Bir Tarama Başlatmadan Önce Bilmeniz Gerekenler
Uyarı: Uygun kimlik doğrulama işlemini gerçekleştirmeksizin herhangi bir web sitesini taratmayın. İzinsiz yapılan taramalar hukuka aykırıdır. Netsparker, bu tarz işlemler için sorumluluk kabul etmez ve hedef web sitesinde oluşabilecek herhangi bir zarardan dolayı sorumlu tutulamaz.
1. Invicti Enterprise ve Invicti Desktop; SQL Injection ve XSS gibi güvenlik açıklarını web uygulamalarına saldırarak otomatik bir biçimde tespit eden, false positive(hatalı bulgu) vermeyen birer web uygulaması güvenlik tarayıcılarıdır. Yani Netsparker, web sitesindeki tüm saldırı yüzeylerini tanımlamak zorundadır. Bu işlemin gerçekleşmesi için crawler, tüm web sitesi üzerinde gezinir. Yorum formları ve e-posta formları da dahil olmak üzere tüm formlar, silme butonları ve web uygulamasındaki tüm girdi çeşitlerine test verileri gönderir.
Invicti Desktop’ın Belli Sayfaları Taramasını Engelleme
Invicti Desktop’ın, bazı bölümleri ya da sayfaları crawl etmesini ve taramasını engellemek için söz konusu sayfaları, aşağıdaki ekran görüntüsünde de gösterilen, Scope bölümünün altındaki Exclude URLs with RegEx kısmında tanımlayın. Web sitenizin belli bölümlerini bir web güvenlik taramasından hariç tutmak için yapmanız gerekenler hakkında daha detaylı bilgi almak için ilgili yardım maddesini inceleyebilirsiniz.
Invicti Enterprise’ın Belli Sayfaları Taramasını Engelleme
Invicti Enterprise’ın, bazı bölümleri ya da sayfaları crawl etmesini ve taramasını engellemek için söz konusu sayfaları, aşağıdaki ekran görüntüsünde de gösterilen, Scope bölümünün altındaki Exclude URLs with RegEx kısmında tanımlayın.
2. Bir web güvenlik taraması iki aşamadan oluşur: crawler’ın tüm saldırı yüzeylerini keşfetmek için web uygulamasının tamamında gezindiği crawling aşaması ve tarayıcının web sitesine saldırmaya başladığı tarama aşaması. İki aşama sırasında da tarayıcı, hedef web sitesine çok sayıda HTTP isteği gönderir. Web güvenlik taramasının web sitenizin performansını düşürmemesini sağlamak için Scan Policy kısmından Concurrent Connections sayısını azaltabilirsiniz:
Invicti Desktop’ta bunu yapmak için
- “Tools > Scan Policy Editor > HTTP”
yolunu takip etmelisiniz. Ayrıca bir tarama esnasında da Concurrent Connections sayısını istediğiniz gibi değiştirebilirsiniz.
Invicti Enterprise için ise
- “Policies > Scan Policies > Edit Policy/New Scan Policy > HTTP Request”
yolunu takip edebilirsiniz.
Tavsiye Edilen Uygulama Biçimi
Netsparker tarayıcıları, tahrip edici olmayan web uygulaması güvenlik taramaları yapmak için dizayn edilmiştir. Yine de, mümkünse, güvenlik taramalarını test ortamındaki web sitesinde denemenizi öneriyoruz. En azından ilk taramayı bu şekilde yapmanız yararınıza olacaktır. Netsparker’ı kullanıp doğru konfigürasyonu elde ettikten sonra işleme konulan herhangi bir web sitesini taramakta zorlanmayacaksınız.
Netsparker Desteği ve Dokümantasyon
Profesyonel teknik desteğimiz, tüm müşterilerimiz ve deneme sürümü kullanıcıları içindir. Herhangi bir problemle ya da belirsizlikle karşılaşırsanız lütfen destek departmanımızla iletişime geçmekten çekinmeyin.
Detaylı ürün dokümantasyonu, öğretici içerikler, sıkça sorulan sorular ve destekle ilgili diğer tüm belgeler için Netsparker Destek Sayfaları’na göz atın.
Güvende Kalın!
