Sisteminizdeki Güvenlik Açığı Nasıl Tespit Edilir

Şimdiye kadar, yazılım geliştirme dünyasındaki herkes, yönetilmeyen açık kaynak programlarında ve araçlarında yatan ciddi güvenlik risklerinin farkındadır. Hala birçok şirket onları görmezden geliyor ve bilgisayar korsanlarına kolay bir şans veriyor. Bu nedenle, korunmaya devam etmek ve bilgisayar korsanlarından bir adım önde olmak için sistemdeki güvenlik açığını nasıl tespit edeceğimizi ve korunmaya yönelik adımları bilmemiz gerekir.

Güvenlik açığı şirketlerini tespit etmek için, yazılım testinin bir çeşidi olan güvenlik testini kullanmanız gerekir. Sistem, ağ ve uygulama geliştirmedeki güvenlik açıklarının belirlenmesinde çok önemli bir rol oynadığı için.

Burada, güvenlik testinin ne olduğunu, güvenlik testinin önemini, güvenlik testi türlerini, güvenlik açıklarına neden olan faktörleri, güvenlik tehditlerinin sınıflarını ve sistemimize yönelik yazılım zayıflıkları tehdidini nasıl düzeltebileceğimizi açıklayacağız.

Güvenlik testi nedir?

Güvenlik testi, güvenlik açıklarını tespit etmek ve verileri bu zayıflıklar yoluyla istismar edilmekten korumanın yollarını önermek için tasarlanmış bir süreçtir.

Güvenlik testinin önemi?

Mevcut senaryoda, güvenlik testi, aşağıdaki durumlardan kaçınmaya yardımcı olacak yazılım veya uygulama güvenlik açıklarını göstermenin ve ele almanın kesin bir yoludur:

• Müşteri güveni kaybı.
• Zaman ve para kaybına neden olan ağ, sistem ve web sitesi kesintisi.
• Sistemi, ağı saldırılara karşı korumak için yapılan yatırım maliyeti.
• Bir şirketin özensiz güvenlik önlemleri nedeniyle yüzleşmek zorunda kalabileceği yasal sonuçlar.

Artık güvenlik testinin ne olduğunu bildiğimize göre, neden önemlidir. Güvenlik testi türlerini ve korunmaya nasıl yardımcı olabileceklerini öğrenelim.

Ayrıca bakınız:-

İnanmamanız Gereken 10 Siber Güvenlik Efsanesi Gelişen teknoloji, siber güvenliğe yönelik tehdidi artırdı ve bununla ilgili efsane de arttı. Hadi...

Güvenlik testi türleri

Uygulama, ağ ve sistem güvenlik açığını tespit etmek için aşağıda açıklanan yedi ana güvenlik testi yöntemi kullanılabilir:

Not : Bu yöntemler, kritik veriler için risk oluşturabilecek güvenlik açıklarını tespit etmek için manuel olarak kullanılabilir.

Güvenlik açığı taraması : Bir ağdaki sisteme tehdit oluşturabilecek güvenlik boşluklarını tarayan ve tanımlayan otomatik bir bilgisayar programıdır.

Güvenlik taraması : sistem ve ağ güvenlik açığını tanımlamanın hem otomatik hem de manuel bir yöntemidir. Bu program, ağlar, web uygulaması ve işletim sistemindeki olası güvenlik açıklarını tespit etmek için bir web uygulamasıyla iletişim kurar.

Güvenlik Denetimi : Şirketin kritik bilgileri için risk oluşturabilecek kusurları bilmek için şirket güvenliğini değerlendiren metodik bir sistemdir.

Etik bilgisayar korsanlığı : Bir ağ veya bilgisayardaki olası tehditleri bulmak için şirket veya güvenlik görevlisi tarafından yasal olarak gerçekleştirilen bilgisayar korsanlığı anlamına gelir. Etik hacker, sisteme girmek için kötü adamlar tarafından kullanılabilecek bir güvenlik açığını tespit etmek için sistem güvenliğini atlar.

Sızma testi : sistem zayıflıklarını göstermeye yardımcı olan güvenlik testi.

