Blackbox Penetrasyon Testi-2

PostDateIcon November 18th, 2009 | Author: Cüneyt Bergel

Kara kutu güvenlik testlerinde kullanılan teknolojiler

Kara kutu güvenlik testlerinde kullanılan teknolojileri aşağıdaki gibi sınıflandırabiliriz:

Fuzzing:  Bir uygulamada zafiyet tespit edebilmek için uygulamaya rastgele veya sistematik veriler göndererek, uygulamanın farklı isteklere verdiği cevapları analiz etmek için kullanılır. Fuzzing, test yapılacak uygulamanın arka planında ki işlevsel ve yazılımsal özellikler bilinmediğinden ve gönderilen verilerin uygulamada oluşturduğu etki ve sonuçların analizine dayandığından, uygulama test tekniklerinden black-box kategorisine girmektedir.Yazılım geliştirme ve test süreçlerinde ve ters mühendislik işlemlerinde kullanıldığı gibi, web uygulamalarında zayıflık tespiti veya bilgi toplama amaçlı da kullanılmaktadır. Web uygulamaları için geliştirilmiş olan fuzzing araçlarını (fuzzer) iki kategoride incelenebilir:

Recursive Fuzzing: ‘Yinelemeli fuzzing’ olarakta adlandırabileceÄŸimiz bu teknikte, belirlenmiÅŸ karakterler fuzzer aracılığıyla kombinasyonel veriler halinde gönderilecektir. ÖrneÄŸin; {3,9,6,1) ÅŸeklinde belirlediÄŸimiz karakterler;

* ?id=3961, ?id=3916, ….., ?id=1693 yinelenerek gönderilecek ve her bir dönen sonuç incelenecektir. 

Replacive Fuzzing: ‘DeÄŸiÅŸtirmeli fuzzing’ olarakta adlandırabileceÄŸimiz bu teknikte ise, seçilmiÅŸ deÄŸerin / parametrenin deÄŸiÅŸtirilerek gönderilmesi esastır.

Syntax Testing (Söz dizimi Testleri): Genellikle yazımlar tarafından kullanılan veri formatları ve protokollerinin bazı bilgileriyle geniş bir aralıkta yasal ve yasal olmayan giriş değerleri üretilirek yapılan testlerdir.

Exploratory Testing (Keşif Testi): Test sonuçları hakkında özel bir beklenti ve genel olarak tam bir test  planı olmadan yapılan testlerdir.

Data Analysis (Veri Analizi): Özellikle içerik şifrelemede bir uygulama tarafından oluşturulan verinin test edilmesidir.

Test Scaffolding (İskele Testi): Kara kutu testlerini yürütmek için ihtiyaç duyulan destek araçları sağlamaktadır.

Monitoring Program Behavior (Program Davranışlarını İzleme): Çok sayıda testin otomatik olarak uygulandığında, programın nasıl cevap verdiğini izlemek için kullanılır. Anormal davranışları kontrol etmek için el ile müdahale etmek gerekebilir. Bu anormallikler güvenlik açığının varlığını açıkca işaret ettiği unutulmamalıdır.

Securtiy Stress Testing (Güvenlik Stres Testi): Kaynak tüketimi veya donanım hataları ile ilişkilendirilmiş aşırı çevre koşulları oluşturularak yapılan testlerdir. Geleneksel stress testi devam ederken, uygulamalar aşırı koşullar karşısında belirlenmiş servisin kalitesini sağlamaya devam edebilir. Bu nedenle Stres testi güvenlik test sürecinin önemli bir parçası ve yoğun olarak bilgi işlem ortamlarında özellikle dikkate alınmalıdır.

Konuyla İlgili Diğer Yazılar

Posted in Eğitim, Güvenliği Algılamak, web uygulama güvenliği | Tags: , , , , , , , , , , , , , , , , , , , , , , ,

Leave a Reply


Yazı Dizilerim
-Lokal Network Güvenliği (3 Bölüm)
-Penetrasyon Testi(3 Bölüm)
-Cross Site Scripting(1 Bölüm)
Sayfalar
ArÅŸiv
Linkler
Etiketler
5651 sayılı kanun anti-malware arp arp poisoning arp poisoning engelleme arp zehirlenmesi arp zehirlenmesini engellemek beyaz kutu testi BiliÅŸim Hukuku blackbox cisco router duyarlılık Flash Uygulamalarda Güvenlik greybox gri kutu testi Gsm Hacking güvenlik Güvenlik Yazılımları hack Https hukuk kara kutu testi lan güvenliÄŸi Linux kernel açığı Lokal Network GüvenliÄŸi makale microsoft Microsoft güvenlik açıkları netsec netsec güvenlik bülteni penetrasyon testi penetrasyon testing QoS Rapidshare security Siber Suçlar & Hack Virüs & Malware web.config web uygulama güvenliÄŸi whitebox wireless yazilarim Zararlı Yazılımlar ÅŸifre
Network ve Güvenlik
Shared Items
En Çok Okunanlar
Kategoriler

Copyright © 2009 Cüneyt BERGEL. All Rights Reserved.