E-Posta ve SMS ile Anında Haberdar Olmak için Netsparker Enterprise Bildirimlerini Kullanma

Netsparker Enterprise web uygulaması güvenlik tarayıcısında SMS ve e-posta bildirimlerini aktifleştirerek siz ve kullanıcılarınızın, taradığınız web uygulamasında belirli açıklar bulunduğunda anında haberdar olmasını sağlamak mümkün. Ayrıca taramanın durumu hakkında da bilgilendirme alabilirsiniz.

Netsparker Enterprise Bildirimlerini Ne Zaman Kullanmalısınız?

Tüm web uygulamaları ve zafiyetler aynı kritiklikte olmayabilirler. Örneğin staging (beklemede) bir sitede bulunan Cross Site Scripting (XSS) açığı öncelik bakımından live (aktif) bir sitedeki XSS’ten farklıdır. Saldırganların kolayca zafiyet arayıp açıkları suistimal edebilmesi bakımından aktif siteye gösterilmesi gereken özen önceliklidir.

Diğer taraftan beklemedeki sitede zafiyet tespit edilmesi olağan bir durumdur. Zaten bir staging web sitesi bulundurma ve bu site üzerinde tarama yapmanın amacı bellidir: Sitenin kodları aktif bir ortama aktarılmadan önce olası güvenlik açıklarını tespit edebilmek.

Netsparker Enterprise’da bulunan e-posta ve SMS bildirimleri, önemli durumlardan haberdar olmanıza yardımcı olur. Örneğin aktif sitenizde bir ya da birden fazla açığın bulunması halinde SMS yoluyla bilgilendirilmeniz mümkün. SMS ya da e-posta bildirimlerini ayarlamaksa oldukça kolay. Gerekli bilgileri makale içinde bulabilirsiniz.

Netsparker Kullanıcı Profilini Bildirimlere Göre Ayarlama

Her Netsparker Enterprise kullanıcısının bir e-posta hesabı belirlemesi zorunludur. Dolayısıyla varsayılan olarak her kullanıcının Netsparker Enterprise hesabında e-posta belirlenmiş vaziyettedir. Telefon numarasıysa manuel olarak eklenir ve bir kere eklendikten sonra sistem tarafından SMS bildirimleri göndermek amacıyla kullanılır.

Telefon Numarası Ayarlama

Bunun için Account Settings (Hesap Ayarları) sayfasındaki Phone Number (Telefon Numarası) alanında bir telefon numarası tanımlayabilirsiniz.

Geriye Confirm butonuyla işlemi onaylamak kalıyor. Daha sonra doğrulama işlemi esnasında kullanıcının telefonuna otomatik olarak 6 haneli bir kod gönderilir.

Netsparker Enterprise Bildirimlerini Yapılandırma Ve Yönetme

Yeni Bir E-Posta ya da SMS Bildirim Kuralı Oluşturma

Yeni bir e-posta ya da SMS bildirim kuralı oluşturmak için:

• Notifications (Bildirimler) düğümüne tıklayıp ardından New Notifications (Yeni Bildirimler)’a basın.
• Yeni bir isim girin ve durumunun Enabled (Aktif) olduğudan emin olun.
• Event (Olay) açılır menüsünden bilgilendirilmeyi istediğiniz etkinliği seçin. Bildirim alabileceğiniz olaylar aşağıdadır:
  • New Scan (Yeni Tarama)
  • Scan Completed (Tarama Bitti)
  • Scan Failed (Tarama Başarısız)
  • Scan Cancelled (Tarama İptal Edildi)
  • Scheduled Scan Launch Failed (Zamanlanan Taramanın Çalıştırılması Başarısız)

Not: Scan Completed (Tarama Bitti)’ı seçtiğinizde ek olarak; gönderilecek olan e-posta ya da SMS bildiriminleri için tanımlanan en düşük zafiyet önem seviyesini de belirlemeniz gerecektir. Söz gelimi Important (Önemli)’ı seçerseniz, tarama bittiğinde Important veya daha üst seviyede olan Critical (Tehlikeli) öneme sahip zafiyetlerden bir ya da daha fazlası mevcutsa sadece bu önem seviyelerinde bulunan açıklar için bildirim alırsınız.

