Bir Web Uygulamasının Güvenliğini Değerlendirmenin En Hızlı Yolu

WPSecAnalyzer, bir web sayfası veya web uygulamasının güvenliğini çok pratik ve hızlı olarak ölçmeyi sağlayan bir Google Chrome eklentisidir. Eklenti herhangi ek bir araca ya da hizmete gerek kalmadan 11 kritere göre bir web uygulamasının güvenlik değerlendirmesini yapıyor. Web uygulamalarını kendi çapınızda ücretsiz olarak taramak için birebir.

 

WPSecAnalyzer, OWASP Testing Guide v4 standardına göre ve 11 kriterde web uygulamaları ile web sayfalarını tarıyor. Tarama kriterleri şunlardan oluşuyor:

  1. Web sitesi HTTPS’yi uyguluyor mu?
  2. Sunucu, HTTP yöntemlerinden birini (TRACE, CONNECT, OPTIONS, DELETE, PUT) uyguluyor mu?
  3. Sunucuda gereksiz yere açık port var mı? (80 ve 443 dışındaki portlar)
  4. FTP (port 21) portu açık mı?
  5. Üç ve daha fazla port açık mı?
  6. Sunucu, HTTP yanıtında X-XSS-Protection alanını uygulamış mı?
  7. Sunucu, HTTP yanıtında X-Content-Type-Options: nosniff alanını uygulamış mı?
  8. Sunucu, HTTP yanıtında X-Frame-Options alanını uygulamış mı?
  9. Sunucu, HTTP yanıtında HttpOnly alanını uygulamış mı?
  10. Web sunucusu çerez değerlerini güvenli olarak işaretliyor mu; çerez değerlerini HTTPS yoluyla gönderiyor mu?
  11. Sunucuda robots.txt dosyası var mı?

 

Bir web uygulamasının güvenliğini ölçerken

WPSecAnalyzer – bir web uygulamasının güvenliğini ölçerken

 

Aynı benzer işi bir web sayfası aracılığı ile yapan ve daha önceden Sibergah’ta da tanıttığımız Mozilla Observatory‘nun aksine, WPSecAnalyzer öncelikli olarak web tarayıcısında yani client/istemci taraflı çalışmakta, açık portlar için shodan.io ve HTTP header incelemesi için başka bir sunucu üzerinde işlem yapmaktadır. Yani hem istemci hem de sunucu tabanlı çalışmaktadır. 11 kritere göre bir puanlama yapıp çok kısa bir süre için rapor vermektedir.

Bir web uygulamasının güvenliğini pentest süreçleri öncesinde çok hızlı bir şekilde ön tarama yapıp, değerlendirmede WPSecAnalyzer oldukça başarılı bir iş çıkartıyor ve hem kendi hem de başka web uygulamalarınızı saldırgan olmayan pasif bir modda taramanın en kolay yolu haline geliyor. Eklenti hakkındaki diğer detaylara bu bağlantıdan ulaşabilirsiniz.

 

Adres: https://chrome.google.com/webstore/detail/wpsecanalyzer-plugin/…

Ayrıca standartlara göre web sitesi güvenliği testi aracı Mozilla Observatory için de https://www.sibergah.com/uygulama-guvenligi/web-ve-mobil-uygulama-sizma-testleri/standartlara-gore-web-sitesi-guvenligi-testi/ adresine gidebilirsiniz. Siz de yararlı bulduğunuz bir web uygulamasının güvenliğini ilgilendiren araçları yazının altıdaki yorum bölümüne yazarak katkıda bulunabilirsiniz.

M. MEKİN PESEN

YAZAR:

Özel bir kurumda kıdemli bilgi güvenliği uzmanı olarak çalışan M. Mekin Pesen, Elektrik-Elektronik Mühendisliği lisans ve Bilgi Güvenliği Mühendisliği yüksek lisans diplomaları ile CISSP, ECSA, CEH ve CCSA sertifikalarına sahiptir. Kendisi siber güvenlik ve bilgi güvenliği genel başlıkları altında çeşitli konularda uzmanlaşmaktadır.


    

E-Bültene Kaydolun, Makaleler Posta Kutunuza Gelsin

Bu yazıyı başka hiçbir yerde ve şekilde yayınlayamazsınız ve/veya kullanamazsınız. Bu yazıyı kullanmanız, başka herhangi bir uyarıya gerek kalmadan her türlü hukuki sonucu daha en baştan kabul ettiğiniz manasına gelir.

Discussion

One Response to “Bir Web Uygulamasının Güvenliğini Değerlendirmenin En Hızlı Yolu”

  1. Paylaşım diğerleri gibi çok güzel bir paylaşım Fakat WPSecAnalyzer uzantısı çalışmıyor maalesef.
    Ellerinize sağlık İyi Günler

    Posted by ersin | 11/12/2017, 13:44

Post a Comment