Standartlara Göre Web Sitesi Güvenliği Testi

Mozilla Observatory, web sitelerinin güvenliÄŸinin mevcut güvenlik teknolojileri ile standartlarına ne kadar uyumlu olup olmadığını test edip puanlayan bir web sitesi güvenliÄŸi testi aracı olarak Mozilla tarafından kullanıma açıldı. Araç ile mevcut web güvenlik teknolojilerinin durumunun yanında HTTPS implementasyonu ve önemli header’ların da durumlarını görebiliyorsunuz.

 

observatory-addons-mozilla
Web Sitesi Güvenliği Örnek Durum Raporu

 

Mozilla Observatory, bir web sitesinde alttaki güvenlik teknolojileri ile önlemlerinin hangilerinin olup olmadığına ve uygulanma düzeylerine bakarak bir puanlama yapıyor. Böylece tam bir web sitesi güvenliği karnesi elde edebiliyorsunuz:

  • Secure HTTP (HTTPS): olmaması durumunda aÄŸda dinlemeye maruz kalma, man-in-the-middle (MiTM) saldırısı.
  • Secure Cookies: olmaması durumunda aÄŸda dinlemeye maruz kalma.
  • X-Content-Type-Options: olmaması durumunda MIME type karmaşıklığı.
  • HttpOnly Cookies: olmaması durumunda cross-site scripting (XSS) saldırısı ve oturum hırsızlığı.
  • X-Frame-Options: olmaması durumunda clickjacking saldırısı.
  • X-XSS-Protection: olmaması durumunda cross-site scripting (XSS) saldırısı.
  • Content Security Policy (CSP): olmaması durumunda cross-site scripting (XSS) ve clickjacking saldırısı.
  • HTTP Strict Transport Security (HSTS): olmaması durumunda aÄŸda dinlemeye maruz kalma, man-in-the-middle (MiTM) saldırısı.
  • HTTP Public Key Pinning (HPKP): olmaması durumuda sertifikaların yetkisiz olarak veya yanlış atanması/verilmesi.
  • HSTS Preloading: olmaması durumunda man-in-the-middle (MiTM) saldırısı.
  • Subresource Integrity: olmaması durumunda CDN aÄŸları üzerinde barındırılan içeriklerin (JavaScript, CSS vs) kötücül olarak modifiye edilmesi.
  • SameSite Cookies: olmaması durumunda cross-site reference forgery (CSRF) saldırısı.
  • Cookie Prefixes: olmaması durumunda çerezlerin yetkisiz kaynaklar tarafından ezilmesi.
  • Cross-origin Resource Sharing (CORS): doÄŸru ayarlanmaması durumunda yabancı sitelerin, sizin sitenizin içeriklerini okumalarını ve özel kullanıcı bilgilerine eriÅŸmelerine neden olması.

 

Web sitesi güvenliÄŸi aracı olarak Mozilla Observatory’a gidip “Scan your site” form alanına hedefteki domain adresini yazıp “Scan Me” düğmesine basmanız yeterli olacaktır. EÄŸer sonuçların sitede tüm herkese gösterilmesini istemiyorsanız “Don’t include my site in the public results” seçeneÄŸini, 3. parti araçlarla da tarama yapılmasını istemiyorsanız da “Don’t scan with third-party scanners” seçeneÄŸini iÅŸaretlemeniz gerekiyor. Araç oldukça derli topu bir biçimde tüm web güvenliÄŸi standartlarını sınaması açısından oldukça yararlı ve baÅŸucu niteliÄŸindedir.

 

Adres: https://observatory.mozilla.org/
Aracın kaynak kodu: https://github.com/mozilla/http-observatory
Ayrıca Mozilla’nın web güvenliÄŸi rehberi için: https://wiki.mozilla.org/Security/Guidelines/Web_Security

One thought on “Standartlara Göre Web Sitesi GüvenliÄŸi Testi

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir