Web Uygulama Pentest Süreci

Web uygulama (penetrasyon testi) süreci, web uygulamalarının güvenliğini test etmek için kullanılan bir yöntemdir. Bu süreç, bir web uygulamasının güvenliği açısından zayıf noktaları belirlemek ve bunları istismar ederek potansiyel saldırılara karşı koruma sağlamak amacıyla gerçekleştirilir.

Web Uygulama Sızma Testi

Web uygulama sızma testi, bir web uygulamasının güvenlik açıklarını tespit etmek için yapılan bir testtir. Aşağıdaki adımlar, bir web uygulaması için sızma testi yapmak genel bir yöntemdir:

  • Bilgi Toplama: Hedef web uygulaması hakkında mümkün olduğunca fazla bilgi toplamak önemlidir. Web uygulaması hakkında açık kaynak araçlarını (OSINT) kullanarak, uygulama sahibi tarafından yayınlanan herhangi bir bilgiyi, uygulamanın kullanıldığı yazılım dilleri, sunucu konfigürasyonu, kullanıcı sayısı ve hedef kitle gibi ayrıntıları tespit edebilirsiniz.
  • Zafiyet Tarama: Bu aşamada, hedef web uygulamasında yaygın olarak bilinen zafiyetleri taramak için otomatik araçlar kullanarak, sızma testi yapabilirsiniz. Araçlar, bilinen güvenlik açıklarını, hedef web uygulamasında taramak için kullanılabilir.
  • Manuel Sızma Testi: Bu aşamada, web uygulamasını manuel olarak test ederek güvenlik açıkları tespit edilir. Bu aşama, web uygulamasının arayüzünü, veritabanı yapısını, işlevselliğini ve güvenlik önlemlerini test eder. Bu aşama için, güvenlik uzmanları genellikle Burp Suite, OWASP ZAP veya Nessus gibi araçlar kullanabilirler.
  • Raporlama: Bu aşamada, tespit edilen güvenlik açıkları rapor edilir. Güvenlik uzmanları, hedef web uygulaması sahibine bir rapor sunarak, açıkların nerede olduğu, neden ortaya çıktığı ve ne kadar ciddi olduğu hakkında bilgi verirler. Ayrıca, raporda, bu açıkların nasıl düzeltilebileceği de belirtilir.
  • Yeniden Test: Bu aşamada, web uygulamasındaki tespit edilen güvenlik açıklarının düzeltildiğini doğrulamak için yeniden test yapılır. Bu adım, uygulama sahibinin açıkları düzelttiğinden emin olmak için gereklidir.
Web Uygulama Pentest

Web Uygulama Pentest Standartları

Web uygulama sızma testi için belirli standartlar aşağıda bilginize sunulmuştur. Bu standartların yanı sıra, birçok sızma testi firması ve güvenlik uzmanı, kendi sızma testi metodolojilerini oluşturmuştur. Ancak, OWASP ve PTES, en çok kabul gören sızma testi standartlarıdır.

  • OWASP: Açık Web Uygulama Güvenliği Projesi (OWASP), dünya genelinde web uygulama güvenliği için açık kaynaklı bir topluluktur. OWASP, web uygulama sızma testi için bir kılavuz olan “OWASP Testing Guide” yayınlamıştır. Bu kılavuz, web uygulama güvenliği testleri için en kapsamlı kılavuzlardan biridir.
  • PTES: Penetration Testing Execution Standard (PTES), bir sızma testi standardıdır. Bu standart, sızma testi sürecini sekiz adıma böler ve her adımın nasıl yapılacağını ve raporlama için neler gerektiğini açıklar.
  • NIST: Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), ABD’de federal bilgi güvenliği standardı oluşturma ve teşvik etme görevi olan bir kuruluştur. NIST, web uygulama sızma testi için “NIST SP 800-115” adlı bir el kitabı yayınlamıştır.
  • ISO/IEC 27001: Bilgi güvenliği yönetim sistemi için bir standard olan ISO/IEC 27001, web uygulama sızma testi için de gereksinimler belirler. Bu standard, sızma testi yapmak için gereken politikaların, prosedürlerin ve kontrollerin oluşturulmasını ve uygulanmasını gerektirir.

Yapılan Saldırılar

Web uygulama penetrasyon testi sırasında aşağıdaki saldırılar uygulanır.

