İlginizi Çekebilir
  1. Ana Sayfa
  2. Üretici Teknolojileri
  3. Web Sunucularında Güvenlik ve Malware Analizi Nasıl Yapılır?

Web Sunucularında Güvenlik ve Malware Analizi Nasıl Yapılır?

Bu makalemizde web sunucularında güvenlik ve analizinde kullanımını ve ücretsiz güvenlik testlerinin nasıl gerçekleştirileceğini inceleyeceğiz.

Not: Bu makalem Qualys kullanımını anlatan sektördeki ilk makaledir. Qualys kullanımını anlatan başka bir Türkçe kaynak bulunmadığından dolayı, aklınıza takılan kısımları lütfen web sitemizdeki ilgili alanlarda sorunuz.

Günümüzde şüphesiz siber saldırılara en çok web siteleri maruz kalmaktadır. Yazdığımız veya yönetimini yaptığımız web sitelerinde (web sunucularında) , güvenlik analizleri yapmak ve bu eksende gerek sunucu gerekse de uygulama güvenliğini sağlayarak, sistemimize gelebilecek saldırılara karşı önceden önlem almak zorundayız.

Qualys, sızma ve uygulama güvenlik testlerinde oldukça başarılı, adından söz ettiren bir yazılımdır. Ücretsiz olarak edinilebilen Qualys Scan ile web sunucu güvenliğimizi test edebiliriz. Qualys’in ücretsiz sürümü olan ’i kullanmak için, https://freescan.qualys.com/ adresine giriyoruz.

Not: Qualys Free Scan herhangi bir indirme ve kurulum gerektirmeyen, web üzerinden kullanılabilen bir güvenlik yazılımıdır.


Resim-1

Ücretsiz kullanım için https://freescan.qualys.com/ adresine eriştiğimizde Resim-01 ile karşılaşacağız. Burada Create New Account kısmında bulunan Sign up’ı tıklıyoruz.


Resim-2

Sign Up sayfasının 1’inci kısmında Resim-02’deki gibi adımızı-soyadımızı yazdıktan sonra mail adresimi yazıyoruz. Ardından “I have read and agreed to the service agrement”ı aktif olarak işaretleyip lisans sözleşmesini kabul ettiğimizi belirttikten sonra Next’i tıklıyoruz.


Resim-3

Bir sonraki adımda (Resim-03) bizden bazı bilgiler talep eden bir form ile karşılaşacağız. Burada Company alanına şirket adını, Title alanına ünvanımızı, Phone alanına telefon numaramızı, Country alanında ülkemizin adını seçip, Submit’i tıklayarak kayıt işlemini tamamlıyoruz.

Not: İkinci aşamada girdiğiniz bilgilerin doğru olması gerekmez. Kişisel bilgilerinizi girmek istemezseniz bu adımdaki alanlara doğru bilgiler vermeyebilirsiniz.

Submit’i tıkladığımızda, sisteme giriş için gerekli olan bilgileri bir önceki ekranda belirtmiş olduğumuz mail adresine yollayacaktır.

Resim-4

Mail kutumuza support@qualys.com adresinden Resim-04’teki gibi bir mail gelecektir. Gelen bu mailde sağ tarafta bulunan Login now’u tıklıyoruz.

Eğer site sizi şifre oluşturma paneline yönlendirmez ise, Ana Sayfaya gelip, “Forgot your password”ü tıklayın. Ardından mail adresinizi yazarak, Reset’i tıklayın. Mailinize gönderilen şifre resetleme linkini tıklayarak şifrenizi oluşturabilirsiniz.

Not: Şifre oluştururken, kullandığınız şifrenin harf ve rakamlardan oluşmasına dikkat edin. Aksi taktirde şifrenizi kabul etmeyecektir.

Şifrenizi oluşturduktan sonra Qualys sizi ana sayfaya yönlendirecektir.


Resim-5

Qualys ana sayfası Resim-05’teki gibidir. Qualys güvenlik taraması iki ana kısımdan oluşur. Birinci kısım bir URL (web adresi) taramak içindir. İkinci kısım ise bir IP adresi taramak içindir.

, bir web adresi üzerinde sunucu güvenlik taraması (Perimeter Scanning), web uygulama taraması (Web Application Scanning) ve malware (Malware Detection) analizi yapabilmektedir.

, sadece sunucu güvenlik taraması (Perimeter Scanning) yapmaktadır.

Taramalar arasındaki farklara değinecek olursak eğer,

Perimeter Scanning: Web sunucusu için bir gerçekleştirir. Bu tipi daha çok işletim sistemi (Windows Server, Linux Server v.s) ve web sunucusu (IIS, Apache v.s)’unda bulunan güvenlik zafiyetlerini taramak içindir.

Web Application Scanning: Web uygulamaları için bir tarama gerçekleştirir. Daha çok kod tabanlı güvenlik üzerine yoğunlaşır. Web sitesinde kullanılan programlama dilindeki (PHP, ASP, JSP, ASP.NET v.s) güvenlik zafiyetlerini tespit etmek için kullanılır.

