BİLGİ GÜVENLİĞİ İÇİN TEST ARAÇLARI
Bildiğimiz üzere günümüz çağında teknoloji gelişti ve dolayısıyla hack faaliyetleri de arttı. Bunun için web sitenizi veya web uygulamalarınızı kötü amaçlı etkinliklerden kısacası kusursuz tutmanız önemlidir. Bunun için yapmanız gereken web uygulamalarınızdaki güvenlik sorunlarının kapsamını belirlemek ve ölçmek için bazı güvenlik test açlarını kullanmak gerekir. Güvenlik testinin temel işlevi;
Bir web uygulamasının gözlem altında işlevsel olarak test edilmesini sağlamak ve bilgisayar korsanlığına yol açabilecek mümkün olduğunca çok güvenlik sorununu bulmaktır.
Web sitesi ve uygulamalarını test etmek için kullanılan test araçlarından bazıları şunlardır:
1. ARACHNİ
Arachnı hem penetrasyon test kullanıcıları hem de yöneticiler için uygun olan araçtır. Kısacası arachnnı bir web uygulaması içindeki güvenlik sorunlarını tanımlamak için tasarlanmıştır.
Bu araç geçersiz yönlendirme, yerel ve uzak dosya eklenmesi, SQL enjeksiyonu, XSS enjeksiyonu, ve bir dizi güvenlik açığını açığa çıkarır.
2. GRABBER
Forumlar ve kişisel web siteleri de olmak üzere küçük web uygulamalarını taramak için tasarlanmıştır.
Grabber tarafından tespit edilen güvenlik açıkları:
Siteler arası komut dosyası oluşturma, yedekleme dosyaları doğrulaması, dosya ekleme, basit AJAX doğrulaması ve SQL enjeksiyonu.
3. IRONWASP
Iron wasp açık kaynaklı güçlü bir tarama aracı olan, 25 ten fazla web uygulaması açıgını ortaya çıkarabilen. Ayrıca yanlış pozitifi ve yanlış negatifleri tespit edebilen aşagıdakilerde olmak üzere çok çeşitli güvenlik açığını ortaya çıkarabilen test aracıdır.
Tespit edilen güvenlik açıkları:
Bozuk kimlik doğrulama, siteler arası komut dosyası yazma, CSRF ve gizli parametreler.
4. NOGOTOFAİL
Nogotofail google'dan bir ağ trafiği güvenlik test aracı olan Nogotofail, TLS / SSL güvenlik açıklarını ve yanlış yapılandırmaları tespit edebilen hafif bir uygulamadır.
Bu aracın maruz kaldığı güvenlik açıkları:
Mitm saldırıları, SSL sertifikası doğrulama sorunları, SSL enjeksiyonu, TLS enjeksiyonu. Bu aracın kullanımı kolay ve kolayca konuşlandırılır.
5. SONARQUBE
Güvenlik açıklarını açığa çıkarmasının yanı sıra bir web uygulamasının kaynak kodu kalitesini ölçmek için kullanılır. Bu araç java ile yazılmış olmasına rağmen 20 den fazla programlama dilinin analizi yapar. Kısacası bu araç tarafından bulunan sorunlar yeşil veya kırmızı ışıkta vurgulanır. Yani birincisi düşük riskli güvenlik açıklarını ve sorunlarını temsil ederken, ikincisi ciddi olanlara karşılık gelir.
maruz kaldığı güvenlik açıklarından bazıları:
Siteler arası komut dosyası yazma,Hizmet Reddi (DoS) saldırıları, HTTP yanıtı bölme, Bellek bozulması, SQL enjeksiyonu
Bildiğimiz üzere günümüz çağında teknoloji gelişti ve dolayısıyla hack faaliyetleri de arttı. Bunun için web sitenizi veya web uygulamalarınızı kötü amaçlı etkinliklerden kısacası kusursuz tutmanız önemlidir. Bunun için yapmanız gereken web uygulamalarınızdaki güvenlik sorunlarının kapsamını belirlemek ve ölçmek için bazı güvenlik test açlarını kullanmak gerekir. Güvenlik testinin temel işlevi;
Bir web uygulamasının gözlem altında işlevsel olarak test edilmesini sağlamak ve bilgisayar korsanlığına yol açabilecek mümkün olduğunca çok güvenlik sorununu bulmaktır.
Web sitesi ve uygulamalarını test etmek için kullanılan test araçlarından bazıları şunlardır:
1. ARACHNİ
Arachnı hem penetrasyon test kullanıcıları hem de yöneticiler için uygun olan araçtır. Kısacası arachnnı bir web uygulaması içindeki güvenlik sorunlarını tanımlamak için tasarlanmıştır.
Bu araç geçersiz yönlendirme, yerel ve uzak dosya eklenmesi, SQL enjeksiyonu, XSS enjeksiyonu, ve bir dizi güvenlik açığını açığa çıkarır.
2. GRABBER
Forumlar ve kişisel web siteleri de olmak üzere küçük web uygulamalarını taramak için tasarlanmıştır.
Grabber tarafından tespit edilen güvenlik açıkları:
Siteler arası komut dosyası oluşturma, yedekleme dosyaları doğrulaması, dosya ekleme, basit AJAX doğrulaması ve SQL enjeksiyonu.
3. IRONWASP
Iron wasp açık kaynaklı güçlü bir tarama aracı olan, 25 ten fazla web uygulaması açıgını ortaya çıkarabilen. Ayrıca yanlış pozitifi ve yanlış negatifleri tespit edebilen aşagıdakilerde olmak üzere çok çeşitli güvenlik açığını ortaya çıkarabilen test aracıdır.
Tespit edilen güvenlik açıkları:
Bozuk kimlik doğrulama, siteler arası komut dosyası yazma, CSRF ve gizli parametreler.
4. NOGOTOFAİL
Nogotofail google'dan bir ağ trafiği güvenlik test aracı olan Nogotofail, TLS / SSL güvenlik açıklarını ve yanlış yapılandırmaları tespit edebilen hafif bir uygulamadır.
Bu aracın maruz kaldığı güvenlik açıkları:
Mitm saldırıları, SSL sertifikası doğrulama sorunları, SSL enjeksiyonu, TLS enjeksiyonu. Bu aracın kullanımı kolay ve kolayca konuşlandırılır.
5. SONARQUBE
Güvenlik açıklarını açığa çıkarmasının yanı sıra bir web uygulamasının kaynak kodu kalitesini ölçmek için kullanılır. Bu araç java ile yazılmış olmasına rağmen 20 den fazla programlama dilinin analizi yapar. Kısacası bu araç tarafından bulunan sorunlar yeşil veya kırmızı ışıkta vurgulanır. Yani birincisi düşük riskli güvenlik açıklarını ve sorunlarını temsil ederken, ikincisi ciddi olanlara karşılık gelir.
maruz kaldığı güvenlik açıklarından bazıları:
Siteler arası komut dosyası yazma,Hizmet Reddi (DoS) saldırıları, HTTP yanıtı bölme, Bellek bozulması, SQL enjeksiyonu
Moderatör tarafında düzenlendi:
