EITC/IS/WAPT Web Uygulamaları Sızma Testi, özel sızma testi araçları ve takımları dahil web siteleri örümcek ağı, tarama ve saldırı teknikleri için çeşitli teknikler dahil, web uygulaması sızma testinin (beyaz bilgisayar korsanlığı) teorik ve pratik yönlerine ilişkin Avrupa BT Sertifikasyon programıdır. .
EITC/IS/WAPT Web Uygulamaları Sızma Testi müfredatı, Burp Suite'e giriş, web spridering ve DVWA, Burp Suite ile kaba kuvvet testi, WAFW00F ile web uygulaması güvenlik duvarı (WAF) tespiti, hedef kapsamı ve örümcek tarama, ile gizli dosyaları keşfetmeyi kapsar. ZAP, WordPress güvenlik açığı taraması ve kullanıcı adı numaralandırma, yük dengeleyici taraması, siteler arası komut dosyası oluşturma, XSS - yansıtılan, depolanan ve DOM, proxy saldırıları, proxy'yi ZAP'ta yapılandırma, dosya ve dizin saldırıları, DirBuster ile dosya ve dizin keşfi, web saldırıları uygulaması , OWASP Juice Shop, CSRF – Siteler Arası İstek Sahteciliği, tanımlama bilgisi toplama ve tersine mühendislik, HTTP Nitelikleri – tanımlama bilgisi hırsızlığı, SQL enjeksiyonu, DotDotPwn – dizin geçişi bulanıklaştırma, iframe enjeksiyon ve HTML enjeksiyonu, Heartbleed istismarı – keşif ve istismar, PHP kod enjeksiyonu, bWAPP – HTML enjeksiyonu, yansıtılan POST, Commix ile işletim sistemi komut enjeksiyonu, sunucu tarafı SSI enjeksiyonunu içerir, Docker'da pentesting, OverTheWire Natas, LFI ve komut enjeksiyonu, pentesting için Google hacking, Penetrasyon testi için Google Dorks, Apache2 ModSecurity ve ayrıca Nginx ModSecurity, aşağıdaki yapı içinde, bu EITC Sertifikasyonu için referans olarak kapsamlı video didaktik içeriği kapsar.
Web uygulaması güvenliği (genellikle Web AppSec olarak anılır), web sitelerini saldırıya uğradıklarında bile normal şekilde çalışacak şekilde tasarlama kavramıdır. Buradaki fikir, varlıklarını düşman ajanlardan korumak için bir Web uygulamasına bir dizi güvenlik önlemi entegre etmektir. Web uygulamaları, tüm yazılımlar gibi kusurlara eğilimlidir. Bu kusurlardan bazıları, istismar edilebilecek ve işletmeler için risk oluşturan gerçek güvenlik açıklarıdır. Bu tür kusurlara karşı web uygulaması güvenliği ile korunur. Tasarım kusurlarının ve uygulama sorunlarının ele alınmasını sağlayarak, yazılım geliştirme yaşam döngüsü (SDLC) boyunca güvenli geliştirme yaklaşımlarının kullanılmasını ve güvenlik kontrollerinin uygulanmasını gerektirir. Beyaz bilgisayar korsanlığı adı verilen bir yaklaşım kullanarak web uygulaması güvenlik açıklarını ortaya çıkarmayı ve bunlardan yararlanmayı amaçlayan uzmanlar tarafından gerçekleştirilen çevrimiçi sızma testi, uygun savunmayı sağlamak için önemli bir uygulamadır.
Web kalem testi olarak da bilinen bir web penetrasyon testi, istismar edilebilir kusurları bulmak için bir web uygulamasına siber saldırıyı simüle eder. Sızma testi, web uygulaması güvenliği (WAF) bağlamında bir web uygulaması güvenlik duvarını desteklemek için sıklıkla kullanılır. Kalem testi, genel olarak, kod enjeksiyon saldırılarına karşı savunmasız olan temizlenmemiş girdiler gibi güvenlik açıklarını bulmak için herhangi bir sayıda uygulama sistemine (örn. API'ler, ön uç/arka uç sunucuları) girmeye çalışmayı gerektirir.
Çevrimiçi sızma testinin bulguları, WAF güvenlik ilkelerini yapılandırmak ve keşfedilen güvenlik açıklarını ele almak için kullanılabilir.
Penetrasyon testinin beş adımı vardır.
Kalem test prosedürü beş adıma ayrılmıştır.
- Planlama ve keşif
Ele alınacak sistemler ve kullanılacak test metodolojileri de dahil olmak üzere bir testin kapsamının ve hedeflerinin tanımlanması ilk aşamadır.