Malware Detection: Malicious (kötücül) software (yazılım)’den türetilmiştir. Genel itibari ile virüsler, trojanlar, keyloggerlar, backdoorlar gibi tipik zararlı yazılımlara verilen genel addır. Web sunucunuzda kötücül yazılımların tespiti için Qualys tarafından geliştirilen bir tarama modülüdür.

Not: Qualys Free Scan 5 (beş) ücretsiz tarama yapmamıza olanak sağlar. Bunu sağ tarafta ismimizin hemen yanında bulunan “5 Scan remaining” yazısından görebiliriz.

Yeni bir tarama yapmak için “New URL scan” kısmına web sitemizin adını yazıyoruz. Ardından Scan URL’i tıklayarak taramayı başlatıyoruz.

Biz Acunetix firması tarafından, web sunucu güvenliğini test etmek için geliştirilen http://testphp.vulnweb.com/ sitesini New URL Scan kısmına yazarak taramayı başlatıyoruz.


Resim-6

Başlattığımız tarama Resim-06’daki gibi çalışmaya başlayacaktır. Yeni tarama sırası ile Perimeter Scanning, Web Application Scanning ve Malware Detection taramalarını yapacaktır. Tarama süresince herhangi bir işlem yapmadan, taramanın sonuçlanmasını bekliyoruz.

Eğer taramanın sonlanmasını beklemeden taramayı bitirmek istersek Resim-06’da sağ üst köşede bulunan “Cancel Scan”i tıklayarak taramayı durdurabiliriz.


Resim-7

Tarama tamamlandığında Resim-07’deki ekran ile karşılaşacağız. Bu tarama raporuna göre, toplamda 83 güvenlik zafiyeti tespit edilmiştir. Bu zafiyetlerden 22 tanesi kritik (High) güvenlik zafiyeti, 32 tanesi orta düzey (Medium) zafiyet, 29 tane düşük (Low) zafiyet ve 35 tane sunucu bilgisi (Host Info) toplanmıştır.

Eğer taramayı yeniden çalıştırmak istersek, Rescan URL’i tıklayabiliriz. Eğer tarama sonuçlarını çıktı olarak almak istersek, Print Report’u tıklayarak çıktı olarak alabiliriz. Taramanın detaylarına erişmek için View report’u tıklıyoruz.


Resim-8

Tarama detayları Resim-08’deki gibi görünecektir. Tarama raporunu, tarama türüne ve güvenlik seviyesine göre filtreleyebiliriz. En üstte yer alan All (83) tüm zafiyetlerin listelenmesi için kullanabileceğimiz bir kategori filtresidir. Eğer Perimeter(40)’ı tıklarsak bize perimeter modülünün tespit ettiği 40 güvenlik zafiyeti görünecektir. Eğer WAS(43)’ü tıklarsak, Web Application Scanner modülünün tespit ettiği 43 güvenlik zafiyetini görüntüleyebiliriz. Filtreyi güvenlik seviyesine göre değiştirmek istiyorsak eğer Filter by severity levels kısmının altında yer alan butonları kullanabiliriz. All(83) mavi olarak işaretlenmiş durumdadır. Bu All(83)’ün seçili olduğu anlamına gelir. Bize tüm güvenlik zafiyetleri olan, 83 adet zafiyeti gösterecektir. Eğer Level5(22) yi seçersek, bize 5’inci seviyede bulunan 22 adet kritik güvenlik zafiyetini gösterecektir. Tespit edilen güvenlik zafiyetlerini biraz daha inceleyelim.


Resim-9


Resim-10


Resim-11


Resim-12

Web sunucusunda bulunan güvenlik zafiyetleri başlıca, Resim-09, Resim-10, Resim-11 ve Resim-12 deki gibidir. Güvenlik zafiyetlerine kısaca değineyim.

Resim-09: Site üzerinde, çapraz site betik saldırısı (XSS – Cross Site Scripting) yapılabilmekteymiş. Kötü niyetli bir kullanıcı, bazı javascript kodları ile kullanıcılara kötücül yazılımlar bulaştırarak şifrelerini elde edebilir. Web Application Scan modülü tarafından tespit edilmiş bir zafiyettir.

Resim-10: Resim-09’un devamınıdır. Tarama çıktısını göstermektedir. Web Application Scan modülü tarafından tespit edilmiş bir zafiyettir.

Resim-11: Site üzerinde bir SQL Injection saldırısı düzenlenebileceğini belirtir. SQL Inection saldırılarını kullanan kötü niyetli bir kullanıcı herhangi bir yetkiye gereksinim duymadan veritabanımıza erişebilir. Veritabanımızdaki kullanıcı adlarını, şifreleri ve diğer önemli bilgilerin tümüne erişebilir. Web Application Scan modülü tarafından tespit edilmiş bir zafiyettir.

