Web Site Güvenlik Testi
Web site güvenliği sitenin faaliyetinin devamı için önemli olduğu kadar SEO açısındanda önemli bir unsurdur. Bu nedenle web site güvenlik testi sızma testleri gibi siber güvenliğin sağlanmasında etkili bir yöntemdir. Günümüzde e-ticaret siteleri başta olmak üzere haber hatta blog sitelerinde dahi belirli aralıklarla web site güvenlik testi yapılmaktadır.
Kişisel verilerin güvenliğinin en üst seviyede olduğu dijital dünyada ziyaretçiler etkileşimde oldukları web sitesinin güvenliğinden emin olmak istemektedirler. Ayrıca site yöneticileri de site güvenliğinin tam olarak sağlanmasını istemektedirler. Bilişim alanında meydana gelen gelişmeler ile birlikte web site güvenlik açıkları da değişmektedir.
Web Site Güvenlik Açıkları
Web site güvenlik açıkları istismar edilebilme derecesine göre değişiklik göstermektedir. Meydana gelebilecek zararların türüne göre de birbirinden farklı açıklar mevcuttur. Sızma testleri sırasında karşılaşılan ve hackerlerin sık olarak kullanmış oldukları açıklıklar genel olarak aşağıdaki gibi sıralanmıştır.
SQL Enjeksiyonu
Daha çok web sitelerinin veri tabanlarına yönelik yapılan bir saldırı türüdür. Veri tabanında bulunan her türlü bilgiyi saldırgan SQL enjeksiyonu ile elde edebilmektedir. Bu verilerin arasında kişisel bilgiler ile birlikte parola ve kullanıcı bilgileri de yer almaktadır. Görüldüğü gibi gerekli önlemlerin alınmaması durumunda Cidde kayıplara neden olabilecek nitelikte bir saldırı türüdür. Bu nedenle web güvenlik testlerinde SQL enjeksiyonu üzerinde hassasiyetle durulmaktadır. Genel olarak aynı amaçla yapılan saldırı olsa da uygulama biçimleri gör önüne alınarak birbiriden farklı SQL enjeksiyonu uygulamaları bulunmaktadır. Bunlar arasında en sık rastlanan türler;
- Error Based
- In Band SQL
- Union Based
- Contentt Based
- Out Of Band
- Time Based Blind
Zayıf Şifreler
Zayıf şifreler birçok alanda olduğu gibi web siteleri güvenliğindede tehlike arz eden konuların başında gelmektedir. Web siteleri admin bilgileri veya server kullanıcı bilgileri konusunda yetersiz güvenlikli şifre veya parolalar oluşturulduğu takdirde kötü niyetli kişilerce her türlü veriye ulaşma imkanı bulunulmaktadır. Bu nedenle tüm siber güvenlik alanında olduğu gibi web sitesi güvenliği içinde şifre ve parola seçiminde dikkat edilmesi gerekmektedir. Hatta sürekli kullanılan şifrelerin belirli aralıklarla değiştirilerek güncellenmesinde fayda vardır.
Güncelleme Eksikliği
Web sitesinde kullanılan uygulamaların ve güvenlik politikalarının belirli aralıklarla güncellenmemesi nedeniyle web sitesi güvenlik açıklarının meydana gelebilmektedir. Bu nedenle özellikle güvenlik araçlarının güncellenmesi web sitesi güvenliği için önemlidir.
Web Site Güvenliğinin Önemi
Yapılan araştırmalara göre web sitelerine yapılan saldırılar son 2 yıl içerisinde %100 oranında artmış olduğu yönündedir. Web site güvenliğinin önemi bir çok alanda öne çıkmaktadır örneğin güvenli olmayan bir web sitesine kullanıcılar telkinli davranarak giriş yapmayı istememektedirler. Bu durum özellikle e-ticaret siteleri için oldukça önemli bir müşteri kaybına neden olmaktadır. Bunun dışında ise elbette ki tüm web site sahipleri arama motorlarında en üt sıralarda çıkmak istemektedirler. Ancak güvenliği tam olarak sağlanmamış bir web sitesinin SEO açısından da başarılı olması olanaksızdır. Bu nedenle web site güvenlik testi de penetrasyon testi ve sızma testi kadar önemli bir işlemdir.
Web Site Güvenlik Testi Nasıl Yapılır?
Yapılış amaçları, metotları ve web site güvenlik testi aşamaları dikkate alındığında bir çeşit sızma testi olduğunu söylemek yanlış olmayacaktır. Bu nedenle gerek mobil uygulama sızma testi gerekse; Yazılım sızma testi veya web uygulama sızma testi gibi web site güvenlik testinin de konusunda uzman kişilerce yapılması gerekmektedir. Ayrıca ileride detaylarını belirteceğimiz üzere özellikle e-ticaret sitelerine yönelik sızma testi uygulaması mutlaka TSE belgeli sızma testi uzmanınca yapılması gerekmektedir.
Web Site Güvenlik Testi Aşamaları
Her biri konusunda uzmanlık gerektiren web site güvenlik testi aşamaları bulunmaktadır. Bunlardan en önemlisi zafiyet taraması ve istismar aşamasıdır. Ancak ilk aşama olarak belirlenen planlama aşamasının teste uygun bir şekilde yapılmamasına bağlı olarak testin amacına uygun olduğundan söz etmek de mümkün değildir. Bu nedenle web site güvenlik testi aşamaları birbiri ile bağlantılı işlemlerdir.
