İnternet Sitesi Açığı Nasıl Bulunur?
İnternet sitesi açıkları, birçok yardımcı program aracılığıyla ya da casus bağlantılar ile saldırılarak bulunur. İnternet sitesindeki mevcut açıkların kapatılabilmesi için birçok güvenlik yazılımı ya da özel yazılımlar geliştirilmiş olsa bile yeterli olmayabilir.
Web sitesi çeşitleri nelerdir?
Statik web sitesi ve dinamik web sitesi olarak çeşitli web siteleri bulunmaktadır. (HTML web sitesi): Statik web sitesi, veritabanı kullanmadan HTM / HTML ile yazılmış statik olarak hazırlanmış bir web sitesidir. Bu programlama dilinde hazırlanan web sitesi, web sitesi yönetim paneline sahip değildir. Bu nedenle kullanıcılar, HTML ile hazırlanmış, sık güncelleme gerektirmeyen web sitelerini tercih etmektedir.
Ayrıca, HTML ile yazılmış web siteleri hacklenemez. Barındırma alanı üzerinden erişim sağlanmadığı sürece kod boşluklarından dolayı kırılamaz çünkü dinamik programlama dillerinde kodlama yapısı değişiklik gösterir. Kod boşluğu olmadığı için statik bir web sitesi türüdür. Bir HTML web sitesinin dezavantajı, web sitesi yönetim paneline sahip olmamasıdır. Bu nedenle, kullanıcıların güncelleme yapması kolay değildir.
Dinamik web sitesi (ASP, ASPX, .NET, PHP web sitesi): Dinamik bir web sitesi, bir veritabanı kullanılarak hazırlanan bir web sitesini ifade eder. Veritabanı kullanılarak hazırlanan bir web sitesinin en önemli işlevi, kullanıcıların bir web sitesi yönetim paneli hazırlamasına olanak sağlamaktır. Web sitesi yönetim paneli, kullanıcıların web sitesine güvenli ve kolay bir şekilde müdahale etmesini sağlar. Programlama sürecinde bırakılan kod boşlukları, istenmeyen üçüncü tarafların web sitesine dışarıdan erişmesine izin verir. Bu nedenle web sitesi tecrübeli kişiler tarafından hazırlanmalı ve yayınlanmadan önce gerekli testler yapılmalıdır.
Güvenlik hataları nasıl bulunur?
Uygulama hatalarını bulmanın en kolay yolu; Mevcut bir sayfanın kodları ile oynamak, formlar, başlık ile oynamak, çerezlerle oynamak.
Uygulamanın kaynak kodunu kullanmak: (Genel durum: Siteler arası komut dosyası oluşturma (XSS) ve SQL enjeksiyonu) Bu en basit ve en kullanışlı yöntemdir. Çok çalışma gerektiren bir iştir. Bu nedenle, bu sistemlerin hangi uygulamaları kullandığını bulmak zor olabilmektedir, örneğin genel bir uygulama değilse (PHPNuke, PostNuke gibi) bu yöntemi denenmemesi tavsiye edilmektedir.
Çerezlerle oynamak: Çerezler aslında sunucuya HTTP istek çerezleri aracılığıyla gönderilen değerlerdir: başlıklar ve sistemin kolayca hatırlamasını sağlar. Bu değerleri kullanarak küçük değişiklikler yapılır sistem yanılıp sistem yöneticisi gibi algılayabilir.
İnternet sitesi açığı bulma programları nelerdir?
Acunetix
Netsparker
N-stealth
Bu tarz programlar mevcut sistemin içerisindeki kaynak kodları tarayıp güvenlik açıklarının tespit edilmesinde rol oynar. Bu programların gösterdiği açıklar, doğru kodlarla ve uygulamalarla kullanılırsa internet sitesinin güvenlik açığı tespit edilmiş olur ve bu güvenlik açığı değerlendirilip internet sitesi hacklenir.
Web siteleri çoğunlukla dinamik yapıda olduklarından güvenlik önlemleri de sürekli bir biçimde güncellenmektedir. Güvenlik önlemleri güncellendiği kadar, mevcut web sitelerin açıklarının bulunma yöntemleri de sürekli olarak güncellenme göstermektedir.