanılmaktadır. Web servislerindeki güvenlik ve gizlilik web uygulamalarında olduğu gibi oldukça önemlidir. Kullanıcılar, hayati önem taşıyan işlemleri online sistemler üzerinde, verilen hizmetlere güvenerek işlemlerini gerçekleştirmektedir. Geliştirilen web servis uygulamalarında, güvenlik önlemlerinin yazılımın ilk süreçlerinden itibaren dikkate alınması, güvenlik risklerini azaltmaktadır. Web servis uygulamalarının tek bir test modeline göre değerlendirilmesiyle, muhtemel açıklıklar yeterince tespit edilememektedir. Bu çalışmada, web servislerinin güvenliğini test etmek için geliştirilen hibrit model açıklanmaktadır. Hibrit modelde güvenlik testleri sırasında kullanılan statik ve dinamik analizin yanında gözden geçirme yöntemi dahil edilerek, otomatize araçların bulamadığı açıklıklartespit edilmektedir. Bu sayede web servislerinin geliştirilmesi sırasında dikkat edilmesi gereken bölümler tespit edilebilmektedir. Çalışma kapsamında web servislerinde olması gereken kimlik denetimi ve uygulama dillerine bağlı olarak oluşabilecek güvenlik açıkları örnek kodlarla birlikte anlatılmaktadır. Son olarak geliştirilen model ile test web servisleri, açık kaynak yazılımlar ve gözden geçirme yöntemiyle test edilerek, önerilen modelin geçerliliği test edilmektedir.

Anahtar Kelimeler

Web Servisleri, Yazılım Güvenliği, Güvenlik Testleri, Statik Kod Analizi

A HYBRID APPROACH FOR SOFTWARE SECURITY TESTS OF WEB SERVICES

Öz

As nowadays technology appeals to all parts of the society, different needs have appeared. While web and mobile applications make daily life easier; data transfer among different systems has been a necessity with variety of web, mobile and desktop software. Web services are used for data transfer among databases of different systems and for platform independent communication. Security and privacy in web services, which connect different systems, are very important as they are in web applications. Users perform vital transactions online trusting the services. In web service applications, security risks are decreased with security precautions during the first phases of developing a software. If a software is evaluated by only one test model during security testing, potential security vulnerabilities cannot be detected adequately. In this research, a hybrid model was proposed for testing web service security. In this hybrid model, parts which need attention while developing a web service were detected with static, dynamic and code review methods during security testing. User authentication, which is a requirement in web services, and security vulnerabilities which may occur depending on programming languages were explained with sample codes. In the last section of this research, the benchmark web services were tested with the hybrid model by using open source software and the validity of the model was put forward with the results.

Anahtar Kelimeler

Web Services, Software Security, Security Test, Static Code Analysis

Kaynakça

• Alparslan, E. (2009). Güvenli Yazılım Geliştirme Modelleri. http://www.bilgiguvenligi.gov.tr/yazilim-guvenligi/guvenli-yazilim-gelistirme-modelleri.html (2013.08.10).
• Antunes, N., Vieira, M. (2009). Comparing the Effectiveness of Penetration Testing and Static Code Analysis on the Detection of SQL Injection Vulnerabilities in Web Services.15th
• IEEE Pacific Rim International Symposium on Dependable Computing, 16-18 Kasım,China, 306. Acar, Ö. F. (2012). Web Servisi Güvenliği. http://www.bilgiguvenligi.gov.tr/web- guvenligi/web-servisi-guvenligi.html (2015.10.21).
• Burak, E.(2009). Microsoft'un Güvenli Geliştirme Süreci (SDL). http://www.bilgiguvenligi.gov.tr/yazilim-guvenligi/microsoftun-guvenli-gelistirme-sureci- sdl.html (2015.10.15).
• Charfi, A., Mezini, M. (2005). Using aspects for security engineering of web service compositions In Web Services, 2005 IEEE International Conference, 11-15 Temmuz, 59-66.
• Demir, B.(2013). Yazılım Güvenliği Saldırı ve Savunma, Dikey Eksen Yayın Dağıtım, İstanbul,423s.
• Güven, Ö. A. (2015). Web Service (namı diğer SOAP) nedir, ne işe yarar?http://programciyiz.biz/web-service-soap-nedir-ne-ise-yarar/ (2015.10.19).
• Güvercin, E.(2015). SOAP ve REST Mimarilerine Genel Bakış. http://www.erenguvercin.com/2013/05/soap-ve-rest-mimarilerine-genel-baks.html (2015.12.12).
• Karayumak, F. (2013). Yazılım Güvenliği Programı. http://www.bilgiguvenligi.gov.tr/yazilim-guvenligi/yazilim-guvenligi-programi.html (2015.08.01).
• Masood, A., Java, J. (2015). Static Analysis for Web Service Security – Tools & Techniques for a Secure Development Life Cycle.Technologies for Homeland Security (HST), 14-16 Nisan, Waltham, 1-6.
• McGraw, G.(2006). Software Security: Building Security In. Addison Wesley Professional, USA, 448s.
• Michael, C, C. (2005). Risk-Based and Functional Security Testing. https://buildsecurityin.us- cert.gov/articles/best-practices/security-testing/risk-base-and-functional-security-testing (2015.09.16).
• Microsoft, (2015). Configuration Options for XML Web Services Created Using
• ASP.NET.https://msdn.microsoft.com/library/b2c0ew36(v=vs.100).aspx. (2015.12.10).
• Oftedal, E., Stock, A. 2015. REST Security Cheat Sheet. https://www.owasp.org/index.php/REST_Security_Cheat_Sheet#Authentication_and_session
• _management. (Erişim Tarihi: 05.08.2015).
• Privacy Rights ClearingHouse.(2005). Privacy Rights. http://www.privacyrights.org/ (2015.11.10).
• The Java Web Services Tutorial.(2015). Web Services Security Initiatives and Organizations. https://docs.oracle.com/cd/E17802_01/webservices/webservices/docs/2.0/tutorial/doc/Securit y-WebSvcs6.html. (2015.09.14).
• Yılmaz, O. (2010). Web Uygulama Güvenliğine Hibrid Yaklaşım. http://webguvenligi.org/dergi/WebUygulamaGuvenligineHibridYaklasim-Subat2010 OnurYilmaz.pdf. (2015.01.05).
• Yue, H., Tao, X.(2012). Web Services Security Problem in Service-oriented
• Architecture.International Conference on Applied Physics and Industrial Engineering, 4-6 Haziran, Londra, 1635-1641.
• Zheng, J., Williams, L., Nagappan, N., Snipes, W., Hudepohl, J.P., Vouk,M.A.(2006). On the Value of Static Analysis for Fault Detection in Software. IEEE Transactionson Software Engineering, 32(4), 240-253.