Web tabanlı uygulamalarda otomatik güvenlik denetim yazılımlarının iyileştirilmesi
Improving automated web application vulnerability scanners
- Tez No: 182521
- Danışmanlar: YRD. DOÇ. DR. ZERRİN AYVAZ REİS
- Tez Türü: Yüksek Lisans
- Konular: Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol, Bilim ve Teknoloji, Computer Engineering and Computer Science and Control, Science and Technology
- Anahtar Kelimeler: Belirtilmemiş.
- Yıl: 2006
- Dil: Türkçe
- Üniversite: İstanbul Üniversitesi
- Enstitü: Fen Bilimleri Enstitüsü
- Ana Bilim Dalı: Enformatik Ana Bilim Dalı
- Bilim Dalı: Belirtilmemiş.
- Sayfa Sayısı: 152
Özet
Web tabanlı uygulamalar organizasyonlara büyük kolaylıklar sağlamaktadır. Ancakorganizasyonların bilgi güvenliği riskleri açısından bakıldığında, web uygulamalarının birtakım riskleri de beraberinde getirdiği görülmektedir. Bu riskler, verilerin gizlilik,bütünlük veya erişilebilirliğinin bozulmasıdır. Kötü niyetli kişilerin verilerin gizlilik,bütünlük veya erişilebilirliğini bozma amacıyla gerçekleştirdiği aktiviteler, saldırı olaraknitelendirilmektedir.Saldırıların büyük çoğunluğu web protokolü üzerinden gerçekleşmekte ve webuygulamalarının çoğunda en az bir güvenlik problemi bulunmaktadır. Web tabanlıuygulamaların güvenlik seviyelerini arttırmaya yönelik olarak yapılan güvenlikdenetimleri, web uygulamaları güvenlik denetim yazılımları ile otomatikleştirilmektedir.Ancak bu denetim yazılımları bazı güvenlik problemlerini tespit edememekte ve hatalısonuçlar üretebilmektedir. Yapılan analizler ve tecrübeler sonucunda, otomatik güvenlikdenetim yazılımlarının iyileştirilmesi gerektiği görülmektedir.Bu tez çalışmasında, kullanıcı tarafında çalışan web uygulamalarının kullanımı azaldığıiçin, sunucu tarafındaki web uygulamaları ele alınmıştır. Bu sebeple, varolan otomatikgüvenlik denetim yazılımları incelenerek eksiklikler tespit edilmiş ve bu eksiklikleriniyileştirilmeleri için öneriler yapılmıştır. Bu önerileri gerçekleme amaçlıArachneDenetim ve ArachneRapor yazılımlarından oluşan bir Arachne yazılımıhazırlanmıştır.Oluşturulmuş olan yazılımda; sunucu davranış biçiminin incelenmesi ile hatalıalgılamaların azaltılması, geliştirilmiş güvenlik denetim özelliği ile güvenlikdenetimlerindeki gereksiz isteklerin azaltılması ve sayfa tarama robotlarında kullanılacakalgoritma ile, aynı web uygulamasının daha kısa sürede denetlenebileceği incelenmiştir.Değerlendirmeler sonucunda, incelenen kriterlere göre Arachne yazılımının diğerdenetim yazılımlarından daha başarılı olduğu tespit edilmiştir. Buna rağmen, halaeksiklikler bulunmaktadır. Bu eksikliklerin giderilmesine yönelik öneriler sonuçbölümünde ifade edilmiştir.
Özet (Çeviri)
Web based applications provide great advantages for organizations. But from aninformation security point of view, it is observed that they bring along some risks. Theimpacts of those risks are loss of confidentiality, integrity or availability of data. Badactivities which try to damage confidentiality, integrity or availability of data are definedas attacks.Most of the attacks occur over the web protocol and most of the web applications have atleast one vulnerability. Vulnerability assessment of web applications is done to improvetheir security and can be automated with web application vulnerability scanners. Butthose vulnerability scanners cannot detect all of the security problems and produceincorrect test results known as false positives. Analysis and well known results show that,automated vulnerability scanners should be improved.Since the use of client side web applications is in decrease, only web applications that runon server side are covered in this thesis. Therefore, existing automated vulnerabilitytesting software has been examined and suggestions were made to improve theirfunctions. Arachne software, which consists of ArachneDenetim and ArachneRapor, wasdeveloped to confirm those suggestions.This software discusses; lowering false detections by analyzing server behaviour,decreasing unnecessary requests by using improved security audit functions and how it ispossible to test the application in a shorter time by using an algorithm.As a conclusion of evaluations, it was determined that Arachne is better than existingvulnerability scanners according to the observed criterias. But there are still somedeficiencies. Suggestions, made to eliminate those deficiencies, are expressed in theresults chapter.
Benzer Tezler
- Investigating risk assessment and role of safety concerns in autonomous vehicle
Otonom araçlarda risk değerlendirmesi ve güvenlik kaygılarının modellenmesi
GÖZDE BAKİOĞLU DOĞANYILMAZ
Doktora
İngilizce
2022
Ulaşımİstanbul Teknik Üniversitesiİnşaat Mühendisliği Ana Bilim Dalı
PROF. DR. ALİ OSMAN ATAHAN
- Identifying web application vulnerability scanning tools using IP flow information
IP flow bilgisi kullanarak web uygulama açığı tarama araçları belirlenmesi
GÖKAY GÖKÇAY
Yüksek Lisans
İngilizce
2014
Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolFatih ÜniversitesiBilgisayar Mühendisliği Ana Bilim Dalı
YRD. DOÇ. DR. TUĞRUL YANIK
- Mobil uygulamaların güvenlik riskini analiz eden yazılım tabanlı servis tasarımı
Designing a software based service to analyze the security risks of mobile applications
ASIM SİNAN YÜKSEL
Doktora
Türkçe
2015
Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrolİstanbul ÜniversitesiBilgisayar Mühendisliği Ana Bilim Dalı
PROF. DR. AHMET SERTBAŞ
- Yapay zeka ve dinamik analiz tabanlı web uygulama zafiyet tarayıcısı
Artificial intelligence and dynamic analysis based web application vulnerability scanner
MEHMET ALİ YALÇINKAYA
Doktora
Türkçe
2020
Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolSüleyman Demirel ÜniversitesiBilgisayar Mühendisliği Ana Bilim Dalı
PROF. DR. ECİR UĞUR KÜÇÜKSİLLE
- RFID based access and control system with raspberry PI
RFİD tabanlı raspberry PI ile güvenlik ve erişim kontrol sistemi
OSAMAH SALIM AHMED QASSAB
Yüksek Lisans
İngilizce
2018
Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolSelçuk ÜniversitesiBilgisayar Mühendisliği Ana Bilim Dalı
PROF. DR. CEMİL SUNGUR