Güvenlik Testi Nedir? Örnek

By: Thomas Hamilton Thomas Hamilton
Hours Güncellenmiş

Güvenlik Testi Nedir?

Güvenlik Testi bir yazılım uygulamasındaki güvenlik açıklarını, tehditleri, riskleri ortaya çıkaran ve saldırganların kötü niyetli saldırılarını engelleyen bir Yazılım Testi türüdür. Güvenlik Testlerinin amacı, çalışanların veya Kuruluşun dışındakilerin elinde bilgi, gelir ve itibar kaybına yol açabilecek yazılım sisteminin tüm olası açıklarını ve zayıflıklarını belirlemektir.

Güvenlik Testi

Güvenlik Testi Neden Önemlidir?

Ana hedefi Güvenlik Testi tehditlerle karşılaşılabilmesi ve sistemin işleyişinin durmaması veya istismar edilememesi için sistemdeki tehditlerin tespit edilerek potansiyel zafiyetlerinin ölçülmesidir. Ayrıca sistemdeki olası tüm güvenlik risklerinin tespit edilmesine yardımcı olur ve geliştiricilerin sorunları kodlama yoluyla çözmelerine yardımcı olur.

Yazılım Testinde Güvenlik Testi Türleri

Açık Kaynak Güvenlik Testi metodoloji kılavuzuna göre yedi ana güvenlik testi türü vardır. Bunlar şu şekilde açıklanmaktadır:

Yazılım Testinde Güvenlik Testi Türleri

  • Güvenlik Açığı Taraması: Bu, sistemi bilinen güvenlik açığı imzalarına karşı taramak için otomatik yazılım aracılığıyla yapılır.
  • Güvenlik Taraması: Ağ ve sistem zayıflıklarını belirlemeyi içerir ve daha sonra bu riskleri azaltmak için çözümler sunar. Bu tarama hem Manuel hem de Otomatik tarama için gerçekleştirilebilir.
  • Penetrasyon testi: Bu tür testler, kötü niyetli bir bilgisayar korsanının saldırısını simüle eder. Bu test, harici bir bilgisayar korsanlığı girişimine karşı olası güvenlik açıklarını kontrol etmek için belirli bir sistemin analizini içerir.
  • Risk değerlendirmesi: Bu test, kuruluşta gözlemlenen güvenlik risklerinin analizini içerir. Riskler Düşük, Orta ve Yüksek olarak sınıflandırılmaktadır. Bu test, riski azaltmaya yönelik kontrolleri ve önlemleri önerir.
  • Güvenlik Denetimi: Bu, Uygulamaların dahili bir denetimidir ve Operating sistemleri güvenlik kusurları için. Denetim aynı zamanda kodun satır satır incelenmesi yoluyla da yapılabilir.
  • Etik hackleme: Bir Organizasyon Yazılım sistemini hackliyor. Kendi çıkarları için hırsızlık yapan kötü niyetli bilgisayar korsanlarının aksine amaç, sistemdeki güvenlik kusurlarını açığa çıkarmaktır.
  • Duruş Değerlendirmesi: Bu, Güvenlik taramasını birleştirir, Etik hackleme ve bir kuruluşun genel güvenlik duruşunu göstermek için Risk Değerlendirmeleri.

Güvenlik Testi nasıl yapılır

Ertelersek maliyetin daha fazla olacağı her zaman kabul edilmiştir. güvenlik testi yazılım uygulama aşamasından sonra veya dağıtımdan sonra. Bu nedenle, güvenlik testlerinin SDLC yaşam döngüsüne daha önceki aşamalarda dahil edilmesi gerekmektedir.

