Web Uygulama Sızma Testlerinde Kapsam Genişletme İşlemi İçin Metodoloji Geliştirilmesi ve Uygulanması

Authors : Mehmet Ali YALÇINKAYA, Ecir KÜÇÜKSİLLE

Pages : 16-27

Doi:10.19113/sdufenbed.661867

View : 22 | Download : 9

Publication Date : 2021-04-20

Article Type : Research Paper

Abstract :Günümüzde, farklı alanlarda hizmet veren tüm kurum ve kuruluşlar, hizmet verdikleri kitlelere daha hızlı ulaşabilmek ve daha etkili hizmet verebilmek adına web uygulamalarını etkin bir şekilde kullanmaktadır. Web uygulamalarının yaygın olarak kullanılması, bu uygulamalara yönelik saldırıların sayısında ve çeşidinde ciddi oranda artışa neden olmuştur. Gerçekleştirilen saldırılar sonrasında oluşan zararın ciddi boyutlara ulaşması nedeniyle, kurum ve kuruluşlar web uygulamalarını belirli periyotlarla sızma testlerine tabi tutmaktadırlar. Sızma testlerinde uzmanlar, web uygulamaları üzerinde çeşitli zafiyetlerin varlığını kontrol etmektedirler. Web uygulamaları üzerinde gerçekleştirilen sızma testlerinde uzmanlara çoğunlukla tek bir URL adresi verilmekte, bu URL adresinden yola çıkarak testlerini gerçekleştirmesi istenmektedir. Bu çalışmada; kullanıcı tercihlerine göre, farklı kaynaklar ve yöntemler kullanarak, test esnasında taranacak URL adreslerinin listesini oluşturan bir kapsam belirleme aracı geliştirilmiştir. Geliştirilen araç, web uygulama sızma testlerinde aktif olarak test kapsamı belirlemede kullanılan 6 farklı araç ile karşılaştırılmış, Httrack aracı ile birlikte en fazla sayıda URL adresini topladığı görülmüştür. Bunun yanında, sunduğu farklı modlarda kapsam tarama modülleri sayesinde, literatürde kullanılan zafiyet tarayıcıların birçoğundan daha modüler ve kapsamlı tarama imkânı sunmaktadır.
Keywords : Web Uygulama Güvenliği, Sızma Testleri, Siber Güvenlik, Bilgi Güvenliği