Popüler işletim sistemleri ve web uygulamalarında penetrasyon testlerinin değerlendirilmesi
Evaluation of penetration tests in popular operating systems and web applications
- Tez No: 563935
- Danışmanlar: DR. ÖĞR. ÜYESİ DURMUŞ ÖZDEMİR
- Tez Türü: Yüksek Lisans
- Konular: Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol, Computer Engineering and Computer Science and Control
- Anahtar Kelimeler: Bilgi Güvenliği, Penetrasyon (Sızma) Testi, Saldırı Yöntemleri, Siber Güvenlik, Zafiyet Analizi, Information Security, Penetration (Infiltration) Testing, Attack Methods, Cyber Security, Vulnerability Analysis
- Yıl: 2019
- Dil: Türkçe
- Üniversite: Kütahya Dumlupınar Üniversitesi
- Enstitü: Fen Bilimleri Enstitüsü
- Ana Bilim Dalı: Bilgisayar Mühendisliği Ana Bilim Dalı
- Bilim Dalı: Bilgisayar Mühendisliği Bilim Dalı
- Sayfa Sayısı: 337
Özet
Son zamanlarda dünyada olduğu gibi ülkemizde de bilgi teknolojilerinin kullanımı yaygınlaşmakta ve siber güvenliğin önemi artmaktadır. Bilgi teknolojileri kullanıcıya çeşitli faydalar sağlayan karmaşık yapılara sahip yazılımlar sunmakta ve yapısı gereği güvenlik açıklarına da sebep olmaktadır. Bu durum çeşitli kurum ve kuruluşları, bireysel kullanıcıları, kurumsal web sitelerini ve sistemlerini kötü niyetli şahısların (hacker) saldırılarına açık hale getirmektedir. Bilgi güvenliği bu saldırıları önlemek adına dijital ortamda depolanan bilgilerin güvenliğini sağlamak için yapılan tüm çalışmaları kapsamaktadır. Bu çalışmalardan biri de penetrasyon (sızma) testleridir. Penetrasyon testleri uzman kişiler tarafından var olan bilgi sistemi açıklarının kötü niyetli şahıslardan önce tespit edilip gerekli önlemlerin alınması hususunda bir rapor hazırlanması ve ilgili kişilerin bilgilendirilmesi şeklinde gerçekleştirilmektedir. Özellikle ülkemizde penetrasyon testi uzmanları oldukça az sayıdadır ve bu konuda kendilerini geliştirmek isteyen kişilere yönelik yeterli kaynak bulunmamaktadır. Kurumsal firmalar penetrasyon testlerini güvenlik amacıyla gizli bir şekilde ve yalnızca penetrasyon testi uzmanlarını çalıştıran firmalarca gerçekleştirmektedir. Bu durum bu konuyu merak eden ve bu konuda çalışma yapmak isteyen araştırmacıların gerçek bir ortamda deneme ve çalışma yapmasına olanak sağlamamaktadır. Bu çalışmada kurumsal bir yapının IT sisteminde bulunan Domain Controller'a bağlı Windows XP, Windows 7, Windows 10, Kali Linux, IIS Server, MSSQL Sever gibi işletim sistemleri ve sunucular sanal laboratuvar ortamı olarak kurularak penetrasyon testi aşamaları uygulamalı olarak gerçekleştirilmiştir. Çalışmanın web uygulamaları kısmında ise, zafiyetli (vulnerability) web sitesi üzerinde penetrasyon testi aşamaları uygulanmıştır. Ayrıca günümüzde mobil cihazların yaygınlaşması nedeniyle ortaya çıkan kullanıcı taraflı saldırılara yönelik android emülatörleri üzerinde uygulamalar yapılmıştır. Bu sayede günümüzde yaygın şekilde kullanılmakta olan popular işletim sistemleri ve web uygulamalarına yönelik zafiyet tespitleri ve zafiyet sömürü işlemleri gerçekleştirilmiştir. Windows XP, Windows 7, Windows 10, Linux ve Android işletim sistemi mimarileri sunularak bu işletim sistemleri üzerinde penetrasyon testlerinin anlaşılması ve gerekli güvenlik önlemlerinin alınması amacıyla güvenlik mekanizmaları incelenmiştir. Bu çalışmada kurumsal bir firmanın penetrasyon testi aşamalarının bir bütün halinde incelenmesi ve açıklarının belirlenmesi aşamalarının uygulamalı şekilde sunulması hedeflenmiştir. Bu sayede penetrasyon testi ve bilgi güvenliği alanlarında araştırma yapmak isteyen sektör çalışanlarına ve araştırmacılarına kaynak olma niteliği sağlanması amaçlanmıştır.
