Geri Dön

Web ve API zafiyetlerine yönelik güvenlik stratejileri ile XSS saldırılarının makine öğrenmesi yöntemleriyle tespiti

Security strategies against web and API vulnerabilities with machine learning-based detection of XSS attacks

PDF İndir

  1. Tez No: 941696
  2. Yazar: SİMGE ŞENGÜL
  3. Danışmanlar: DR. ÖĞR. ÜYESİ DURMUŞ ÖZKAN ŞAHİN
  4. Tez Türü: Yüksek Lisans
  5. Konular: Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol, Computer Engineering and Computer Science and Control
  6. Anahtar Kelimeler: Belirtilmemiş.
  7. Yıl: 2025
  8. Dil: Türkçe
  9. Üniversite: Ondokuz Mayıs Üniversitesi
  10. Enstitü: Lisansüstü Eğitim Enstitüsü
  11. Ana Bilim Dalı: Bilgisayar Mühendisliği Ana Bilim Dalı
  12. Bilim Dalı: Belirtilmemiş.
  13. Sayfa Sayısı: 113

Özet

Bu çalışma, modern web ve Uygulama Program Arayüzü (Application Programming Interface: API) tabanlı sistemlerde yaygın olarak karşılaşılan güvenlik açıklarını detaylı şekilde incelemektedir. Bu zafiyetlere karşı uygulanabilir güvenlik stratejileri geliştirmeyi amaçlamaktadır. Ayrıca, Siteler Arası Betik Çalıştırma (Cross-Site Scripting: XSS) saldırılarını makine öğrenmesi yöntemleriyle tespit etmeye yönelik deneysel bir analiz sunmaktadır. Çalışma; yazılım geliştiriciler, sistem yöneticileri ve siber güvenlik uzmanlarına rehberlik etmeyi hedeflemektedir. Güvenlik açıklarının tanınması, anlaşılması ve önlenmesine katkı sağlamayı amaçlamaktadır. Aynı zamanda, güvenlik farkındalığını artırarak hem bireysel hem de kurumsal düzeyde daha dirençli dijital sistemlerin oluşturulmasına yönelik stratejiler sunmaktadır. Araştırmanın kapsamı; Açık Web Uygulaması Güvenlik Projesi (Open Web Application Security Project: OWASP) Top 10 2021 listesinde yer alan güvenlik açıklarının detaylı analizini içermektedir. Bu açıkların istismar yöntemleri, operasyonel süreçlere etkileri ve organizasyonlara verebileceği potansiyel zararlar da kapsam dahilindedir. Güvenli kimlik doğrulama, veri doğrulama mekanizmalarının eksiklikleri ve sistem yapılandırma hataları gibi kritik güvenlik zafiyetleri örneklerle ele alınmıştır. Çalışmanın ikinci bölümünde, XSS saldırılarının tespiti amacıyla kapsamlı bir deneysel analiz gerçekleştirilmiştir. Bu kapsamda, metin madenciliğine dayalı iki farklı metin temsil yöntemi kullanılmıştır. Bunlar; Kelime Çantası (Bag of Words: BoW) ve Terim Frekansı-Ters Doküman Frekansı (Term Frequency-Inverse Document Frequency: TFIDF) yöntemleridir. Bu yöntemlerle öznitelik uzayı yapılandırılmıştır. Dokuz farklı sınıflandırma algoritması, çeşitli öznitelik seçme yöntemleriyle birlikte değerlendirilmiştir. Elde edilen sonuçlar özellikle Çok Katmanlı Algılayıcı, Rastgele Orman, AdaBoost ve Destek Vektör Makinesi gibi algoritmaların yüksek doğruluk ve F1-skoru ile öne çıktığını göstermiştir. Önerilen öznitelik seçme yöntemi ile sadece 4 veya 5 öznitelik kullanılarak \%99'un üzerinde doğruluk elde edilmiştir. Bu durum, geliştirilen yöntemin etkinliğini ortaya koymaktadır. Ayrıca farklı metin temsil tekniklerinin sınıflandırma performansı üzerindeki etkisi de değerlendirilmiştir. Doğru kombinasyonlarla XSS saldırılarının başarılı şekilde tespit edilebileceği gösterilmiştir. Bu yönüyle çalışma, hem güvenlik açıklarının önlenmesine yönelik stratejik yaklaşımlar sunmakta hem de makine öğrenmesi yöntemleriyle saldırı tespitine dair uygulanabilir çözümler geliştirmektedir.

