WEB GÜVENLİK ZAFİYETLERİ TESPİT ARACI: NETSPARKER
WEB GÜVENLİK ZAFİYETLERİ TESPİT ARACI: NETSPARKER
Merhabalar. Bu yazımda web uygulamalarındaki güvenlik açıklarını tespit etmede kullanılan bir araç olan Netsparker hakkında bilgi vereceğim. Faydalı olması dileğiyle. Keyifli okumalar.
PENETRASYON TESTİ NEDİR?
Penetrasyon testi, kötü amaçlı yazılımları sisteme zarar vermeden önceden tespit edip olabilecek saldırılara karşı hazırlıklı olmamızı sağlayan saldırı simülasyonudur.
PENETRASYON TESTİ NEDEN ÖNEMLİDİR?
Şirketlerde bulunan kişisel verileri korumak, dışarıya bilgi sızmasını önlemek ve güvenlik becerilerini üst düzeyde tutabilmek için belirli periyotlarla penetrasyon testi yapılmalıdır.
Penetrasyon testi yaparken birçok araçtan (bu iş için üretilmiş yazılım) yararlanıyoruz. Örneğin; Metasploit, Wireshark, Nessus, Burpsuite, Netsparker vs.
Biz bugün Netsparker aracı üzerinde duracağız.
NETSPARKER NEDİR?
Netsparker, web uygulamalarındaki güvenlik açıklarını tespit edebilmek için kullanılan bir yazılımdır.
Netsparker webdeki güvenlik açıklıklarını bulmakla birlikte sisteme gelebilecek herhangi bir saldırı karşında ne kadar güvende olduğunu da tespit eder. Buna bağlı olarak gelebilecek saldırıların sisteme ne ölçüde zarar vereceğini tespit edip kurumun güvenlik politikasında bir iyileştirmeye gitmesini sağlayabilir. Böylelikle oluşacak hasarların önüne geçilir veya en aza indirilir.
Netsparker’in en önemli özelliklerinden biri de çok fazla sayıda web sitesini çok kısa sürede tarayabiliyor olmasıdır. Bu işlemi de netsparkercloud.com web sayfasından yapmaktadır. Bu siteden daha önce seçmiş olduğumuz web sitelerini eş zamanlı olarak tarayabiliyoruz.
Netsparker aracımız güvenlik açıklıklarını kontrol ederken bulduğu zafiyetleri kendi içinde önemlilik derecesine göre ayıklar.
Bunlar:
- Critical Kritik: En yüksek seviyede risk barındıran açıklar.
- High Kritik: Yüksek seviyede risk barındıran açıklar.
- Medium Kritik: Orta seviyede risk barındıran açıklar.
- Low Kritik: Düşük seviyede risk barındıran açıklar.
NETSPARKER KULLANMANIN FAYDALARI
Gün geçtikçe teknoloji ilerliyor ve bununla birlikte her geçen gün sistemlerimizdeki güvenlik açıkları artıyor. Bundan dolayı sürekli olarak sistemlerimizi kontrol altında tutmalı, gerekli önlemleri almalıyız. Bu noktada bize yardımcı olacak güvenlik otomasyonlarına ihtiyacımız bulunmaktadır.
Netsparker bizim için web uygulamalarımızı kontrol altında tutacağından, aynı anda birçok web uygulamasını kontrol edeceğinden zaman kazandıracak ve sistemimizdeki kaybolmuş, unutulmuş veya haydut departmanlar tarafından oluşturulmuş olan tüm açıklıkları önemlilik derecesine göre ayarlayacaktır. Ayrıca hangi güvenlik açıklarının gerçek bir tehdit olduğunu onaylayan yapısından dolayı yanlış pozitifleri kovalamakla uğraşmayacağımız için zamanımız boşa gitmeyecektir. Tüm bunları bizim için yapması bize hem zaman kazandıracak hem de harcayacağımız iş gücünü azaltacaktır.
Bir güvenlik açığı ne kadar uzun süre düzeltilmezse maliyeti o oranda artacaktır. Netsparker bize mevcut ortamlarda nasıl daha güvenli kod yazabiliriz bunu gösterecektir. Böylelikle güvenlik açıklarını önlememizde bize yardımcı olacaktır. Çünkü yönetilmesi en kolay açık ilk başta asla var olmayanlardır.
NETSPARKER KULLANIMI
Öncelikle araştırmak istediğimiz sitenin bağlantısını tarama yapma penceresine kopyalıyoruz.
Burada arayacağımız zafiyeti belirtmemiz lazım. Bu işlem için “Scan Policy” bölümünden aramak istediğimiz zafiyeti seçebiliriz.
Daha sonra eğer özel bir raporlama yapmak istiyorsak onu da “Report Policy” kısmından belirtiyoruz.
Yapmak istediğimiz taramayı özelleştirmek için bazı ayarlar yapabiliriz:
- Scope: Taramanın dışında tutmak istediğimiz kısmı belirttiğimiz alan.
- Find & Follow New Links: Bulunan bağlantıları ve onların alt dizinlerini varsayılan olarak aktif hale getirme.
- Enable Crawl & Attack at the Same Time: Hem dizin ve dosyaların keşfedilmesi hem de güvenlik açıkları denetimlerinin aynı anda yapılmasını aktif hale getirme.
- Authentication: Taramak istediğimiz web uygulamasında eğer kimlik doğrulama bilgisine sahipsek burada tanımlama yapıyoruz.
Belirtmek istediğimiz özel çerezler varsa “Custom Cookies” kısmından belirtiyoruz.
Tüm bu özelleştirmeleri yaptıktan sonra “Start Scan” tuşuna basarak aramayı başlatıyoruz.
Start Scan düğmesine bastıktan sonra açılan pencerede server optimizasyonu yapmak istiyorsak gerçekleştiriyoruz. Daha sonra devam tuşuna bastığımızda arama işlemimiz gerçekleştirilmiş olacaktır.