Netsparker'da İspata Dayalı Tarama Teknolojisi

Netsparker'ın ispata dayalı tarama teknolojisi ile tarama sonrası işlemlerin çoğu otomatik hale getirilir; böylece zamanınızı güvenlik açıklarını bulmaya değil onları düzeltmeye harcar ve ofisten zamanında çıkarsınız.

Netsparker web uygulama güvenliği tarayıcıları, tanımladığı güvenlik zafiyetlerini tarama esnasında otomatik olarak exploit (istismar) eden ilk ve tek tarayıcıdır. Netsparker’ı rakiplerinden ayıran ve doğru sonuçlar üretmesini sağlayan şey, bu ispata dayalı tarama teknolojisidir.

Bu eşsiz teknolojiye giriş için aşağıdaki videoyu izleyebilir yada bu teknolojinin nasıl çalıştığına ve zafiyetlerin nasıl otomatik olarak doğrulandığına dair detaylı bilgi için bu dokümanı okuyabilirsiniz.

Eğer exploit edilebilirse; false-positive değildir

Eğer bir zafiyet exploit edilebiliyorsa, false-positive değil demektir. Böylece bu tartışılabilir bir durum olmaktan çıkar. Oto-exploit teknolojisi bu kavram üzerine inşa edilmiştir. Netsparker bir zafiyet bulur ve bunu otomatik olarak exploit eder. Onu kötüye kullanarak; yanlış alarm olmadığını kesinleştirmiş olur. Netsparker Desktop veya Enterprise bir güvenlik açığını onayladığında aşağıdaki ekran görüntüsünde olduğu gibi onu Confirmed olarak işaretler.

Tanımlanmış Güvenlik Açığına ait İspatı Otomatik Olarak Oluşturma

Durumun ilginçleştiği yer burasıdır aslında; Netsparker tarayıcıları, sadece otomatik olarak exploit eve tanımlanmış bir güvenlik açığını onaylamaz. Ayrıca bir proof of concept ya da proof of exploit üretmek suretiyle güvenlik açığının varlığını kanıtlar.

Proof of Exploit ve Proof of Concept

Netsparker, tanımlanan güvenlik açığının türüne bağlı olarak, bir proof of exploit veya proof of concept oluşturacaktır. Aşağıda her ikisinin de ne olduğunun ve Netsparker’ın hangi güvenlik açıklarını üreteceğinin açıklaması bulunmaktadır.

Proof of Concept

Proof of concept, güvenlik açığı bulunduğunu ispatlamak için kullanılabilecek gerçek bir istismar (exploit) yöntemidir. Örneğin; bir Cross-site Scripting (XSS) açığı bulunması durumunda Netsparker, çalıştırıldığında tanımlanan XSS'i exploit edecek bir HTML kod parçası üretir. Proof of concept, bir geliştiricinin güvenlik açığını göstermek ve çoğaltmak için kullanılabilir. Böylece saldırganın bu güvenlik açığını nasıl kullanabileceği ve ondan nasıl yararlanabileceği hakkında hızlı bir bilgi edinebilirsiniz. Aşağıda, Invicti Enterprise tarafından bildirilen bir XSS güvenlik açığının ekran görüntüsü bulunmaktadır. Netsparker'ın tanımlanan güvenlik açığını exploit ederken kullandığı URL'i raporladığı Proof URL'e dikkat edin.

Proof of Exploit

Proof of exploit, zafiyetin exploit edilmesinden sonra hedeften alınabilecek verinin, istismar edilmiş bir zafiyetin neden olabileceği etkileri vurgulayarak raporlanması için kullanılır. Örneğin; Netsparker Desktop, bir SQL Injection güvenlik açığının tespit edilmesi durumunda aşağıdaki ekran görüntüsünde görüldüğü gibi veri tabanı ile ilgili bilgileri ortaya çıkaracaktır.

Netsparker web uygulama güvenliği tarayıcıları, aşağıda belirtilen güvenlik açığı türlerinden herhangi birini tanımladığında bir proof of exploit üretebilir:

• SQL Injection
• Boolean SQL Injection
• Blind SQL Injection
• Command Injection
• Local File Inclusion (LFI)
• Remote File Inclusion (RFI)
• Remote Code Evaluation
• Remote Code Execution via Local File Inclusion

İspata Dayalı Tarama Teknolojisinin Faydaları

İspata dayalı tarama teknolojisi sayesinde tarama sonrasındaki işlemlerin otomatikleştirilmesinin çok sayıda faydası vardır. Sadece birkaçından bahsedersek;

• Tarayıcının bulduğu güvenlik açıklarını elle doğrulamanıza gerek yoktur. Bunun yerine, bildirilen güvenlik açıklarını gidereceğiniz kısma yoğunlaşmanız sağlanır ve zamandan tasarruf edilir.
• Netsparker güvenlik tarayıcılarından herhangi birini (Desktop veya Enterprise) kullanmak için deneyimli bir güvenlik uzmanı olmanız gerekmez. Sonuçlar sizin için otomatik olarak teyit edildiğinden bulguları nasıl üreteceğinizin bilinmesine gerek yoktur.

• Web uygulaması güvenlik zafiyeti taramasını daha az teknik kişiye atayabilir ve geliştiricilerin daha önemli bir şeye; yani kod yazmaya yoğunlaşmasına izin verebilirsiniz.
• Tarama görevlerini daha az teknik kişiye atayabileceğiniz için, web uygulamalarında güvenlik açığı bulma süreci size daha az maliyete neden olacaktır.
• QA olarak çalışıyorsanız; yazılım geliştiricilere uygulamada güvenlik açığı olduğunu kanıtlamak için ekstra efor sarfetmeyeceksiniz. Netsparker sizler için gerekli çıktıyı üretecek.
• Bir geliştirici veya hizmet sağlayıcısı olarak, üstünüzü veya müşterinizi, sorunlarını düzeltmeye ikna etmeniz gerekmez. Sadece onlara kanıtı gösterin ve onlar kesinlikle sizin devam etmenizi sağlayacaklardır.

İspata Dayalı Tarama Teknolojisi Güvenli Mi?

Evet. Netsparker web uygulama güvenliği tarayıcıları, zafiyetleri salt okunur ve güvenli bir şekilde exploit etmeye çalışır. Örneğin; bir SQL Injection zafiyeti exploit edilirken ve bu zafiyete ait bir proof of exploit oluşturulurken; veritabanı ve sunucu üzerindeki verilerde sadece okuma yapmaya çalışacaktır. Netsparker, veri tabanınız üzerinden veri ekleme ve silme işlemleri yapmaz.