Web Uygulaması Sızma Testi: OWASP Top 10, Burp Suite ve Elle Test Metodolojisi
Web uygulaması sızma testi, otomatik tarayıcıdan çok daha fazlasıdır. OWASP Top 10 2021 kategorilerini, en sık istismar edilen zafiyetleri (Broken Access Control, Injection, SSRF, IDOR, kimlik doğrulama), OWASP WSTG metodolojisini, Burp Suite ile elle testi ve otomatik ile manuel testin neden birlikte gerektiğini kaynaklı, derinlemesine anlattık.
Web Uygulaması Sızma Testi: OWASP Top 10, Burp Suite ve Elle Test Metodolojisi
Hızlı Cevap: Web uygulaması sızma testi, bir web uygulamasının kimlik doğrulama, yetkilendirme, girdi işleme ve iş mantığı katmanlarını gerçek bir saldırgan gibi sınayarak istismar edilebilir zafiyetleri kanıtlamaktır. Çerçeve OWASP Top 10 2021'dir: A01 Broken Access Control, A02 Cryptographic Failures, A03 Injection (SQL injection ve XSS dahil), A04 Insecure Design, A05 Security Misconfiguration, A06 Vulnerable and Outdated Components, A07 Identification and Authentication Failures, A08 Software and Data Integrity Failures, A09 Security Logging and Monitoring Failures, A10 Server-Side Request Forgery (SSRF). Metodoloji OWASP Web Security Testing Guide (WSTG), birincil araç Burp Suite'tir. Otomatik tarayıcı yüzeyi tarar; iş mantığı ve yetki zafiyetlerini ancak elle test bulur. Bu yüzden ikisi birlikte gerekir.
Web uygulamaları, kurumların internete açılan en geniş ve en sık saldırılan yüzeyidir. Verizon'un yıllık veri ihlali raporlarında temel web uygulaması saldırıları, ihlal kalıplarının en üst sıralarında yer alır ve bu saldırıların büyük bölümü çalınmış kimlik bilgileriyle gerçekleşir. Web uygulaması sızma testi, bu yüzeyi bir tarayıcı raporundan ibaret görmeyip, gerçek bir saldırganın yapacağı zincirleri yetkili biçimde kurar ve kanıtlar.
Bu yazı, API güvenliği sızma testi ve web sitesi güvenlik hizmeti yazılarımızı tamamlar; burada odak, web uygulamasının kendi mantığını derinlemesine sınayan elle testtir.
OWASP Top 10 nedir, neden çerçeve
OWASP Top 10, OWASP Foundation'ın yayımladığı, web uygulamalarındaki en kritik on güvenlik riskinin uzlaşıya dayalı listesidir. En güncel kararlı sürüm 2021'dir; 2021'de üç yeni kategori (A04 Insecure Design, A08, A10 SSRF) eklenmiş ve diğerleri yeniden düzenlenmiştir. OWASP, 2025'te daha yeni bir baskı duyurmuştur, ancak kararlı atıf için testlerimizi 2021 listesine dayandırır ve 2025'i yeni baskı olarak anarız. Top 10 bir test kontrol listesi değil, risk haritasıdır; asıl metodoloji OWASP Web Security Testing Guide'dır (WSTG), uygulama ve servislerin güvenliğini test etmek için dünyanın fiilen kullandığı açık kaynak rehber.
En sık istismar edilen zafiyetler
A01 Broken Access Control ve IDOR
OWASP Top 10 2021'de birinci sıradaki risk, bozuk erişim kontrolüdür. Bir kullanıcının yetkisi olmayan veriye ya da işleve ulaşabilmesidir. En yaygın biçimi IDOR'dur (Insecure Direct Object Reference): bir istekteki nesne kimliğini (örneğin hesap numarasını) değiştirerek başkasının verisine erişmek. Bu zafiyetler otomatik tarayıcıların en sık kaçırdığıdır, çünkü uygulamanın iş bağlamını ve kimin neye erişmesi gerektiğini bilmek gerekir; ancak elle test bulur.
A03 Injection: SQL Injection ve XSS
2021'de Injection kategorisi, ayrı bir kategori olan XSS'i de içine almıştır. SQL injection, kullanıcı girdisinin doğrudan veritabanı sorgusuna katılmasıyla saldırganın sorguyu manipüle edip veri çekmesi ya da değiştirmesidir. Cross-Site Scripting (XSS), saldırganın bir web sayfasına çalıştırılabilir betik enjekte edip diğer kullanıcıların tarayıcısında çalıştırmasıdır. İkisi de PortSwigger Web Security Academy'de etkileşimli olarak belgelenmiştir ve doğru parametreli sorgular ile çıktı kodlama yoluyla önlenir.
A10 Server-Side Request Forgery (SSRF)
SSRF, saldırganın uygulamayı kandırıp sunucu adına istek yaptırmasıdır; özellikle bulut ortamlarında iç servislere ve meta veri uçlarına erişip kimlik bilgisi sızdırmak için tehlikelidir. 2021'de Top 10'a giren bu kategori, bulut mimarilerinin yaygınlaşmasıyla kritikleşmiştir.
