Bir Web Uygulama Penetrasyon Testi Nedir?
Bir web uygulama penetrasyontesti , Internet tabanlı bir
programın bir saldırı veya istismar sırasında nasıl davranacağını ölçmek için
tasarlanmış bir etkinliktir. Bu testler, bir uygulamayı taramak ve ardından
gerçek bir saldırı sırasında oluşabilecek farklı eylemleri gerçekleştirmek için
çeşitli yazılım programlarından yararlanır. Bir web uygulama penetrasyon testi
bir geliştirme ekibi veya bir üçüncü taraf servis sağlayıcısı tarafından
gerçekleştirilebilir. Dışarıdan bir kredi kartı başvurusu Worldsağlayıcı
kullanılırsa, geliştirme ekibi veya bilgi teknolojisi (BT) personeli bazen
yönetim tarafından testten haberdar edilmeyecektir. Bu, bir web uygulama
penetrasyon testinin, fark edilmeden gitmiş olabilecek kusurları ortaya
çıkarmasına izin verebilir, bu da bu sorunların, yazılımın piyasaya
sürülmesinden önce düzeltilmesine izin verebilir.
Web uygulamaları, İnternet üzerinden erişilebilen ve
çalıştırılabilen yazılım paketleridir. Bu uygulamalar birçok işlevi yerine
getirebilir ve bazı durumlarda özel veya hatta değerli kabul edilen verileri
ele almaktan sorumludurlar. Saldırılardan kaçınmak için, penetrasyon testleri
genellikle koddaki herhangi bir zayıflık veya kolayca sömürülen alanları bulmak
için yapılır.
Tipik web uygulama penetrasyon testleri bir bilgi toplama
aşaması ile başlar. Bu adımın amacı, uygulama hakkında mümkün olduğunca fazla
bilgi belirlemektir. Uygulamaya istek göndererek ve tarayıcılar ve arama
motorları gibi araçları kullanarak, genellikle daha sonra açıkları bulmak için
kullanılan yazılım sürüm numaraları ve hata mesajları gibi bilgileri elde etmek
mümkündür.
Yeterli miktarda bilgi biriktirildikten sonra, bir web
uygulama penetrasyon testinin bir sonraki hedefi bir dizi farklı saldırı ve
istismar gerçekleştirmektir. cepten kredi kartı başvurusuBazı durumlarda, ilk aşamada toplanan bilgiler, uygulamanın
savunmasız olabileceği istismarları tespit edecektir. Açık bir güvenlik açığı
tespit edilmediyse, tüm saldırı ve istismarlar denenebilir.
Bir web uygulama penetrasyon testi ile birçok farklı teknik
açıklık bulunabilir. Bu testler genellikle bir uygulamaya girebilmek için
evrensel kaynak konum belirleyici (URL) manipülasyonu, oturum ele geçirme ve
yapılandırılmış sorgulama dili ( SQL ) enjeksiyonu gibi yöntemleri kullanmaya
çalışır. Ayrıca, uygulamanın anormal davranmasına neden olabilecek bir
arabellek taşması veya benzeri eylemler başlatma girişiminde bulunulmasına da
neden olabilir. Bu saldırılardan veya istismarlardan herhangi biri, uygulamanın
hassas verileri penetrasyon test cihazına göstermesine neden olursa, kusurlar
tipik olarak önerilen bir eylem planı ile birlikte raporlanır.
Yorumlar
Yorum Gönder