EVALUATION OF MOST VISITED WEB SITES IN TURKEY IN ASPECTS OF STRUCTURE AND SECURITY

Atakan DAŞDEMİR; Mustafa Nevzat ÖRNEK; Humar KAHRAMANLI ÖRNEK

EVALUATION OF MOST VISITED WEB SITES IN TURKEY IN ASPECTS OF STRUCTURE AND SECURITY

Atakan DAŞDEMİR, Mustafa Nevzat ÖRNEK, Humar KAHRAMANLI ÖRNEK

Öz

Applications on World Wide Web have made our daily lives easier with their basic and fast access, neglecting time and place, they have become indispensable. This made Web applications a popular target for malevolent users and increased web security risk. In this study penetration test which is indispensable for web security and threating risks for web security are mentioned. Information about technologies and infrastructure of Turkey’s 18 most popular websites from three different categories which have millions of visitors every day has been gathered to brief us about our countries’ web sites generally. Most detected weaknesses via weakness map generated with tests done, are evaluated.

Dünya Çapında Ağ (www) üzerindeki uygulamalar yere ve zamana bağlı olmadan hızlı erişimi ile günlük hayatımızı kolaylaştırdı ve vazgeçilmez oldu. Bu da web uygulamalarını kötü niyetli kullanıcılar için hedef haline getirdi ve web güvenliği riskini yükseltti. Bu çalışmada web güvenliği ve tehdit riskine karşı kaçınılmaz olan sızma testleri incelenmiştir. Türkiye’de, beş farklı kategorideki 60 en çok ziyaret edilen site belirlenmiş ve güvenlik açısından değerlendirmek amacı ile sıradan bir kullanıcı olarak incelenmiştir. İnceleme için ciddi güvenlik altyapısı olduğu düşünülen haber, e-ticaret, devlet, üniversite ve diğer kategorilerde büyük siteler seçilmiştir. Bu çalışmada sızma testi kullanan sıradan bir kullanıcı tarafından elde edilebilen sitelerde kullanılan teknolojiler ve sitelerin güvenlik açığı olarak kabul edilen altyapı gibi bilgiler incelenmiştir. Çalışmanın sonucu olarak incelenen sitelerin %62’sinde kullanılan işletim sistemi ve %87’sinde kullanılan web sunucu bilgileri belirlenmiştir. İncelenen tüm sitelerde orta ve düşük seviye zafiyet tespit edilmiştir. Zafiyet tarama testi ile zafiyet haritası oluşturulmuş ve en çok karşılaşılan zafiyetlerle ilgili bilgi verilmiştir.

Anahtar Kelimeler

penetration test; web security; weakness analysis sızma testi, web güvenliği, zafiyet analizleri

Tam Metin:

PDF (English)

Referanslar

Anonymous,Https://www.owasp.org/index.php/Top_10_2017-Top_10, 2017.

S. Arsoy, “e-Devlet Web Sitelerinin Kullanılabilirlik Yönünden Standartlara ve Rehberlere Göre Değerlendirilmesi,”

M.S. thesis, Fen Bilimleri Enstitüsü, Yıldız Teknik Üniversitesi, İstanbul 2014.

S. Barbara, “Advanced Automated Web Application Vulnerability Analysis,” Ph.D. dissertation, University Of California, 2014.

G. Canbek , Ş. Sağıroğlu, “Bilgi, Bilgi Güvenliği ve Süreçleri Üzerine Bir İnceleme,” Politeknik Dergisi vol 9, no.3, pp. 165-174, 2006.

M. Çetinkaya, “Bilgi Güvenliği Yönetim Sistemi Altyapisinin Değerlendirilmesi Için Bir Test Araci Geliştirilmesi,” M.S. thesis, İstanbul Kültür Üniversitesi, İstanbul, 2008.

S. Doğan, “Web Application Testing: A Systematic Literature Review,” M.S. thesis, The Middle East Technical University, Ankara, 2013

The Basics of Hacking and Penetration Testing Second Edition, P. Engebretson, Waltham, Elsevier Inc, 2013.

P.H.A. Fung, “Mitigations of Web Application Security Risks,” Ph.D. dissertation, Information Engineering The Chinese University, Hong Kong, 2014.

M. Hassan, “Toward Automated Dıscovery of Web Application Security Vulnerabilities,” M.S. thesis, California State University, California, 2013.

R. Jnena, “Modern Approach for WEB Applications Vulnerability Analysis,” M.S. thesis, The Islamic University of Gaza, Gaza, 2013.

N. Khochare, S. Chalurkar, B.B. Meshram , “Web Application Vulnerabilities Detection Techniques Survey,” IJCSNS International Journal of Computer Science and Network Security, vol. 13, no. 6, pp. 71-77, 2013.

G. Muharremoğlu, “Kurumsal Bilgi Güvenliğinde Zafiyet, Saldırı ve Savunma Öğelerinin İncelenmesi,” M.S. thesis, Fen Bilimleri Enstitüsü İstanbul Üniversitesi, Istanbul, 2013.

Web Penetration Testing with Kali Linux First Edition J. Muniz, A. Lakhani, Birmingham, Packt Publishing Ltd., 2015.

Ç. Polat, “Penetration Tests and Security Solutions For Corporate Networks,” M.S. thesis Dokuz Eylül University, İzmir, 2016.

M.E. Ruse, “Model Checking Techniques For Vulnerability Analysis of Web Applications,” Ph.D. dissertation, Iowa State University, Iowa, 2013.

S. Yalçınkaya, “Assessıng Standard Compliance Of Public Institution Web Sites of Turkey,” M.S. thesis, The Middle East Technical University, Ankara, 2012.

H. Yaşar, “Kurumsal Siber Güvenliğe Yönelik Tehditler ve Mücadele Yöntemleri: Eylem Planı Örneği,” M.S. thesis, Bilişim Enstitüsü Gazi Üniversitesi, Ankara, 2014.

Y. Vural, ”Kurumsal Bilgi Güvenliği ve Sızma (Penetrasyon) Testleri,” M.S. thesis, Fen Bilimler Enstitüsü Gazi Üniversitesi, Ankara, 2007.