Resim-12: Apache web sunucu kullanan web sitesinde, Apache web sunucu yazılımının Mod_Rewrite modülünde bulunan bir zafiyeti göstermektedir. Bu zafiyeti kullanan kötü niyetli bir kullanıcı, web sunucusuna göndereceği zararlı kodlar sayesinde sunucu üzerinde bir tampon bellek taşması (Buffer OverFlow) yaratarak sunucu yönetimini ele geçirebilir. Bu zafiyet Perimeter modülü tarafından tespit edilmiştir.

Not: Güvenlik zafiyetlerinin her biri başlı başına başka bir konu olduklarından dolayı, zafiyetlerin kullanılmasına ve sunucuya saldırma mantığına bu makalede yer vermedim.

Qualys Free Scan yazılımı ücretsiz olarak bu şekilde kullanabilir ve sitenizde yada web sunucunuzda bulunan güvenlik zafiyetlerini tespit edebilirsiniz. Böylece başkaları sitenize zarar vermeden, kişisel verilerinizi ele geçirmeden önce önlemlerinizi alabilirsiniz.

Dip Not: Qualys Free Scan ile bir web sitesini yada ip adresini güvenlik testlerine tabi tuttuğunuzda, tarama yapılan sunucu veya ip adresine bırakılan loglarda sizin fiziksel IP adresini yerine Qualys Free Scan yazılımının çalıştığı web sunucusunun IP adresi görünecektir. Eğer log analizi yapıyorsanız bu ayrıntıyı gözden kaçırmamanızı tavsiye ederim.

Güvenli Günler.

Bu konuyla ilgili sorularınızı Http://forum.mshowto.org linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz.

Referanslar

www.mshowto.org

Yorum Yap

Yazar Hakkında

15+ yıllık siber güvenlik dünyasındaki çalışmaları ile tanınan Eyüp Çelik, birçok defans ve hack grubunu yöneterek siber güvenlik alanında adını duyurmuştur. Doksanlı yıllardan bu yana siber güvenlik alanında çalışmalarını sürdüren Eyüp Çelik’in uzmanlık alanları arasında sistem, ağ alt yapısı, veritabanı yapıları, yazılım ve web en başta gelmektedir. Visual C++, C# ve benzeri dillerde 10 yılı aşkın tecrübeye sahip olan Eyüp Çelik .NET platformu üzerinde siber güvenlik (hacking) araçları geliştirerek blogu üzerinden paylaşmakta ve açık kaynak dünyasına hediye etmektedir. Profesyonel iş hayatındaki kariyerine 2006 yılından sonra beyaz şapkalı hacker olarak devam eden Çelik, ülkemizin en önemli bilişim, adli analiz ve bilgi güvenliği firmalarında beyaz şapkalı hacker, defans ve ar-ge ekiplerini yönetmiştir. Aynı zamanda eğitmen kimliği ile birçok farklı üniversitede ve kurumda 200’den fazla konferansa katılarak siber güvenlik sektörüne değer katmıştır. Eğitimler, konferanslar ve benzeri birçok alanda üniversite öğrencilerine yön gösterici kimliği ile tanınan Eyüp Çelik, ülkemizin önde gelen eğitim kurumlarında etik hackerlik, web güvenliği, ileri seviye sızma testleri ve benzeri birçok konuda eğitimler vermeye devam etmektedir. Kariyerindeki en önemli adımlarını ülkemizin önde gelen danışmanlık firmalarında sürdürmeye devam eden Çelik, Siber Güvenlik ve AR-GE Direktörü ünvanı ile birçok kamu kurumuna ve özel sektördeki kritik kurumlara siber güvenlik danışmanlığı ve eğitim hizmetleri sunmuştur. Boş vakitlerini profesyonel fotoğrafçılık yeteneği ile devam ettiren Çelik, 2018 yılı itibari ile Privia Security ve Kodia firmalarını kurarak, siber güvenlik sektörüne farklı bir bakış açısı getirmeyi amaç edinmiş ve son bir yıldır ülkemizin en değerli kamu ve özel sektör firmalarına siber güvenlik danışmanlığı, AR-GE ve eğitim konularında hizmet vermeye devam etmektedir.

Yorum Yap

Yorumlar (3)

  1. Paylaşım için teşekkürler.
    Test ettiğimde nessus ile benzer açıkları bulabildiğini gördüm.

    Bilginize.

    • Merhabalar.
      Zafiyetler aynı olduğu için Nessus ile benzer sonuçlar verir. Örneğin; XSS zafiyeti tüm zafiyet tespit yazılımlarında XSS zafiyetidir. Aralarındaki en büyük farklardan biri Qualys, Nessus’tan öte malware analizi de yapabilme becerisine sahiptir. Nessus domain yapısında Credentials taramalar yapabilir ancak Qualys bu taramaları desteklemez.

      Nessus web zafiyet taramalarında tercih edilen bir yazılım değildir. Daha çok Operating System ve Network taramalarında daha başarılıdır.

  2. Web ugululamalarinin guvenligi icin IBM AppScan de guclu bir programdir.