Web Sitenizin Güvenlik Açığı Var mı Test Edin, Site Açık Tarama

İnternet sitenizin güvenlik açıklarının olması durumunda siteniz hackerlar (sanal korsanlar) tarafından kolayca ele geçirilebilir. Elbette bu açıkların kimisi çok kritik önem seviyesinde olabilirken kimisi de düşük önem seviyesinde olabilir. Web site güvenlik testi yaparak kritik önem seviyesine sahip güvenlik açıklarının tespit edilmesi durumunda öncelikli olarak bu açıkların kapatılması gerekmektedir.

Web sitesinin güvenlik açıklarının olması illa ki birileri tarafından ele geçirilip kontrol edileceği anlamı taşımaz, zararlı çeşitlerinin site dosyalarına bulaşmasıyla neticelenebilir bu da sitenizin ziyaretçilerinin zarar görmesine de neden olabilir.

Web sitenizin güvenlik açıklarını ücretsiz olarak tarayıp test edebileceğiniz web site açık tarama hizmetleri;

1- Acunetix Online Vulnerability Scanner

Ücretli bir servistir ancak üye olduktan sonra 14 gün ücretsiz olarak kullanılabilmektedir ki bu süre yeni oluşturulan bir site için yeterli bir zamandır. Öncelikle buradaki adrese giriş yapıp sayfadaki “Online Scan” bağlantısına tıklayıp üyelik oluşturmanız gerekir. Üyelik işleminden sonra üyelikte belirttiğiniz e-posta adresine gelen aktivasyon bağlantısına tıklayarak üyelik tamamlanır. Sitedeki hesabınıza giriş yapmak için ana sayfanın en alt kısmındaki “Acunetix Online Login” bağlantısını kullanabilirsiniz veya buraya tıklayarak giriş yapabilirsiniz. Giriş yaptığınızda web site güvenlik açık tarayıcıyı çalıştırabilmeniz için adım adım işlem sihirbazı görünecektir, ilk önce “Create Scan Target” bağlantısına tıklanır;

acunetix velnerability scanner

Bir tarama ismi verilir (örn; Taramam) ve tarama yapılacak sitenin IP adresi veya Domain adı girilir daha sonra “Add Scan Target” düğmesi tıklanır;

acunetix add scan target

Bu aşamada sitenin size ait olmadığını doğrulamanız gerekiyor bunun için “Download Verification File” düğmesine tıklayarak doğrulama dosyasını indirdikten sonra bu dosyayı sitenizin ana dizinine yüklemeniz gerekir. Yükleme işleminden sonra “Verifiy Scan Target” düğmesine tıklayarak doğrulama işlemi bitirilir;

acunex edit scan target

Üst menüdeki “LAUNCH SCAN” bağlantısı tıklandıktan sonra hedef sitenin karşısındaki “Scan Now” düğmesine tıklayarak tarama işlemi başlatılır;

acunex launch scanner

Açılan yeni sayfada tekrar “Launch Scan” tıklanır;

acunex scan now

Tarama işlemi planlanarak tarama kuyruğuna eklenmiş oldu. Bir süre sonra tekrar bakıp taramanın bitip bitmediği kontrol edilebilir. Taramanın durumunu öğrenmek için sitenin üst kısmındaki “SCANS” bağlantısı tıklanır. Web site güvenlik testi tamamlandığında sitenizle ilgili web site güvenlik açığı bulma raporu gelecektir buna göre kırmızı renkli açık sayısı high alert(yüksek önemli uyarı), turuncu renk medium alert(orta önemli uyarı), mavi renk(düşük önemli uyarı) ve yeşil renk bilgilendirme amaçlı uyarıları belirtmektedir. İlgili uyarı rengine tıklandığında hangi uyarıların veya açıkların olduğu görülebilir;

acunex tarama bitişi

2- Scan My Server ile Site Açık Tarama

Bu adrese girdikten sonra test edeceğiniz adresi yazarak “Scan” düğmesine basmalısınız;

scan my server site açık tarama

E-posta adresinizi yazıp “Next Step” düğmesine tıklamalısınız;

scan my server 2

Site adresiniz ve e-posta adresiniz(tarama sonuçları bu adrese gönderilecek) doğruysa “Last Step” düğmesine tıklamalısınız;

scan my server 3

“View Seal” düğmesi tıklanır;

scan my server 4

Size verilen HTML kodunu sitenizin ana sayfasına yerleştirdikten sonra “Confirm Now” düğmesi tıklanarak siteniz doğrulanmış olur. 2 saat içinde tarama gerçekleştirilip sonuçları sizin verdiğiniz e-posta adresine gönderilir.