Planlama
Birçok sızma testinde olduğu gibi web site güvenlik testinde de ilk aşama planlamadır. Bu aşamada sistemin yapısı incelenerek ileride uygulanacak olan işlemler hakkında planlama yapılmaktadır.
Keşif
Siber güvenliğin en önemli aşamalarından birisi keşiftir. Şöyle ki sistem hakkında yeterli bilgi sahibi olmadan detaylı bir sızma testinin yapılması mümkün değildir. Bu nedenle özellikle zafiyet taraması ve istismar aşamasına geçilmeden önce detaylı bir şekilde web sitesine yönelik keşif işlemi yapılması zorunludur.
Zafiyet Taraması
Zafiyet taraması yukarıdaki aşamalar sırasında sızma testi uzmanınca yapılan bir çeşit açıklık taramasıdır. Web site açıklıklarının tespit edilmesi oldukça önemlidir. Teknik bir kon olması nedeniyle tüm sızma testlerinde olduğu gibi zafiyet taraması da uzman kişilerce yapılmaktadır. Zafiyeti tam olarak tespit edilemeyen bir sızma testinin amacına hizmet ettiğini söylemek mümkün değildir.
İstismar
Yukarıda belirtmiş olduğumuz zafiyet taraması sonrasında tespit edilen web site açıklıklarının istismar edilmesi diğer bir ifade ile web sitesinin hacklenmesi veya web sitesine sızmanın gerçekleşmesi istismar aşaması olarak adlandırılmaktadır.
Raporlama ve Tekrar Testi
Yukarıda belirtmiş olduğumuz web site güvenlik testi aşamalarının tümünün eksiksiz ve başarılı şekilde gerçekleşmesi gereklidir. Daha sonra web sitesi hakkında ve tespit edilen açıklıklar ve uygulanan istismarlar hakkında site sahibine bilgi vermek amacıyla ve tespit edilen açıklıkların nasıl kapatılacağı ve nasıl bir önlem alınması gerektiğini belirtilen bir çeşit öneri niteliğindeki belgeler raporlama olarak adlandırılır.
Tekrar Testi
Tekrar testi daha önce yapılan web site sızma testi ile tespit edilen zafiyet ve açıklıkların sistem yetkilisi veya sızma testi uzmanınca giderilip giderilmediği yönünde yapılan ikinci bir test niteliğindedir. Şöyle ki tespit edilen zafiyet ve açıklıklar hakkında gerekli önlemlerin alınmaması durumunda sızma testinin yapılmasının bir anlamı bulunmamaktadır. Bu nedenle tekrar testi mutlaka yapılması gerekmektedir.
Web Site Güvenlik Testini Kimler Yapar?
Yukarıda da belirtildiği gibi web site güvenlik testleri de bir çeşit sızma testidir. Bu nedenle genellikle sızma testi uzmanlarında yapılmaktadır. Özellikle e-ticaret sitelerine yönelik yapılacak bir sızma testi TSE belgeli sızma testi uzmanınca yapılması gerekmektedir. Aksi halde web sitesi için güven damgası sertifikasına sahip olunması mümkün değildir.
Bir Web Sitesinin Güvenli Olup Olmadığını Nasıl Anlarız?
Bir web sitesinin güvenli olup olmadığının anlamak için kullanılan yöntemlerin başında güvenlik sembolleri gelmektedir. Hemen hemen her web tarayıcısı bu konuda bize bilgiler sunmaktadır. Adres kısmında bulunan güvenlik sembollerine göre web sitesinin güvenli olup olmadığını büyük ölçüde anlamak mümkündür.
Site Güvenliği Sorgulama
Bilgi teknolojileri kurumu tarafından bu gün bir çok siteye farklı nedenlerle erişim engeli getirilebilmektedir. Dolayısıyla bu sitelerin güvenirliğinden bahsetmek olanaksızdır. Sizlerde güvenliğinden şüphe duyduğunuz siteler için Bilgi Teknolojileri ve İletişim Kurumu aracılığı ile site güvenliği sorgulama işlemi yapmanız mümkündür.
Güvensiz Site Nasıl Anlaşılır?
Güvenli olmayan siteler genellikle başka amaçlar doğrultusunda hazırlanmaktadır. Bunların başında dolandırıcılık, kişisel verilerin ele geçirilmesi ve içerik bakımından zararlı sitelerdir. Yukarıda Bir Web Sitesinin Güvenli Olup Olmadığını Nasıl Anlarız? Başlığında belirttiğimiz şekilde veya site güvenliği sorgulama biçiminde güvensiz sitelerin anlaşılması mümkündür.
Alışveriş Sitesinin Güvenli Olduğu Nasıl Anlaşılır?
Alışveriş sitesinin güvenli olduğunun anlaşılması genellikle “güven damgası sertifikası” ile anlaşılmaktadır. Güven damgası alınması konusunda Türkiye Odalar ve Borsalar Birliği bu konuda oldukça sıkı politikalar geliştirmiştir. Gerekli şartların sağlanmaması halinde alışveriş siteleri için güven damgası sertifikası sağlanmamaktadır. Özellikle bu sertifikayı alma şartları arasında web site güvenlik testi zorunlu bir uygulamadır.
Author Profile
Latest entries
- Genel9 Eylül 2024Siber Güvenlik Alanında Kariyer Önerileri
- Genel2 Eylül 2024Trojan Virüsü Nasıl Temizlenir
- Güvenli İnternet26 Ağustos 2024Bilgi Güvenliği Uzmanı Nedir, Ne İş Yapar?
- Siber Güvenlik19 Ağustos 2024Siber Güvenlik Uzmanı Nedir?