Bir hedefin nasıl çalıştığını ve potansiyel zayıflıklarını daha iyi anlamak için istihbarat toplayın (örneğin, ağ ve alan adları, posta sunucusu). - Tarama
Sonraki aşama, hedef uygulamanın farklı türdeki izinsiz giriş denemelerine nasıl tepki vereceğini bulmaktır. Bu genellikle aşağıdaki yöntemler kullanılarak gerçekleştirilir:
Statik analiz – Bir uygulamanın kodunu, çalıştırıldığında nasıl davranacağını tahmin etmek için inceleme. Tek bir geçişte, bu araçlar tüm kodu tarayabilir.
Dinamik analiz, bir uygulamanın kodunu çalışırken inceleme sürecidir. Bu tarama yöntemi, bir uygulamanın performansının gerçek zamanlı bir görünümünü sağladığı için daha pratiktir. - Erişim elde etme
Bir hedefin zayıf yönlerini bulmak için bu adım, siteler arası komut dosyası oluşturma, SQL enjeksiyonu ve arka kapılar gibi web uygulaması saldırılarını kullanır. Bu güvenlik açıklarının neden olabileceği hasarı anlamak için test kullanıcıları, ayrıcalıkları artırarak, verileri çalarak, trafiği ele geçirerek vb. - Erişimi sürdürmek
Bu aşamanın amacı, güvenliği ihlal edilmiş sistemde uzun vadeli bir varlık oluşturmak için güvenlik açığından yararlanılıp yararlanılamayacağını değerlendirmek ve kötü bir aktörün derinlemesine erişim sağlamasına izin vermektir. Amaç, bir şirketin en hassas bilgilerini çalmak için bir sistemde aylarca kalabilen gelişmiş kalıcı tehditleri taklit etmektir. - Analiz
Sızma testi sonuçları daha sonra aşağıdakiler gibi bilgileri içeren bir rapora konur:
Ayrıntılı olarak yararlanılan güvenlik açıkları
Elde edilen hassas veriler
Kalem test cihazının sistemde fark edilmeden kalabildiği süre.
Güvenlik uzmanları, bu verileri, güvenlik açıklarını yamalamak ve başka saldırıları önlemek amacıyla bir kuruluşun WAF ayarlarını ve diğer uygulama güvenlik çözümlerini yapılandırmaya yardımcı olmak için kullanır.
Sızma testi yöntemleri
- Harici sızma testi, bir firmanın web uygulamasının kendisi, şirketin web sitesi ve ayrıca e-posta ve alan adı sunucuları (DNS) gibi internette görünen varlıklarına odaklanır. Amaç, yararlı bilgilere erişmek ve bunları çıkarmaktır.
- Dahili test, bir test cihazının, bir şirketin güvenlik duvarının arkasındaki bir uygulamaya, düşmanca bir içeriden saldırıyı simüle eden bir erişime sahip olmasını gerektirir. Bu, haydut bir çalışan simülasyonu gerekli değildir. Kimlik avı girişimi sonucunda kimlik bilgileri alınan bir çalışan, ortak bir başlangıç noktasıdır.
- Kör test, bir test cihazına test edilen şirketin adının basitçe verildiği zamandır. Bu, güvenlik uzmanlarının gerçek bir uygulama saldırısının gerçek zamanlı olarak nasıl sonuçlanabileceğini görmelerini sağlar.
- Çift kör test: Çift kör testte, güvenlik uzmanları önceden simüle edilmiş saldırıdan habersizdir. Tıpkı gerçek dünyada olduğu gibi, bir ihlal girişiminden önce tahkimatlarını güçlendirmek için zamanları olmayacak.
- Hedefe yönelik test – bu senaryoda, testçi ve güvenlik personeli işbirliği yapar ve birbirlerinin hareketlerini takip eder. Bu, bir güvenlik ekibine bir bilgisayar korsanının bakış açısından gerçek zamanlı geri bildirim sağlayan mükemmel bir eğitim alıştırmasıdır.
Web uygulaması güvenlik duvarları ve sızma testi
Penetrasyon testi ve WAF'ler iki ayrı ancak tamamlayıcı güvenlik tekniğidir. Test cihazının, birçok kalem testi türünde (kör ve çift kör testler hariç) bir uygulamanın zayıf alanlarını bulmak ve kullanmak için günlükler gibi WAF verilerinden yararlanma olasılığı yüksektir.