  • SQL Enjeksiyon Saldırıları: Bu saldırı türü, web uygulamasının veritabanı ile iletişim kurarken SQL kodları aracılığıyla kötü amaçlı kullanıcıların uygulamaya erişmesini sağlar. Bu saldırı türü, uygulamanın güvenlik açıklarını sömürmek için kullanılır.
  • Cross-site Scripting (XSS) Saldırıları: Bu saldırı türü, kötü amaçlı kullanıcıların web uygulamasına gömülmüş kodlar aracılığıyla kullanıcıların tarayıcılarına kötü amaçlı kodlar enjekte etmesini sağlar. Bu kodlar, kullanıcıların bilgilerini çalmak veya uygulamanın işlevselliğini bozmak için kullanılabilir
  • Cross-site Request Forgery (CSRF) Saldırıları: Bu saldırı türü, kötü amaçlı kullanıcıların kullanıcının tarayıcısını kullanarak web uygulamasına belirli istekleri göndermesini sağlar. Bu istekler, kullanıcının bilgilerini veya uygulamanın işlevselliğini bozmak için kullanılabilir.
  • DoS (Denial of Service) Saldırıları: Bu saldırı türü, bir web uygulamasının normal işlevselliğini bozmak için yoğun bir şekilde trafik gönderir. Bu saldırı türü, uygulamanın erişilebilirliğini engelleyebilir veya performansını düşürebilir.
  • File Inclusion Saldırıları: Bu saldırı türü, kötü amaçlı kullanıcıların web uygulamasında belirli dosyaları (örneğin konfigürasyon dosyaları veya veritabanı dosyaları) dahil etmesini sağlar. Bu dosyalar, kullanıcının bilgilerini çalmak veya uygulamanın işlevselliğini bozmak için kullanılabilir.
  • Command Injection Saldırıları: Bu saldırı türü, web uygulamasının, bir komut çalıştırmak için kullanıcı tarafından sağlanan verileri işlemesiyle kötü amaçlı kullanıcıların uygulamaya erişmesini sağlar. Bu saldırı türü, uygulamanın erişim kontrolünü atlamak ve sistemi ele geçirmek için kullanılabilir.
  • Directory Traversal Saldırıları: Bu saldırı türü, kötü amaçlı kullanıcıların web uygulamasında belirli dosyalara erişmek için dizinlerde gezinmesini sağlar. Bu saldırı türü, uygulamanın hassas dosyalarına erişmek için kullanılabilir.

Kaynak: https://www.resmigazete.gov.tr/eskiler/2022/08/20220812.pdf

Web Uygulama Sızma Testi

Günümüzde web uygulamaları, işletmelerin dijital dünyada var olmaları için önemli bir araç haline gelmiştir. Web uygulamaları, kullanıcıların ihtiyaçlarını karşılamak için tasarlanır ve işletmelerin müşterilerine hizmet vermesine olanak tanır. Ancak, web uygulamalarının doğru şekilde test edilmediği durumlarda, hatalar ve güvenlik açıkları ortaya çıkabilir. Bu nedenle, web uygulamalarının test edilmesi, işletmelerin hizmet kalitesini arttırmak ve müşterilerin güvenini kazanmak için kritik bir adımdır.

 

Web uygulama testi, uygulamaların doğru bir şekilde çalıştığını, hataların tespit edildiğini ve güvenliği sağlandığını kontrol etmek için kullanılan bir süreçtir. Web uygulama testinin amacı, uygulamanın herhangi bir hata veya güvenlik açığı olmadan doğru şekilde çalışmasını sağlamaktır. Bu süreç, kullanıcıların uygulama ile etkileşimini simüle etmek, farklı kullanım senaryolarını test etmek ve hataların tespit edilmesini sağlamak için bir dizi test senaryosunu içerir.

Web uygulama testinin birkaç farklı türü vardır. Bunlar arasında yük testi, güvenlik testi, performans testi ve uyumluluk testi yer almaktadır. Yük testi, uygulamanın kullanıcı taleplerine yanıt vermek için yeterli kapasiteye sahip olup olmadığını test etmek için kullanılır. Güvenlik testi, uygulamanın güvenliğini test etmek için kullanılır ve saldırıların ve güvenlik açıklarının tespit edilmesine yardımcı olur. Performans testi, uygulamanın belirli koşullar altında ne kadar hızlı çalışabileceğini test etmek için kullanılır. Uyumluluk testi ise uygulamanın farklı tarayıcılarda ve cihazlarda doğru şekilde çalışıp çalışmadığını kontrol etmek için kullanılır.

Web uygulama testi sırasında birçok farklı araç kullanılabilir. Bu araçlar arasında otomatik test araçları, manuel test araçları, kod analiz araçları ve yük testi araçları yer alır. Otomatik test araçları, uygulamanın farklı senaryolarını otomatik olarak çalıştırarak hataların tespit edilmesine yardımcı olur. Manuel test araçları ise, kullanıcıların uygulama ile etkileşimini simüle etmek için kullanılır.

Dünya çapında tanınan siber güvenlik sertifikalarına sahibiz.

Uluslararası OSSTMM , OWASP ve PTES metodolojilerini temel alan uygulama ve altyapı testleri için özel bir metodoloji kullanarak penetrasyon testleri sağlıyoruz .
İletişime Geç!

Kulak Verin

Siber Saldırı Riskinin Boyutunu Daha İyi Anlamak İçin Nesil Teknoloji Tic. A.Ş. sizi siber dünyadaki risklerin boyutları hakkında detaylı bilgilendiriyor.
Ulusal kanallarda yayınlanan röportajlarımızı izleyerek bize kulak verin ve daha fazlasını öğrenin
İletişime Geç!