A07 Identification and Authentication Failures
Zayıf parola politikaları, kusurlu oturum yönetimi, kırılabilir şifre sıfırlama akışları ve çok faktörlü doğrulama eksikliği bu kategoridedir. Sızma testinde kimlik doğrulama akışı, oturum belirteçleri ve hesap devralma senaryoları ayrıntılı sınanır.
Metodoloji: WSTG ve ASVS
OWASP Web Security Testing Guide (WSTG), bilgi toplama, kimlik doğrulama testi, oturum yönetimi testi, yetkilendirme testi, girdi doğrulama testi ve iş mantığı testi gibi başlıklarla yapılandırılmış, sızma testçilerinin dünya çapında kullandığı fiili metodolojidir. OWASP ASVS (Application Security Verification Standard) ise teknik güvenlik kontrollerini test etmek ve güvenli geliştirme gereksinimlerini tanımlamak için bir temel sunar; tedarik sözleşmelerinde gereksinim listesi olarak da kullanılır. DSET olarak testlerimizi WSTG başlıkları altında yürütür, bulguları ASVS seviyeleriyle ilişkilendiririz.
Otomatik ve elle test neden birlikte gerekir
Otomatik tarayıcılar (DAST araçları) geniş yüzeyi hızla tarar, bilinen kalıpları yakalar ve regresyon için idealdir. Ancak iş mantığı hataları, yetki atlama zincirleri, çok adımlı hesap devralma ve bağlama bağlı IDOR gibi zafiyetleri kaçırırlar, çünkü uygulamanın ne yapması gerektiğini bilmezler. Elle test, bu boşluğu doldurur: uzman, uygulamanın iş akışını anlayıp insan yaratıcılığıyla zincirler kurar. Kaynak kodu erişimi varsa, statik analizle birlikte yürütülen test daha derindir; bunun için kaynak kodu güvenlik denetimi (SAST, DAST, SCA) yazımıza bakın.
Birincil araç: Burp Suite
Burp Suite, PortSwigger'ın web zafiyet tarayıcısı ve araya giren proxy'sidir; web uygulaması sızma testinin endüstri standardı araç setidir. İstekleri yakalar, değiştirir, tekrarlar ve otomatikleştirir; elle testin omurgasıdır. Otonom motorumuz KAOS keşif ve doğrulama tarafında hız katar, ama her kritik bulguyu insan uzman elle doğrular.
Bulgular nasıl raporlanır
Her bulgu, çalıştırılabilir bir kanıt (PoC) ve adım adım yeniden üretim ile sunulur; yanlış pozitif elenir. Bu disiplin için doğrulanmış zafiyet ve yanlış pozitifsiz test yazımıza bakın. Rapor, her zafiyet için risk derecesi, etki ve net düzeltme adımı içerir; düzeltme sonrası yeniden test (retest) ile kapatma doğrulanır.
Sıkça Sorulan Sorular
Tarayıcı raporu sızma testi midir? Hayır. Otomatik tarama testin bir parçasıdır; iş mantığı ve yetki zafiyetlerini ancak elle test ve insan doğrulaması ortaya çıkarır.
Üretim ortamında mı test edilir? Tercihen kopya ortamda; üretimde test edilecekse kapsam, zaman penceresi ve veri işleme yazılı olarak belirlenir ve kişisel veriye dokunan testlerde KVKK yükümlülükleri gözetilir.
Ne sıklıkla yapılmalı? En az yılda bir ve uygulamada önemli değişiklik sonrası; sürekli teslimat yapan ekiplerde daha sık.
Kaynaklar
- OWASP Top 10 2021: https://owasp.org/Top10/2021/
- OWASP A01 Broken Access Control: https://owasp.org/Top10/2021/A01_2021-Broken_Access_Control/
- OWASP Web Security Testing Guide (WSTG): https://owasp.org/www-project-web-security-testing-guide/
- OWASP ASVS: https://owasp.org/www-project-application-security-verification-standard/
- PortSwigger, SQL Injection: https://portswigger.net/web-security/sql-injection
- PortSwigger, Cross-Site Scripting: https://portswigger.net/web-security/cross-site-scripting
- PortSwigger, SSRF: https://portswigger.net/web-security/ssrf
- PortSwigger, Access control ve IDOR: https://portswigger.net/web-security/access-control
- Burp Suite (PortSwigger): https://portswigger.net/burp
- Verizon Data Breach Investigations Report: https://www.verizon.com/business/resources/reports/dbir/
Web uygulamanızın iş mantığını ve yetki katmanını elle sınamak için DSET ile iletişime geçin.
Kimliğinizi doğrulayın
Yetkilendirilmiş erişim alanı. Tüm giriş denemeleri kayıt altına alınır.