Buna karşılık, kalem testi verileri WAF yöneticilerine yardımcı olabilir. Bir testin tamamlanmasının ardından, test sırasında tespit edilen kusurlara karşı koruma sağlamak için WAF konfigürasyonları değiştirilebilir.
Son olarak, kalem testi, PCI DSS ve SOC 2 gibi bazı güvenlik denetleme yöntemlerinin uyumluluk gereksinimlerini karşılar. PCI-DSS 6.6 gibi belirli gereksinimler, yalnızca sertifikalı bir WAF kullanıldığında karşılanabilir. Ancak, yukarıda bahsedilen faydalar ve WAF ayarlarını değiştirme potansiyeli nedeniyle, bu, kalem testini daha az kullanışlı hale getirmez.
Web güvenlik testinin önemi nedir?
Web güvenlik testinin amacı, Web uygulamalarındaki ve kurulumlarındaki güvenlik kusurlarını belirlemektir. Uygulama katmanı birincil hedeftir (yani, HTTP protokolünde çalışan). Sorunları tetiklemek ve sistemin beklenmedik şekillerde yanıt vermesini sağlamak için bir Web uygulamasına farklı girdi biçimleri göndermek, güvenliğini test etmek için yaygın bir yaklaşımdır. Bu "olumsuz testler", sistemin gerçekleştirmeyi amaçlamadığı bir şey yapıp yapmadığını arar.
Web güvenlik testinin, uygulamanın güvenlik özelliklerini (kimlik doğrulama ve yetkilendirme gibi) doğrulamaktan daha fazlasını gerektirdiğini anlamak da çok önemlidir. Diğer özelliklerin güvenli bir şekilde dağıtıldığından emin olmak da çok önemlidir (örneğin, iş mantığı ve uygun giriş doğrulama ve çıkış kodlamasının kullanımı). Amaç, Web uygulamasının işlevlerinin güvenli olduğundan emin olmaktır.
Güvenlik değerlendirmesinin birçok türü nelerdir?
- Dinamik Uygulama Güvenliği (DAST) için Test Edin. Bu otomatikleştirilmiş uygulama güvenlik testi, yasal güvenlik gereksinimlerini karşılaması gereken düşük riskli, dahili uygulamalar için en uygunudur. DAST'ı yaygın güvenlik açıkları için bazı manuel çevrimiçi güvenlik testleriyle birleştirmek, orta riskli uygulamalar ve küçük değişiklikler geçiren önemli uygulamalar için en iyi stratejidir.
- Statik Uygulamalar için Güvenlik Kontrolü (SAST). Bu uygulama güvenlik stratejisi, hem otomatik hem de manuel test yöntemlerini içerir. Canlı bir ortamda uygulamaları çalıştırmak zorunda kalmadan hataları tespit etmek için idealdir. Ayrıca mühendislerin yazılım güvenlik kusurlarını sistematik bir şekilde tespit etmek ve düzeltmek için kaynak kodunu taramalarına olanak tanır.
- Penetrasyon Muayenesi. Bu manuel uygulama güvenlik testi, özellikle önemli değişikliklerden geçenler olmak üzere temel uygulamalar için idealdir. Gelişmiş saldırı senaryolarını bulmak için değerlendirme, iş mantığını ve düşman tabanlı testleri kullanır.
- Çalışma Zamanında (RASP) Uygulama Kendini Koruma. Bu büyüyen uygulama güvenliği yöntemi, tehditlerin izlenebilmesi ve umarız, ortaya çıktıklarında gerçek zamanlı olarak önlenebilmesi için bir uygulamayı denetlemek için çeşitli teknoloji tekniklerini içerir.
Uygulama güvenliği testi, şirketin riskini azaltmada nasıl bir rol oynar?
Web uygulamalarına yönelik saldırıların büyük çoğunluğu şunları içerir:
- SQL Injection
- XSS (Siteler Arası Komut Dosyası Oluşturma)
- Uzaktan Komut Yürütme
- Yol Geçiş Saldırısı
- Kısıtlanmış içerik erişimi
- Güvenliği ihlal edilmiş kullanıcı hesapları
- Kötü amaçlı kod yüklemesi
- Kayıp satış geliri
- Müşterilerin güveni sarsılıyor
- Marka itibarı zedeleniyor
- Ve diğer birçok saldırı
Günümüzün İnternet ortamında, bir Web uygulaması çeşitli zorluklardan zarar görebilir. Yukarıdaki grafik, saldırganlar tarafından gerçekleştirilen ve her biri tek bir uygulamada veya tüm işletmede önemli hasara neden olabilecek en yaygın saldırılardan birkaçını göstermektedir. Bir uygulamayı savunmasız hale getiren birçok saldırının yanı sıra bir saldırının olası sonuçlarını bilmek, şirketin güvenlik açıklarını önceden çözmesine ve bunları etkin bir şekilde test etmesine olanak tanır.