Özet (Çeviri)
Recently, the use of information technologies has become widespread and importance of cyber security has increased in our country and as well as in the world. Information technologies offer a complex structure of software that provides the user with various benefits and because of this structure cause security vulnerabilities. This situation makes the various institutions and organizations, individual users, corporate websites and systems vulnerable to attacks by malicious people (hacker). Information security includes all studies to prevent these attacks and secure the information stored in digital environment. Penetration testing is one of these studies. Penetration tests are carried out by experts to identify the information system deficits that are identified before malicious persons and to prepare a report on taking necessary precautions and inform the relevant persons. Particularly in our country penetration testing experts are very few and in this field there are not enough resources for those who want to develop themselves. Enterprise companies perform penetration tests in a confidential way for security purposes and only by companies employing penetration testing specialists. This situation does not allow researchers who want to study this subject and to do research and study in a real environment. In this study, a simple virtual laboratory environment based on the Domain Controller, which resembles the IT system of an enterprise, was designed. In this virtual laboratory, there are operating systems and servers such as Windows XP, Windows 7, Windows 10, Kali Linux, IIS Server, MSSQL Sever connected to Domain Controller. We have also dealt with a vulnerable website and three Android Emulator based on Kali Linux 2019. Windows XP, Windows 7, Windows 10, Linux and Android architectures were introduced and security mechanisms of these operating systems were exemined in order to understand Penetration tests and take nessesary security measures. The aim of this study is to contribute to the sector employees and researchers who want to do research on this subject in accordance with the nature of being a resource. It is aimed to examine the penetration test phases of an enterprise firm as a whole and to present to stages of identifying security vulnerabilities and exploitations practically.
Benzer Tezler
- Measurement of Javascript applications' readiness to untrusted data using Bayesian networks
Javascript uygulamalarında güvenilir olmayan verilere karşı hazırlığının Bayesian ağları ile ölçülmesi
EKİNCAN UFUKTEPE
Yüksek Lisans
İngilizce
2014
Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrolİzmir Yüksek Teknoloji EnstitüsüBilgisayar Mühendisliği Ana Bilim Dalı
YRD. DOÇ. DR. TUĞKAN TUĞLULAR
- Otomatize edilmiş web tabanlı veri analizi sistem bileşenleri tasarımı
Design of the automated web based data analysis system components
MEHMET AKİF ORTAK
Yüksek Lisans
Türkçe
2019
Coğrafyaİstanbul Teknik ÜniversitesiGeomatik Mühendisliği Ana Bilim Dalı
DOÇ. DR. UĞUR ALGANCI
- System design for internet of things and network coding applications in the wireless personal area networks
Nesnelerin interneti için sistem tasarımı ve kablosuz kişisel alan ağlarında ağ kodlama uygulamaları
GÖRKEM ÖZVURAL
Yüksek Lisans
İngilizce
2015
Elektrik ve Elektronik Mühendisliğiİstanbul Teknik ÜniversitesiElektronik ve Haberleşme Mühendisliği Ana Bilim Dalı
DOÇ. DR. GÜNEŞ KARABULUT KURT
- Generating a dynamic usercontol library for Windows Phone 8 developement
Windows Phone 8 geliştirmesi için dinamik kullanıcı kontrol kütüphanesi oluşturma
İLKER SATMAZ
Yüksek Lisans
İngilizce
2015
Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolDokuz Eylül ÜniversitesiBilgisayar Mühendisliği Ana Bilim Dalı
YRD. DOÇ. DR. ÖZLEM AKTAŞ
- Designing of web-based lattice path controller for indoor environment by using multiple quadrotors
İç mekanlar için web tabanlı kafes yolu kontrolcüsünün çoklu dört rotorlular kullanılarak tasarlanması
ONUR KESKİN
Doktora
İngilizce
2017
Mekatronik MühendisliğiDokuz Eylül ÜniversitesiMekatronik Mühendisliği Ana Bilim Dalı
PROF. DR. ZEKİ KIRAL