3- Detectify ile Web Site Güvenlik Testi

Bu adrese girdikten sonra ana sayfadan “Start 21-day free trial” bağlantısına tıklayarak üye olduktan sonra 21 günlük deneme sürümünü başlatabilirsiniz. Üyelik işleminin ardından belirttiğiniz mail adresine gelen aktivasyon bağlantısı tıklanarak üyelik tamamlanır. Üye giriş yapıldıktan sonra yönetim panelinden Web site güvenlik testi yapılacacak yani güvenlik açıklarının taratılacağı alan adı (Domain) kaydedilir;

detectify add domain

Eklediğiniz sitenin doğrulanması gerekmektedir. Doğrulama metodu seçildikten sonra sağ tarafta doğrulamanın nasıl yapılabileceğiyle ilgili açıklamalar yer almaktadır. Örnek olarak “File” doğrulaması seçilirse sağ tarafta verilen doğrulama dosyasını “Download Verification File” tıklayarak indirip sitenin ana dizinine yükledikten sonra “Verify” düğmesiyle doğrulama işlemini tamamlamamız gerekiyor;

detectify doğrulama işlemi

Doğrulamanın tamamlanmasının ardından “Monitoring” bölümündeki “Start” düğmesine basarak Web site güvenlik testi tarama işlemi başlatılır;

detectify scan başlatma

Tarama işlemi biraz zaman almaktadır, tarama bitince raporu inceleyerek güvenlik problemlerini görebilirsiniz. Kritik(Critical), Medium(Orta), Uyarı(Notice) ve Bilgilendirme(Information) düzeyinde raporlar bulunmaktadır. “View Full Report” ve ardından “View Findings” tıklanarak tüm ayrıntıları inceleyebilirsiniz;

detectify scan rapor

Linux ve Windows platformları için indirilebilen uygulamalar vasıtasıyla da daha kapsamlı tarama yapılabilecek açık kaynak kodlu web site açık tarama araçları mevcuttur.

4- Observatory by Mozilla

Geliştiriciler, sistem yöneticileri ve güvenlik uzmanlarının web sitelerinin güvenli kalmasına yardım etmek üzere tasarlanmış bir projedir. Web sitenizin güvenlik seviyesini ücretsiz olarak test edebileceğiniz bir sitedir.  Web site güvenlik testi yapmak için İnternet sitesine buraya tıklayarak ulaşabilirsiniz.

observatory by mozilla ana sayfa

“enter domain name here” yazılı kısıma web site güvenlik testi yapacağınız adresi(URL adresi) girin. Eğer tarattığınız sitenin güvenlik test sonuçlarının herkese açık bir şekilde görünmesini(yayınlanmasını) istemiyorsanız yani sonucu sadece siz görmek istiyorsanız “Don’t include my site in the public results” seçeneğini işaretleyin. Yazdığınız adres daha önceden taratılmış ise size ön bellekteki önceki en son tarama sonucu gösterilecektir, eğer siz sitenin en güncel hali olabileceğini düşünerek ne olursa olsun yeniden taratmak isterseniz “Force a rescan instead of returning cached results” seçeneğini işaretleyin. Mozilla Observatory kapsamlı bir tarama olması için üçüncü parti güvenlik tarayıcılarını da kullanır, eğer harici bir tarama servisine başvurmasını istemezseniz “Don’t scan with third-party scanners” seçeneğini işaretleyebilirsiniz. Kapsamlı tarama sonucu almak için üçüncü parti güvenlik tarayıcılarını kullanılmasına izin vermenizi tavsiye ederim.

Ayarlamaları yaptıktan sonra “Scan Me” düğmesine tıklayarak taramayı başlatabilirsiniz. Tarama işlemi bittikten sonra aşağıdaki gibi bir sonuç ekranı gelir. Bu ekranda özet sonuç skoru bulunmaktadır.

observatory web site güvenlik testi

En iyi sonuç skorunun A+ olduğunu düşünürsek tarama yapılan site F alarak oldukça düşük bir puana sahip. Ekranı aşağı doğru kaydırdığınızda detaylı raporları bulabilirsiniz.

observatory-test-skoru

Sitenin ana sayfasındaki “Click to view all recent Observatory scans” bağlantısına tıklayarak son güvenlik taraması yapılan siteleri ve tarama sonucunda aldıklarını puanı görebilirsiniz.

observatory-son-taramalar

Paylaş Facebook'ta Paylaş Twitter'da Paylaş Google+'da Paylaş

Yazıya yapılan yorumlar

Henüz yorum yapılmamış!

wpDiscuz