Web tabanlı uygulamalarda otomatik güvenlik denetim yazılımlarının iyileştirilmesi

Abstract

Web tabanlı uygulamalar organizasyonlara büyük kolaylıklar sağlamaktadır. Ancakorganizasyonların bilgi güvenliği riskleri açısından bakıldığında, web uygulamalarının birtakım riskleri de beraberinde getirdiği görülmektedir. Bu riskler, verilerin gizlilik,bütünlük veya erişilebilirliğinin bozulmasıdır. Kötü niyetli kişilerin verilerin gizlilik,bütünlük veya erişilebilirliğini bozma amacıyla gerçekleştirdiği aktiviteler, saldırı olaraknitelendirilmektedir.Saldırıların büyük çoğunluğu web protokolü üzerinden gerçekleşmekte ve webuygulamalarının çoğunda en az bir güvenlik problemi bulunmaktadır. Web tabanlıuygulamaların güvenlik seviyelerini arttırmaya yönelik olarak yapılan güvenlikdenetimleri, web uygulamaları güvenlik denetim yazılımları ile otomatikleştirilmektedir.Ancak bu denetim yazılımları bazı güvenlik problemlerini tespit edememekte ve hatalısonuçlar üretebilmektedir. Yapılan analizler ve tecrübeler sonucunda, otomatik güvenlikdenetim yazılımlarının iyileştirilmesi gerektiği görülmektedir.Bu tez çalışmasında, kullanıcı tarafında çalışan web uygulamalarının kullanımı azaldığıiçin, sunucu tarafındaki web uygulamaları ele alınmıştır. Bu sebeple, varolan otomatikgüvenlik denetim yazılımları incelenerek eksiklikler tespit edilmiş ve bu eksiklikleriniyileştirilmeleri için öneriler yapılmıştır. Bu önerileri gerçekleme amaçlıArachneDenetim ve ArachneRapor yazılımlarından oluşan bir Arachne yazılımıhazırlanmıştır.Oluşturulmuş olan yazılımda; sunucu davranış biçiminin incelenmesi ile hatalıalgılamaların azaltılması, geliştirilmiş güvenlik denetim özelliği ile güvenlikdenetimlerindeki gereksiz isteklerin azaltılması ve sayfa tarama robotlarında kullanılacakalgoritma ile, aynı web uygulamasının daha kısa sürede denetlenebileceği incelenmiştir.Değerlendirmeler sonucunda, incelenen kriterlere göre Arachne yazılımının diğerdenetim yazılımlarından daha başarılı olduğu tespit edilmiştir. Buna rağmen, halaeksiklikler bulunmaktadır. Bu eksikliklerin giderilmesine yönelik öneriler sonuçbölümünde ifade edilmiştir.

Web based applications provide great advantages for organizations. But from aninformation security point of view, it is observed that they bring along some risks. Theimpacts of those risks are loss of confidentiality, integrity or availability of data. Badactivities which try to damage confidentiality, integrity or availability of data are definedas attacks.Most of the attacks occur over the web protocol and most of the web applications have atleast one vulnerability. Vulnerability assessment of web applications is done to improvetheir security and can be automated with web application vulnerability scanners. Butthose vulnerability scanners cannot detect all of the security problems and produceincorrect test results known as false positives. Analysis and well known results show that,automated vulnerability scanners should be improved.Since the use of client side web applications is in decrease, only web applications that runon server side are covered in this thesis. Therefore, existing automated vulnerabilitytesting software has been examined and suggestions were made to improve theirfunctions. Arachne software, which consists of ArachneDenetim and ArachneRapor, wasdeveloped to confirm those suggestions.This software discusses; lowering false detections by analyzing server behaviour,decreasing unnecessary requests by using improved security audit functions and how it ispossible to test the application in a shorter time by using an algorithm.As a conclusion of evaluations, it was determined that Arachne is better than existingvulnerability scanners according to the observed criterias. But there are still somedeficiencies. Suggestions, made to eliminate those deficiencies, are expressed in theresults chapter.