SDLC'deki her aşama için benimsenecek ilgili Güvenlik süreçlerine bakalım

Güvenlik Testi

SDLC Aşamaları Güvenlik Süreçleri
Yer Alan Kurallar Gereksinimler için güvenlik analizi ve kötüye kullanım/yanlış kullanım durumlarını kontrol etme
Tasarım Tasarım için güvenlik risk analizi. Gelişimi Test planı güvenlik testleri dahil
Kodlama ve Birim Testi Statik ve Dinamik Test ve Güvenlik Beyaz Box Test yapmak
Entegrasyon Testi Siyah Box Test yapmak
Sistem Testi Siyah Box Test ve Güvenlik Açığı taraması
Uygulama Penetrasyon testi, Güvenlik Açığı Taraması
Destek Yamaların etki analizi

Test planı şunları içermelidir:

  • Güvenlikle ilgili test senaryoları veya senaryoları
  • Güvenlik testiyle ilgili Test Verileri
  • Güvenlik testi için gerekli Test Araçları
  • Farklı güvenlik araçlarından çeşitli test çıktılarının analizi

Güvenlik Testi için Örnek Test Senaryoları

Güvenlik testi senaryolarına genel bir bakış sağlayan Örnek Test senaryoları –

  • Şifre şifrelenmiş formatta olmalıdır
  • Uygulama veya Sistem geçersiz kullanıcılara izin vermemelidir
  • Uygulama için çerezleri ve oturum süresini kontrol edin
  • Finansal siteler için Tarayıcı geri düğmesi çalışmamalıdır.

Güvenlik Testine İlişkin Metodolojiler/Yaklaşım/Teknikler

Güvenlik testlerinde farklı metodolojiler izlenir ve bunlar aşağıdaki gibidir:

  • Kaplan Box: Bu hackleme genellikle bir dizi işletim sistemi ve hackleme araçlarına sahip bir dizüstü bilgisayarda yapılır. Bu test, penetrasyon test uzmanlarının ve güvenlik test uzmanlarının güvenlik açığı değerlendirmesi ve saldırıları yürütmesine yardımcı olur.
  • Siyah Box: Test Uzmanı, ağ topolojisi ve teknolojisi ile ilgili her konuda test yapma yetkisine sahiptir.
  • Gri Box:Sistem hakkında test yapan kişiye kısmi bilgi verilir ve beyaz ve siyah kutu modellerinin bir karışımıdır.

Güvenlik Testi Rolleri

  • Bilgisayar korsanları – Yetkisiz olarak bilgisayar sistemine veya ağına erişin
  • Krakerler – Verileri çalmak veya yok etmek için sistemlere girin
  • Etik Hacker – Kırma faaliyetlerinin çoğunu ancak sahibinin izniyle gerçekleştirir
  • Script Kiddies veya paket maymunları – Programlama dili becerisine sahip Deneyimsiz Hackerlar

Güvenlik Test Araçları

1) Teramind

Teramind İçeriden gelen tehditlerin önlenmesi ve çalışanların izlenmesi için kapsamlı bir paket sunar. Davranış analitiği ve veri kaybını önleme yoluyla güvenliği artırır, uyumluluğu sağlar ve iş süreçlerini optimize eder. Özelleştirilebilir platformu, çeşitli kurumsal ihtiyaçlara uygun olup üretkenliği artırmaya ve veri bütünlüğünü korumaya odaklanan eyleme dönüştürülebilir bilgiler sağlar.

Teramind

Özellikler:

  • İçeriden Gelen Tehditlerin Önlenmesi: Verilere yönelik içeriden tehditlere işaret edebilecek kullanıcı eylemlerini algılar ve engeller.
  • İş Süreci Optimizasyonu: Operasyonel süreçleri yeniden tanımlamak için veriye dayalı davranış analitiğini kullanır.
  • İşgücü Verimliliği: İş gücünün üretkenliğini, güvenliğini ve uyumluluk davranışlarını izler.
  • Uyumluluk Yönetimi: Küçük işletmeler, kuruluşlar ve devlet kurumları için uygun tek, ölçeklenebilir bir çözümle uyumluluğun yönetilmesine yardımcı olur.
  • Olay Adli Tıp: Olaylara müdahaleyi, araştırmaları ve tehdit istihbaratını zenginleştirecek kanıtlar sağlar.
  • Veri kaybı önleme: Hassas verilerin olası kaybına karşı izler ve koruma sağlar.
  • Çalışan Takibi: Çalışan performansını ve faaliyetlerini izlemeye yönelik yetenekler sunar.
  • Davranış Analizi: İçgörüler için ayrıntılı müşteri uygulaması davranış verilerini analiz eder.
  • Özelleştirilebilir İzleme Ayarları: İzleme ayarlarının belirli kullanım durumlarına uyacak şekilde veya önceden tanımlanmış kuralları uygulayacak şekilde özelleştirilmesine olanak tanır.
  • Kontrol Paneli Analizleri: Kapsamlı bir kontrol paneli aracılığıyla iş gücü faaliyetlerine ilişkin görünürlük ve eyleme geçirilebilir bilgiler sağlar.

