Geri Dön

Web servis güvenliğinde token bazlı yeni yaklaşım

Token based novel approach to web service security

PDF İndir

  1. Tez No: 760965
  2. Yazar: MEHMET CİNCİ
  3. Danışmanlar: DR. ÖĞR. ÜYESİ CEREN ÇUBUKÇU ÇERASİ
  4. Tez Türü: Yüksek Lisans
  5. Konular: Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol, Computer Engineering and Computer Science and Control
  6. Anahtar Kelimeler: Belirtilmemiş.
  7. Yıl: 2022
  8. Dil: Türkçe
  9. Üniversite: Maltepe Üniversitesi
  10. Enstitü: Lisansüstü Eğitim Enstitüsü
  11. Ana Bilim Dalı: Bilgisayar Mühendisliği Ana Bilim Dalı
  12. Bilim Dalı: Bilgisayar Mühendisliği Bilim Dalı
  13. Sayfa Sayısı: 66

Özet

Günümüzde internetin yaygınlaşması ile kurumlar arasında verilerin iletilmesinde web servisler yoğun bir şekilde kullanılmaktadır. Web servisler ile veri transferlerinde üçüncü kişilerin erişimini önlemek için SSL / TLS kullanılmaktadır. Bu güvenlik çözümü sayesinde istemci ile sunucu arasındaki haberleşme güvenliği sağlanmış olunacaktır. Web servislerin üçüncü kişiler tarafından zafiyet saldırılarına uğradıkları gözlemlenmiştir. Bu atakların en popüler olanları XML Injection, XPath Injection, SQL Injection, Spoofing ve Denial of Service günümüzde de devam etmektedir. Bu saldırılara karşı bizim tavsiye etiğimiz XAdES tabanlı çözüm olacaktır. Burada karşılaştığımız en büyük problem; talep edilen Envelope'un istenilen XML formatı, Dijital imza ve imza türüne göre hazırlanıp sunucu tarafına iletilmesidir. Ayrıca XAdES oluşturmada en büyük problem, dijital imzalamada bulunan ve imzalama sırasında kullanılan Private Key'in satıcı kurum tarafından asimetrik olarak güvenlik nedenlerinden dolayı açık sunulmamasıdır. Genellikle kurumun sunduğu veya üçüncü şahıslar tarafından üretilen API'lere ihtiyaç duymaktadırlar. API'lerin kullandığı imzalama algoritmaları veya yapıların bazen yetersiz olduğu gözlemlenmiştir. Bundan dolayı kurumlar arasında özel kütüphaneler ile çözüme gidilmeye çalışılmıştır. Kurumlar arasındaki yapılan veri aktarımları istemci ile sunucu arasında Geliştirme, Test, Kalite Kontrol ve Canlı süreçlerinin zaman planlamasının yapılamamasından kaynaklanmaktadır. Ayrıca SOAP mesajının içerisinde yer alan Timestamp bilgisinin ömrünün çok kısa olması, konum, yer ve zaman farklılığın olmasından dolayı proje maliyetinin de hesaplanamadığı gözlemlenmiştir. Bu sistemlerin devlet kurumları tarafından zorlama yolu ile özel kurumlarda yaygınlaştırılması sağlanmıştır.

Özet (Çeviri)

Today, with the widespread use of the internet, data exchange between institutions has started to be done with web services. SSL / TLS was started to be used to prevent third party access in data transfers and only communication security between client and server was ensured. It has been observed that web services have been subjected to vulnerability attacks by third parties. The most popular of these attacks as of today are XML Injection, XPath Injection, SQL Injection, Spoofing, Denial of Service. Our recommendation against these attacks would be XAdES. The biggest problem faced here is that the requested Envelope is prepared according to the desired XML format, digital signature and signature type and transmitted to the server side. In addition, the biggest problem in creating XAdES is that the Private Key used in digital signing and used during signing is not presented asymmetrically by the vendor for security reasons. They usually need APIs provided by the institution or produced by third parties. Signing algorithms or structures used by APIs have sometimes been observed to be insufficient. For this reason, it has been tried to reach a solution with private libraries among institutions. Data transfers between institutions are due to the inability to schedule DEV, TEST, QA and PROD processes between the client and server. It has been observed that the project cost cannot be calculated due to the short life of the Timestamp information in the SOAP message, in addition to the location and time difference.

Benzer Tezler

  1. Tez No

    273851

    Kamusal web güvenliği (Türkiyede kamu kurumları ve özel şirketlere ait web sitelerinin web güvenliği açısından değerlendirilmesi üzerine bir araştırma)

    A study on comparison for web security between web pages of public institutions and private sector in Turkey

    MESUT GÜLNAZ

    Yüksek Lisans

    Türkçe

    Türkçe

    2010

    İletişim BilimleriMarmara Üniversitesi

    Gazetecilik Ana Bilim Dalı

    DOÇ. DR. ERHAN AKYAZI

  2. Tez No

    353566

    Siber güvenlik açısından sızma testlerinin uygulamalar ile değerlendirilmesi

    The evaluation with application of penetration tests for cyber security

    MUHAMMED ALPARSLAN AKYILDIZ

    Yüksek Lisans

    Türkçe

    Türkçe

    2013

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolSüleyman Demirel Üniversitesi

    Elektronik ve Haberleşme Mühendisliği Ana Bilim Dalı

    DOÇ. DR. TUNCAY YİĞİT

  3. Tez No

    833248

    Bulut sistemlerde kişisel verilerin kategorizasyonu ve uygun şifreleme yöntemlerinin araştırılması

    Categorization of personal data in cloud systems and research on suitable encryption methods

    ZİYA CAN KALKAVAN

    Yüksek Lisans

    Türkçe

    Türkçe

    2023

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolMaltepe Üniversitesi

    Bilgisayar Mühendisliği Ana Bilim Dalı

    DR. ÖĞR. ÜYESİ ÖNDER ŞAHİNASLAN

  4. Tez No

    611389

    Bulut bilişimin gelişimi ve mıcrosoft azure ortamında örnek bir web uygulaması

    The development of cloud informatics and a sample web application in microsoft azure environment

    ORHAN KAHRAMAN

    Yüksek Lisans

    Türkçe

    Türkçe

    2019

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolAltınbaş Üniversitesi

    Bilişim Teknolojileri Ana Bilim Dalı

    DR. ÖĞR. ÜYESİ SEFER KURNAZ

  5. Tez No

    111152

    Finansal piyasalarda elektronik risk ve denetimi

    Electronic risc and auditing in the financial markets

    HASAN ÖZKAN

    Yüksek Lisans

    Türkçe

    Türkçe

    2002

    BankacılıkMarmara Üniversitesi

    Sermaye Piyasası ve Borsa Ana Bilim Dalı

    YRD. DOÇ. DR. AHMET ÇİLİNGİRTÜRK

Geri Dön