Özet (Çeviri)

This study provides an in-depth examination of security vulnerabilities commonly encountered in modern web and API-based systems. It aims to develop applicable security strategies to address these vulnerabilities. Additionally, it presents an experimental analysis focused on detecting Cross-Site Scripting (XSS) attacks using machine learning techniques. The study is intended to serve as a guide for software developers, system administrators, and cybersecurity professionals. It aims to contribute to the recognition, understanding, and prevention of security vulnerabilities, while also enhancing security awareness to foster the development of more resilient digital systems at both individual and organizational levels. The scope of the research includes a detailed analysis of the security vulnerabilities listed in the Open Web Application Security Project (OWASP) Top 10 2021. It also covers exploitation methods, impacts on operational processes, and the potential damage these vulnerabilities may cause to organizations. Critical issues such as insecure authentication, deficiencies in data validation mechanisms, and misconfigurations in system setups are discussed with illustrative examples. In the second part of the study, a comprehensive experimental analysis is conducted to detect XSS attacks. In this context, two text representation methods based on text mining are employed: Bag of Words (BoW) and Term Frequency-Inverse Document Frequency (TFIDF). These methods are used to construct the feature space. Nine different classification algorithms are evaluated in combination with various feature selection techniques. The results show that algorithms such as Multilayer Perceptron, Random Forest, AdaBoost, and Support Vector Machine stand out with high accuracy and F1-scores. With the proposed feature selection method, over 99\% accuracy was achieved using only 4 or 5 features. This demonstrates the effectiveness of the proposed method. Furthermore, the impact of different text representation techniques on classification performance is assessed. The findings reveal that XSS attacks can be successfully detected with the right combination of methods. In this respect, the study not only offers strategic approaches for preventing security vulnerabilities but also provides practical solutions for attack detection using machine learning techniques.

Benzer Tezler

  1. Tez No

    548301

    Mikroservis tabanlı ağ uygulamalarında zararlı davranışların saptanması

    Detecting malicious behavior in microservices-based web applications

    MUSTAFA ÖZBEK

    Yüksek Lisans

    Türkçe

    Türkçe

    2019

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrolİstanbul Teknik Üniversitesi

    Bilgisayar Mühendisliği Ana Bilim Dalı

    DR. ÖĞR. ÜYESİ MEHMET TAHİR SANDIKKAYA

  2. Tez No

    636478

    Argent: A web based augmented reality framework for dynamic content generation

    Argent: Web tabanlı dinamik içerik destekli artırılmış gerçeklik geliştirme altyapısı

    GÖKHAN KURT

    Yüksek Lisans

    İngilizce

    İngilizce

    2020

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrolİstanbul Teknik Üniversitesi

    Oyun Teknolojileri Ana Bilim Dalı

    DR. ÖĞR. ÜYESİ GÖKHAN İNCE

  3. Tez No

    430280

    Harita mashup uygulamalarıyla zamana ve mekâna bağlı görsel analitik ortamı oluşturulması: Konya Kapalı Havzası örneği

    Developing a geo-temporal visual analytics environment with map mashups: A case study on Konya Closed Basin

    OSMAN SAMİ KIRTILOĞLU

    Doktora

    Türkçe

    Türkçe

    2016

    Jeodezi ve FotogrametriSelçuk Üniversitesi

    Harita Mühendisliği Ana Bilim Dalı

    PROF. DR. İBRAHİM ÖZTUĞ BİLDİRİCİ

  4. Tez No

    690263

    Sosyal medya madenciliği ile seçim coğrafyası: 31 Mart 2019 yerel seçimi örneğinde Ankara

    Electoral geography with social media mining: Ankara in the example of March 31, 2019 local election

    BURAK OĞLAKCI

    Yüksek Lisans

    Türkçe

    Türkçe

    2021

    Bilim ve TeknolojiBalıkesir Üniversitesi

    Coğrafya Ana Bilim Dalı

    DOÇ. DR. ALPER UZUN

  5. Tez No

    951371

    Su parametrelerinin çevrimiçi izlemesi ve CBS kullanılarak değerlendirilmesi amacı ile otonom insansız yüzey aracı geliştirilmesi

    Development of autonomous unmanned surface vehicle for online monitoring and evaluation of water parameters using GIS

    HÜSEYİN DURAN

    Doktora

    Türkçe

    Türkçe

    2025

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolAkdeniz Üniversitesi

    Uzaktan Algılama ve Coğrafi Bilgi Sistemleri Ana Bilim Dalı

    PROF. DR. NAMIK KEMAL SÖNMEZ

Geri Dön