Standartlara Göre Web Sitesi Güvenliği Testi

Mozilla Observatory, web sitelerinin güvenliğinin mevcut güvenlik teknolojileri ile standartlarına ne kadar uyumlu olup olmadığını test edip puanlayan bir web sitesi güvenliği testi aracı olarak Mozilla tarafından kullanıma açıldı. Araç ile mevcut web güvenlik teknolojilerinin durumunun yanında HTTPS implementasyonu ve önemli header’ların da durumlarını görebiliyorsunuz.

 

observatory-addons-mozilla

Web Sitesi Güvenliği Örnek Durum Raporu

 

Mozilla Observatory, bir web sitesinde alttaki güvenlik teknolojileri ile önlemlerinin hangilerinin olup olmadığına ve uygulanma düzeylerine bakarak bir puanlama yapıyor. Böylece tam bir web sitesi güvenliği karnesi elde edebiliyorsunuz:

  • Secure HTTP (HTTPS): olmaması durumunda ağda dinlemeye maruz kalma, man-in-the-middle (MiTM) saldırısı.
  • Secure Cookies: olmaması durumunda ağda dinlemeye maruz kalma.
  • X-Content-Type-Options: olmaması durumunda MIME type karmaşıklığı.
  • HttpOnly Cookies: olmaması durumunda cross-site scripting (XSS) saldırısı ve oturum hırsızlığı.
  • X-Frame-Options: olmaması durumunda clickjacking saldırısı.
  • X-XSS-Protection: olmaması durumunda cross-site scripting (XSS) saldırısı.
  • Content Security Policy (CSP): olmaması durumunda cross-site scripting (XSS) ve clickjacking saldırısı.
  • HTTP Strict Transport Security (HSTS): olmaması durumunda ağda dinlemeye maruz kalma, man-in-the-middle (MiTM) saldırısı.
  • HTTP Public Key Pinning (HPKP): olmaması durumuda sertifikaların yetkisiz olarak veya yanlış atanması/verilmesi.
  • HSTS Preloading: olmaması durumunda man-in-the-middle (MiTM) saldırısı.
  • Subresource Integrity: olmaması durumunda CDN ağları üzerinde barındırılan içeriklerin (JavaScript, CSS vs) kötücül olarak modifiye edilmesi.
  • SameSite Cookies: olmaması durumunda cross-site reference forgery (CSRF) saldırısı.
  • Cookie Prefixes: olmaması durumunda çerezlerin yetkisiz kaynaklar tarafından ezilmesi.
  • Cross-origin Resource Sharing (CORS): doğru ayarlanmaması durumunda yabancı sitelerin, sizin sitenizin içeriklerini okumalarını ve özel kullanıcı bilgilerine erişmelerine neden olması.

 

Web sitesi güvenliği aracı olarak Mozilla Observatory’a gidip “Scan your site” form alanına hedefteki domain adresini yazıp “Scan Me” düğmesine basmanız yeterli olacaktır. Eğer sonuçların sitede tüm herkese gösterilmesini istemiyorsanız “Don’t include my site in the public results” seçeneğini, 3. parti araçlarla da tarama yapılmasını istemiyorsanız da “Don’t scan with third-party scanners” seçeneğini işaretlemeniz gerekiyor. Araç oldukça derli topu bir biçimde tüm web güvenliği standartlarını sınaması açısından oldukça yararlı ve başucu niteliğindedir.

 

Adres: https://observatory.mozilla.org/
Aracın kaynak kodu: https://github.com/mozilla/http-observatory
Ayrıca Mozilla’nın web güvenliği rehberi için: https://wiki.mozilla.org/Security/Guidelines/Web_Security

M. MEKİN PESEN

YAZAR:

Özel bir kurumda kıdemli bilgi güvenliği uzmanı olarak çalışan M. Mekin Pesen, Elektrik-Elektronik Mühendisliği lisans ve Bilgi Güvenliği Mühendisliği yüksek lisans diplomaları ile CISSP, ECSA, CEH ve CCSA sertifikalarına sahiptir. Kendisi siber güvenlik ve bilgi güvenliği genel başlıkları altında çeşitli konularda uzmanlaşmaktadır.


    

E-Bültene Kaydolun, Makaleler Posta Kutunuza Gelsin

Bu yazıyı başka hiçbir yerde ve şekilde yayınlayamazsınız ve/veya kullanamazsınız. Bu yazıyı kullanmanız, başka herhangi bir uyarıya gerek kalmadan her türlü hukuki sonucu daha en baştan kabul ettiğiniz manasına gelir.