Duruş Değerlendirmesi : Kuruluşların genel güvenliğini kontrol etmek için etik korsanlık, güvenlik taraması ve risk değerlendirmeleri birleştirildiğinde.

Risk Değerlendirmesi: algılanan güvenlik açığıyla ilgili riskin değerlendirilmesi ve karar verilmesi sürecidir. Kuruluşlar, riski anlamak için tartışmaları, görüşmeleri ve analizleri kullanır.

Yalnızca güvenlik testi türlerini ve güvenlik testinin ne olduğunu bilerek, davetsiz misafir sınıflarını, tehditleri ve güvenlik testleriyle ilgili teknikleri anlayamayız.

Bütün bunları anlamak için daha fazla okumamız gerekiyor.

Üç davetsiz misafir sınıfı:

Kötü adamlar genellikle aşağıda açıklanan üç sınıfa ayrılır:

1. Masker:  Sisteme erişim yetkisi olmayan kişidir. Erişim elde etmek için, kimliği doğrulanmış kullanıcı gibi bireysel kimliğe bürünür ve erişim kazanır.
2. Aldatıcı:  Sisteme yasal erişim izni verilen ancak kritik verilere erişmek için sistemi kötüye kullanan kişidir.
3. Gizli kullanıcı:  Sistemin kontrolünü ele geçirmek için güvenliği atlayan kişidir.

Tehdit sınıfları

Ayrıca, güvenlik zafiyetlerinden yararlanmak için kullanılabilecek farklı tehdit sınıflarına da izinsiz giriş yapanlar sınıfına sahibiz.

Siteler Arası Komut Dosyası Çalıştırma (XSS): Web uygulamalarında bulunan bir güvenlik açığıdır, siber suçluların kötü niyetli URL'leri tıklamaları için kandırmak için Web sayfalarına istemci tarafı komut dosyası eklemesine olanak tanır  . Bu kod çalıştırıldığında, tüm kişisel verilerinizi çalabilir ve kullanıcı adına eylemler gerçekleştirebilir.

Yetkisiz Veri Erişimi: SQL enjeksiyonunun yanı sıra, izinsiz veri erişimi de en yaygın saldırı türüdür. Bu saldırıyı gerçekleştirmek için bilgisayar korsanı, verilere bir sunucu aracılığıyla erişilebilmesi için yetkisiz erişim elde eder. Veri alma işlemleri yoluyla verilere erişim, müşteri kimlik doğrulama bilgilerine yasa dışı erişim ve başkaları tarafından gerçekleştirilen faaliyetleri izleyerek verilere yetkisiz erişimi içerir.

Kimlik Kandırması: Hacker tarafından meşru kullanıcının kimlik bilgilerine erişimi olduğu için bir ağa saldırmak için kullanılan bir yöntemdir.

SQL Injection : Günümüz senaryosunda, saldırganın sunucu veritabanından kritik bilgileri almak için kullandığı en yaygın tekniktir. Bu saldırıda bilgisayar korsanı, yazılıma, web uygulamalarına ve daha fazlasına kötü amaçlı kod enjekte etmek için sistem zayıflıklarından yararlanır.

Veri Manipülasyonu : Adından da anlaşılacağı gibi, hacker'ın web sitesi sahibinin bilgilerine erişmek ve bunları saldırgan bir şeye dönüştürmek için sitede yayınlanan verilerden yararlandığı süreçtir.

Ayrıcalık İlerlemesi: Kötü adamların, kimseye verilmeyen yüksek düzeyde ayrıcalık elde etmek için bir hesap oluşturduğu bir saldırı sınıfıdır. Başarılı bir bilgisayar korsanı, tüm sisteme zarar verebilecek kötü amaçlı kodu çalıştırmasına izin veren kök dosyalara erişebilir.

URL Manipülasyonu : bilgisayar korsanları tarafından manipülasyon URL'si yoluyla gizli bilgilere erişmek için kullanılan başka bir tehdit sınıfıdır. Bu, uygulama sunucu ve istemci arasında bilgi aktarmak için HTTPS yerine HTTP kullandığında gerçekleşir. Bilgiler sorgu dizisi şeklinde aktarıldığından, saldırıyı başarılı kılmak için parametreler değiştirilebilir.

