Geri Dön

Web tabanlı uygulamalarda otomatik güvenlik denetim yazılımlarının iyileştirilmesi

Improving automated web application vulnerability scanners

  1. Tez No: 182521
  2. Yazar: SERTAN KOLAT
  3. Danışmanlar: YRD. DOÇ. DR. ZERRİN AYVAZ REİS
  4. Tez Türü: Yüksek Lisans
  5. Konular: Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol, Bilim ve Teknoloji, Computer Engineering and Computer Science and Control, Science and Technology
  6. Anahtar Kelimeler: Belirtilmemiş.
  7. Yıl: 2006
  8. Dil: Türkçe
  9. Üniversite: İstanbul Üniversitesi
  10. Enstitü: Fen Bilimleri Enstitüsü
  11. Ana Bilim Dalı: Enformatik Ana Bilim Dalı
  12. Bilim Dalı: Belirtilmemiş.
  13. Sayfa Sayısı: 152

Özet

Web tabanlı uygulamalar organizasyonlara büyük kolaylıklar sağlamaktadır. Ancakorganizasyonların bilgi güvenliği riskleri açısından bakıldığında, web uygulamalarının birtakım riskleri de beraberinde getirdiği görülmektedir. Bu riskler, verilerin gizlilik,bütünlük veya erişilebilirliğinin bozulmasıdır. Kötü niyetli kişilerin verilerin gizlilik,bütünlük veya erişilebilirliğini bozma amacıyla gerçekleştirdiği aktiviteler, saldırı olaraknitelendirilmektedir.Saldırıların büyük çoğunluğu web protokolü üzerinden gerçekleşmekte ve webuygulamalarının çoğunda en az bir güvenlik problemi bulunmaktadır. Web tabanlıuygulamaların güvenlik seviyelerini arttırmaya yönelik olarak yapılan güvenlikdenetimleri, web uygulamaları güvenlik denetim yazılımları ile otomatikleştirilmektedir.Ancak bu denetim yazılımları bazı güvenlik problemlerini tespit edememekte ve hatalısonuçlar üretebilmektedir. Yapılan analizler ve tecrübeler sonucunda, otomatik güvenlikdenetim yazılımlarının iyileştirilmesi gerektiği görülmektedir.Bu tez çalışmasında, kullanıcı tarafında çalışan web uygulamalarının kullanımı azaldığıiçin, sunucu tarafındaki web uygulamaları ele alınmıştır. Bu sebeple, varolan otomatikgüvenlik denetim yazılımları incelenerek eksiklikler tespit edilmiş ve bu eksiklikleriniyileştirilmeleri için öneriler yapılmıştır. Bu önerileri gerçekleme amaçlıArachneDenetim ve ArachneRapor yazılımlarından oluşan bir Arachne yazılımıhazırlanmıştır.Oluşturulmuş olan yazılımda; sunucu davranış biçiminin incelenmesi ile hatalıalgılamaların azaltılması, geliştirilmiş güvenlik denetim özelliği ile güvenlikdenetimlerindeki gereksiz isteklerin azaltılması ve sayfa tarama robotlarında kullanılacakalgoritma ile, aynı web uygulamasının daha kısa sürede denetlenebileceği incelenmiştir.Değerlendirmeler sonucunda, incelenen kriterlere göre Arachne yazılımının diğerdenetim yazılımlarından daha başarılı olduğu tespit edilmiştir. Buna rağmen, halaeksiklikler bulunmaktadır. Bu eksikliklerin giderilmesine yönelik öneriler sonuçbölümünde ifade edilmiştir.

Özet (Çeviri)

Web based applications provide great advantages for organizations. But from aninformation security point of view, it is observed that they bring along some risks. Theimpacts of those risks are loss of confidentiality, integrity or availability of data. Badactivities which try to damage confidentiality, integrity or availability of data are definedas attacks.Most of the attacks occur over the web protocol and most of the web applications have atleast one vulnerability. Vulnerability assessment of web applications is done to improvetheir security and can be automated with web application vulnerability scanners. Butthose vulnerability scanners cannot detect all of the security problems and produceincorrect test results known as false positives. Analysis and well known results show that,automated vulnerability scanners should be improved.Since the use of client side web applications is in decrease, only web applications that runon server side are covered in this thesis. Therefore, existing automated vulnerabilitytesting software has been examined and suggestions were made to improve theirfunctions. Arachne software, which consists of ArachneDenetim and ArachneRapor, wasdeveloped to confirm those suggestions.This software discusses; lowering false detections by analyzing server behaviour,decreasing unnecessary requests by using improved security audit functions and how it ispossible to test the application in a shorter time by using an algorithm.As a conclusion of evaluations, it was determined that Arachne is better than existingvulnerability scanners according to the observed criterias. But there are still somedeficiencies. Suggestions, made to eliminate those deficiencies, are expressed in theresults chapter.

Benzer Tezler

  1. Investigating risk assessment and role of safety concerns in autonomous vehicle

    Otonom araçlarda risk değerlendirmesi ve güvenlik kaygılarının modellenmesi

    GÖZDE BAKİOĞLU DOĞANYILMAZ

    Doktora

    İngilizce

    İngilizce

    2022

    Ulaşımİstanbul Teknik Üniversitesi

    İnşaat Mühendisliği Ana Bilim Dalı

    PROF. DR. ALİ OSMAN ATAHAN

  2. Identifying web application vulnerability scanning tools using IP flow information

    IP flow bilgisi kullanarak web uygulama açığı tarama araçları belirlenmesi

    GÖKAY GÖKÇAY

    Yüksek Lisans

    İngilizce

    İngilizce

    2014

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolFatih Üniversitesi

    Bilgisayar Mühendisliği Ana Bilim Dalı

    YRD. DOÇ. DR. TUĞRUL YANIK

  3. Mobil uygulamaların güvenlik riskini analiz eden yazılım tabanlı servis tasarımı

    Designing a software based service to analyze the security risks of mobile applications

    ASIM SİNAN YÜKSEL

    Doktora

    Türkçe

    Türkçe

    2015

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrolİstanbul Üniversitesi

    Bilgisayar Mühendisliği Ana Bilim Dalı

    PROF. DR. AHMET SERTBAŞ

  4. Yapay zeka ve dinamik analiz tabanlı web uygulama zafiyet tarayıcısı

    Artificial intelligence and dynamic analysis based web application vulnerability scanner

    MEHMET ALİ YALÇINKAYA

    Doktora

    Türkçe

    Türkçe

    2020

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolSüleyman Demirel Üniversitesi

    Bilgisayar Mühendisliği Ana Bilim Dalı

    PROF. DR. ECİR UĞUR KÜÇÜKSİLLE

  5. RFID based access and control system with raspberry PI

    RFİD tabanlı raspberry PI ile güvenlik ve erişim kontrol sistemi

    OSAMAH SALIM AHMED QASSAB

    Yüksek Lisans

    İngilizce

    İngilizce

    2018

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolSelçuk Üniversitesi

    Bilgisayar Mühendisliği Ana Bilim Dalı

    PROF. DR. CEMİL SUNGUR