Web Uygulama Güvenliğinde False Positive Sorunu
False positive'lerin web uygulama güvenliği sektöründe neden büyük bir problem teşkil ettiğini ve ücretsiz bir false positive web güvenik tarayıcısını nasıl temin edebileceğinizi bu yazımızı okuyarak öğrenebilirsiniz.
False positive, yanlış alarm gibidir. Evinizdeki alarm çalar fakat ortalıkta bir hırsız göremezsiniz. Web uygulama güvenliğinde ise; web uygulaması güvenlik tarayıcısının web sitenizde bulunan SQL Injection gibi bir zafiyetin var olduğunu göstermesi fakat gerçekte bu açığın bulunmaması anlamına gelir.
Web güvenlik uzmanları ve pentester’lar, web uygulamasının saldırı yüzeylerinin uygun bir süre içerisinde test edilmesini sağlayan sızma testi süreçlerini kolaylaştırmak için, otomatize edilmiş web uygulaması güvenlik tarayıcılarını kullanırlar. Fakat yine de otomatik araçlar, yazının geri kalan kısmında açıklanacak olan bazı problemlere neden olabilmektedir.
False Positive’lerin Neden Olduğu Maliyetli Web Uygulama Güvenliği
Web uygulama güvenliği tarayıcılarının false positive’leri raporladıkları bilinir. Bu nedenle bir web uygulamasına yapılan sızma testi, belli bir süre kaybına neden olur. Çünkü pentester’lar raporlanan tüm açıklara göz atmak ve bu açıkların exploit edilebilir olduklarını manuel bir biçimde doğrulamak zorundadırlar. Web uygulama güvenliği, sürecin uzunluğundan dolayı pek çok işletme tarafından maliyetli bir iş olarak görülür. Fakat yüksek maliyet, false positive’lerin meydana getirdiği tek olumsuzluk değildir.
Gerçek Web Uygulama Zafiyetlerini Göz Ardı Etme
Tabiatıyla, biz insanlar yanlış alarmları hızlı göz ardı eder ve ihmalkâr davranırız. Pentester’lar da aynı şeyi web uygulama güvenlik testlerinde yapmaktadırlar. Örneğin, bir web uygulaması güvenliği tarayıcısı 200 adet Cross Site Scripting açığı bulsa ve ilk 20 çeşidi false positive olsa, sızma testini gerçekleştiren uzman diğerlerinin de false positive olduğunu varsayar ve geri kalanları göz ardı eder. Bundan dolayı, aslında var olan web güvenlik açıklarının tespit edilememesi gibi bir sorun ortaya çıkar.
Pentester’dan Kaynaklanan Bilgi Eksikliği Tarayıcının Fazla False Positive Raporlamasına Neden Olur
Pentester, tarayıcının bulduklarını manuel olarak doğrulamak zorunda kalırsa testin sonuçları, web uygulama güvenliği tarayıcısının becerisine göre değil pentester’ın bilgisi çerçevesinde değerlendirilmiş olacak. Bunu, uzun yıllar boyunca yapılan profesyonel araştırmalarla doğrulamak mümkün. Pentester’lar, web uygulaması güvenliği tarayıcılarına güvenmediğinden web güvenlik tarayıcısının tespit ettiği tüm açıkları tekrar kontrol ederler.
Şayet web güvenlik tarayıcısını kullanan kişi, bilgisizliğinden veya deneyimsizliğinden dolayı belli bir web uygulama zafiyetini exploit edemezse bu zafiyet, false positive addedilecek ve herhangi bir fixleme yoluna gidilmeyecektir.
Web Uygulama Güvenliği Tarayıcısı ve Pentester
İşletme sahipleri ve CSO (Chief Security Officer)’lar, web uygulamalarını güvende tutmanın en iyi yolu olarak bir web uygulama güvenliği tarayıcısı satın almayı mı yoksa bir pentester istihdam etmeyi mi düşünürler? Ayrıca bir web güvenliği tarayıcısı alınırsa, tarayıcının bulduğu zafiyetleri kontrol edecek doğru personelin istihdam edildiğinden nasıl emin olunabilir?
Öncelikle web uygulama güvenliği tarayıcılarının profesyonel pentester’ların yerini asla alamayacağını belirtmek gerekir. Bununla beraber pentester’lar otomatik tarayıcılar kadar verimli olamayacaktır. Bir web sitesine yapılan sızma testinde hem insanlara hem de otomatik yazılımlara ihtiyaç her daim olacaktır. Modern otomasyon teknolojisi süreçlerin daha fazla otomatize edilmesini sağlayacağından sızma testlerinde insan müdahalesine çok az ihtiyaç duyulur.
Kanıt Tabanlı (Proof Based) Tarama Teknolojisi
En üretken ve en etkin web uygulama güvenliği çözümü, Kanıt Tabanlı Tarama Teknolojisine sahip bir web uygulama güvenliği tarayıcısıdır. Tarayıcı, bulduğu zafiyetleri exploit ederek zafiyetlerin kontrolünü yapmış olur ve açığın istismarına dair bir kanıtı da kullanıcıya sunar. Böyle bir tarayıcıya sahip olmanın çok yönlü avantajları mevcuttur; güvenlik testleri daha az zamanınızı alır ve personelinizin açıkları kontrol etmesi için uzun yıllar hacking tecrübesi edinmiş olmasına gerek kalmaz.
Netsparker, bu tarz bir exploitation motoruna sahip piyasadaki ilk web uygulama güvenliği tarayıcısıdır. Ayrıca bu istismar teknolojisi sadece salt okunurdur (read only). Yani herhangi bir veri değişikliğine veya web sitesinin zarar görmesine mahal verilmez. Böyle keşifsel ve otomatikleştirilmiş bir teknoloji, işletmelerin web varlıklarının durumlarına olumlu katkı sağlarken, şirketlerin web güvenliğine dair maliyetlerini düşürür.