Hizmet Reddi : Siteyi veya sunucuyu, kullanıcıların siteye güvenmemesini sağlamak için kullanılamaz hale getirmek için indirme girişimidir. Bu saldırıyı başarılı kılmak için genellikle botnet'ler kullanılır.

Ayrıca bakınız:-

2021'de Yaklaşan 8 Siber Güvenlik Trendi 2019 geldi ve cihazlarınızı daha iyi korumanın zamanı geldi. Sürekli artan siber suç oranlarıyla, bunlar...

Güvenlik testi teknikleri

Aşağıda listelenen güvenlik ayarları, bir kuruluşun yukarıda belirtilen tehditlerle başa çıkmasına yardımcı olabilir. Bunun için iyi bir HTTP protokolü, SQL enjeksiyonu ve XSS bilgisine sahip olmak gerekir. Tüm bunlar hakkında bilginiz varsa, tespit edilen güvenlik açıklarını ve sistemi düzeltmek ve korunmaya devam etmek için aşağıdaki teknikleri kolayca kullanabilirsiniz.

Siteler Arası Komut Dosyası Oluşturma (XSS): Açıklandığı gibi, siteler arası komut dosyası oluşturma, saldırganlar tarafından erişim elde etmek için kullanılan bir yöntemdir, bu nedenle güvenli kalmak için testçilerin XSS için web uygulamasını kontrol etmesi gerekir. Bu, uygulamanın en büyük tehdit olduğu ve sistemi riske atabileceği için herhangi bir komut dosyasını kabul etmediğini onaylamaları gerektiği anlamına gelir.

Saldırganlar, kötü amaçlı kod yürütmek ve verileri çalmak için siteler arası komut dosyası çalıştırmayı kolayca kullanabilir. Siteler arası komut dosyası oluşturmada test etmek için kullanılan teknikler aşağıdaki gibidir:

Siteler Arası Komut Dosyası Testi aşağıdakiler için yapılabilir:

1. Küçüktür İşareti
2. Büyüktür İşareti
3. kesme işareti

Şifre Kırma: Sistem testinin en hayati kısmı şifre kırmadır, gizli bilgilere erişmek için bilgisayar korsanları şifre kırma aracını kullanır veya çevrimiçi olarak mevcut olan kullanıcı adı olan ortak şifreleri kullanır. Bu nedenle, test uzmanlarının web uygulamasının karmaşık parola kullandığını ve tanımlama bilgilerinin şifreleme olmadan saklanmadığını garanti etmesi gerekir.

Bu test cihazının dışında , Güvenlik Testinin yedi özelliğini ve güvenlik testi metodolojilerini aşağıdakileri akılda tutması gerekir :

1. Bütünlük
2. kimlik doğrulama
3. kullanılabilirlik
4. yetki
5. Gizlilik
6. Dayanıklılık
7. inkar etmemek

Güvenlik testinde metodolojiler:

1. Beyaz Kutu  testçileri tüm bilgilere erişebilir.
2. Kara Kutu  test cihazına , sistemi gerçek dünya senaryosunda test etmek için ihtiyaç duydukları herhangi bir bilgi sağlanmaz.
3. Gri Kutu-  adından da anlaşılacağı gibi, test eden kişiye bazı bilgiler verilir ve dinlenmeleri kendi başlarına bilmeleri gerekir.

Bu yöntemleri kullanarak kuruluş, sistemlerinde tespit edilen güvenlik açıklarını yamalayabilir. Ayrıca akıllarında tutmaları gereken en yaygın şey, sıkı testler yapılana kadar kolayca yamalanamayan veya tanımlanamayan güvenlik zayıflıklarına sahip oldukları için acemiler tarafından yazılan kodu kullanmaktan kaçınmaktır.

Makaleyi bilgilendirici bulduğunuzu ve sisteminizdeki güvenlik açıklarını düzeltmenize yardımcı olacağını umuyoruz.