• Bir Website Group (Websitesi Grubu) ya da taranmış herhangi bir site için bildirime ait Scope (Kapsam)’u seçin.
• Kimin e-posta, SMS ya da ikisi ile beraber haberdar edileceğini seçin ve Save (Kaydet)’e tıklayın.

Var Olan Bildirimleri Yönetme

Manage Notifications bölümünde, halihazırda var olan tüm bildirimleri bulabilirsiniz. Söz konusu kısımda bildirimler üzerinde Clone (Kopyalama), Edit (Düzenleme) ve Delete (Silme) işlemlerini gerçekleştirebilirsiniz.

Bildirim Önceliklerini Yönetme

Netsparker Enterprise bildirimleri bulundukları Event (Olay)’lere göre gruplandırılır ve bu bildirimlerin öncelik sırası Scope (Kapsam)’a göre belirlenir. Ayrıca son eklenen bildirim en yüksek önceliğe sahip olur. Kapsamların önceliği (Priorty) aşağıdaki gibidir:

• Single Website Scope (Tek web sitesi kapsamı)
• Website Group Scope (Web sitesi grubu kapsamı)
• Any Website Scope (Herhangi bir web sitesi kapsamı)

Bu durum Netsparker Enterprise’in, yeni bir tarama başlatıldığında yukarıda bahsedilen New Scan (Yeni Tarama) olayıyla ilişkili tüm bildirimleri kontrol ettiği anlamına gelir. Örneğin bir web sitesi New Scan olayındaki bir Single Website Scope ve bir Website Group Scope bildiriminde listelenirse, yeni tarama başlayınca tek web sitesi kapsamı tetiklenirken web sitesi grubu kapsamı göz ardı edilir. Kapsam öncelikleri hakkında grafiksel bir açıklama sunan aşağıdaki çizelgeye bakmanız yararınıza olacaktır.

Bildirim önceliğini kendi grubu bünyesinde değiştirmek için sol menüdeki Manage Priorites (Öncelikleri Yönet)’e tıklayın ve bildirimlerini görmek istediğiniz Event (Olay)’i seçin. Bunların yanı sıra Website or Website Group girdi alanında bir web sitesi ismi ya da web sitesi grubu tanımlayarak sonuçları filtrelemek de yapılabilecekler arasında yer alıyor.

Örneğin aşağıdaki ekran görüntüsünde New Scan (Yeni Tarama) olayı sırasında tetiklenen tüm bildirimleri görebilirsiniz:

Öncelikleri değiştirmek için herhangi bir bildirimi sürükleyip bırakmanız yeterli olacaktır.

Bildirimleri Test Etme

Özellikle de aktif bir web uygulamasında ortaya çıkacak kritik zafiyetlerden haberdar olabilmek için bildirimlerin çalıştığından emin olmak gerekir. Notifications (Bildirimler) menüsündeki Test Notifications (Bildirimleri Test Et) kısmına girerek bildirimler üzerinde test yapabilirsiniz. Bir bildirimi denemek için:

• Event (Olay) açılır menüsünden uygun olayı seçin.
• Bir Website Group (Web Sitesi Grubu)’na ait bildirimleri denemek için Group Scan (Grup Tarama)’i aktfileştirin ve Website Group açılır menüsünden uygun grubu seçin.
• Tek web sitesine ait bildirimleri denemek için Website açılır menüsünden uygun web sitesini seçin.
• User (Kullanıcı) açılır menüsünden bildirimlerini test etmek istediğiniz kullanıcıyı seçin ve Test düğmesine basın.

Yaptığınız test tamamlandığında ortaya çıkan sonuçlar, eşleşen kuralı ve SMS ile e-posta bildirimlerinin gönderileceği alıcıları öne çıkarıyor olacak.

Web Güvenliği Konusunda Zirvede Kalmak İçin E-Posta ve SMS Bildirimlerini Kullanın

Birçok web sitesi için uzun vadede güvenliği sağlamak kolay bir iş değil. Netsparker Enterprise’da bulunan bildirimler size bu konuda yardımcı olur ve web güvenliği konusunda zirvede kalmanızı sağlar. Bildirimleri yapılandırarak bu sistemin tüm avantajlarından yararlanın. Bu sayede, aktif web uygulamanızda yahut haberdar olmak istediğiniz herhangi bir senaryoda bulunan zafiyetler, size ve takımınıza anında bildirilmiş olur.