Ziyaret edin Teramind >>

2) Owasp

Açık Web Uygulama Güvenliği Projesi (OWASP), yazılımın güvenliğini artırmaya odaklanmış, dünya çapında kar amacı gütmeyen bir kuruluştur. Proje, çeşitli yazılım ortamlarını ve protokollerini kalem testi için birden fazla araca sahiptir. Projenin amiral gemisi araçları şunları içerir:

  1. Zed Saldırı Proxy'si (ZAP – entegre bir sızma testi aracı)
  2. OWASP Bağımlılık Kontrolü (proje bağımlılıklarını tarar ve bilinen güvenlik açıklarına karşı kontrol yapar)
  3. OWASP Web Test Ortamı Projesi (güvenlik araçları ve belgelerin toplanması)

3) WireShark

Wireshark daha önce Ethereal olarak bilinen bir ağ analiz aracıdır. Paketleri gerçek zamanlı olarak yakalar ve bunları insan tarafından okunabilir bir biçimde görüntüler. Temel olarak, ağ protokolleriniz, şifre çözme, paket bilgileri vb. hakkında ayrıntılı bilgiler sağlayan bir ağ paketi analizcisidir. Açık kaynaklıdır ve Linux'ta kullanılabilir. Windows, işletim sistemi X, Solaris, NetBSD, FreeBSD ve diğer birçok sistem. Bu araç aracılığıyla alınan bilgiler bir GUI veya TTY modu TShark Yardımcı Programı aracılığıyla görüntülenebilir.

4)W3af

w3af bir web uygulaması saldırı ve denetim çerçevesidir. Üç tür eklentisi vardır; Sitedeki herhangi bir güvenlik açığı için birbirleriyle iletişim kuran keşif, denetim ve saldırı; örneğin w3af'teki bir keşif eklentisi, güvenlik açıklarını test etmek için farklı URL'ler arar ve bunu daha sonra güvenlik açıklarını aramak için bu URL'leri kullanan denetim eklentisine iletir.

Güvenlik Testiyle İlgili Efsaneler ve Gerçekler

Güvenlik testiyle ilgili efsaneler ve gerçekler üzerine ilginç bir konu hakkında konuşalım:

Efsane #1 Küçük bir işletmemiz olduğundan güvenlik politikasına ihtiyacımız yok

Gerçek: Herkesin ve her şirketin bir güvenlik politikasına ihtiyacı vardır

Efsane #2 Güvenlik testlerine yapılan yatırımın geri dönüşü yoktur

Gerçek: Güvenlik Testi, verimliliği artırabilecek ve kesinti süresini azaltabilecek ve maksimum verim sağlayacak şekilde iyileştirilmesi gereken alanlara işaret edebilir.

Efsane #3: Güvenliği sağlamanın tek yolu fişi prizden çekmektir.

Gerçek: Bir organizasyonu güvence altına almanın tek ve en iyi yolu “Kusursuz Güvenliği” bulmaktır. Mükemmel güvenlik, bir duruş değerlendirmesi yapılarak ve ticari, hukuki ve sektörel gerekçelerle karşılaştırılarak elde edilebilir.

Efsane #4: İnternet güvenli değil. Sistemi korumak ve işi kurtarmak için yazılım veya donanım satın alacağım.

Gerçek: En büyük sorunlardan biri güvenlik için yazılım ve donanım satın almaktır. Bunun yerine kuruluşun önce güvenliği anlaması ve sonra uygulaması gerekir.

Sonuç

Güvenlik testi bir uygulama için en önemli testtir ve gizli verilerin gizli kalıp kalmadığını kontrol eder. Bu tür testlerde, test uzmanı saldırganın rolünü oynar ve güvenlikle ilgili hataları bulmak için sistem üzerinde oynar. Güvenlik Testi, Yazılım Mühendisliğinde verileri her şekilde korumak için çok önemlidir.