Güvenlik açığının temel nedenini belirleyerek herhangi bir sorunu önlemek için SDLC'nin ilk aşamalarında azaltıcı kontroller oluşturulabilir. Bir Web uygulaması güvenlik testi sırasında, bu tehditlerin nasıl çalıştığına dair bilgi, bilinen ilgi çekici yerleri hedeflemek için de kullanılabilir.
Başarılı bir saldırının etkileri, genel olarak güvenlik açığının ciddiyetini belirlemek için kullanılabileceğinden, bir saldırının etkisini tanımak, şirketin riskini yönetmek için de önemlidir. Bir güvenlik testi sırasında güvenlik açıkları keşfedilirse, bunların ciddiyetinin belirlenmesi, şirketin iyileştirme çabalarına daha etkin bir şekilde öncelik vermesine olanak tanır. Şirket için riski azaltmak için, kritik önemdeki sorunlarla başlayın ve daha az etkili olanlara doğru inin.
Bir sorunu belirlemeden önce, şirketin uygulama kitaplığındaki her programın olası etkisini değerlendirmek, uygulama güvenlik testlerine öncelik vermenize yardımcı olacaktır. Wenb güvenlik testleri, işletmeye yönelik riski azaltmak için daha hedefli testler ile ilk olarak firmanın kritik uygulamalarını hedefleyecek şekilde programlanabilir. Yüksek profilli uygulamaların yerleşik bir listesiyle, web güvenlik testleri, işletmeye yönelik riski azaltmak için daha hedefli testler ile ilk olarak firmanın kritik uygulamalarını hedefleyecek şekilde programlanabilir.
Bir web uygulaması güvenlik testi sırasında hangi özellikler incelenmelidir?
Web uygulaması güvenlik testi sırasında, aşağıdaki kapsamlı olmayan özellikler listesini göz önünde bulundurun. Her birinin etkisiz bir şekilde uygulanması, zayıflıklara yol açarak şirketi tehlikeye atabilir.
- Uygulamanın ve sunucunun yapılandırılması. Şifreleme/kriptografik kurulumlar, Web sunucusu yapılandırmaları ve benzeri, olası kusurların örnekleridir.
- Giriş ve hata işlemenin doğrulanması Yetersiz giriş ve çıkış işleme, SQL enjeksiyonu, siteler arası komut dosyası çalıştırma (XSS) ve diğer tipik yerleştirme sorunlarına yol açar.
- Oturumların kimlik doğrulaması ve bakımı. Kullanıcı kimliğine bürünmeye yol açabilecek güvenlik açıkları. Kimlik bilgisi gücü ve koruma da dikkate alınmalıdır.
- Yetki. Uygulamanın dikey ve yatay ayrıcalık artışlarına karşı koruma kapasitesi test ediliyor.
- İş dünyasında mantık. İş işlevselliği sağlayan çoğu program bunlara güvenir.
- İstemci tarafında mantık. Bu tür bir özellik, modern, JavaScript ağırlıklı web sayfalarının yanı sıra diğer türde istemci tarafı teknolojileri (örn. Silverlight, Flash, Java uygulamaları) kullanan web sayfalarında daha yaygın hale gelmektedir.
Kendinizi sertifika müfredatı hakkında ayrıntılı olarak tanımak için aşağıdaki tabloyu genişletebilir ve analiz edebilirsiniz.
EITC/IS/WAPT Web Uygulamaları Sızma Testi Sertifikasyon Müfredatı, açık erişimli didaktik materyalleri bir video biçiminde referans alır. Öğrenme süreci, ilgili müfredat bölümlerini kapsayan adım adım bir yapıya (programlar -> dersler -> konular) bölünmüştür. Alan uzmanları ile sınırsız danışmanlık da sağlanmaktadır.
Sertifikasyon prosedürü kontrolü ile ilgili ayrıntılar için Nasıl Çalışır?.
EITC/IS/WAPT Web Uygulamaları Sızma Testi programına yönelik çevrimdışı kendi kendine öğrenme hazırlık malzemelerinin tamamını PDF dosyası olarak indirin
EITC/IS/WAPT hazırlık malzemeleri – standart versiyon
EITC/IS/WAPT hazırlık materyalleri – inceleme sorularını içeren genişletilmiş versiyon