YAZILIM GÜVENLİK TESTLERİ. H A L D U N T E R A M A N h a l d u n t e r a m a g m a i l. c o m

Transkript

1 YAZILIM GÜVENLİK TESTLERİ H A L D U N T E R A M A N h a l d u n t e r a m a g m a i l. c o m

2 TEST NEDİR? Test, bir sistemi manuel veya otomatik yollarla deneyerek veya değerlendirerek, belirlenmiş gereksinimleri karşıladığının doğrulanması veya beklenen ile gözlenen sonuçlar arasındaki farkların belirlenmesi sürecidir. Yazılım testi ise bir yazılımın sonsuz sayıdaki çalışma alanından, sınırlı sayıda ve uygun şekilde seçilmiş testler ile beklenen davranışlarını karşılamaya yönelik, dinamik olarak yapılan doğrulama faaliyetlerini kapsamaktadır.

3 YAZILIM TESTİ NEDEN YAPILIR? Müşteriye sunulmadan önce ürün kalitesinden emin olmak Yeniden çalışma (düzeltme) ve geliştirme masraflarını azaltmak Geliştirme işleminin erken aşamalarında yanlışları saptayarak ileri aşamalara yayılmasını önlemek, böylece zaman ve maliyetten tasarruf sağlamak Müşteri memnuniyetini arttırmak ve izleyen siparişler için zemin hazırlamak

4 YAZILIM TEST SÜRECİ

5 TEST ÇEŞİTLERİ Birim Testi (Unit Testing) Tümleyim Testi (Integration Testing) Regresyon Testi (Regression Testing) Zorlanım Performans Testi (Performance Testing) Kullanıcı Kabul Testi (User Acceptance Testing)

6 TEST TEKNİKLERİ Beyaz Kutu Test Tekniği (White Box Testing Technic) Beyaz kutu test tekniğinin en genel tabiri kod testidir. Projenin hem kaynak kodu, hem de derlenmiş kodu test edilir. Bu tür testler, uygulama kodunun iç mantığı üzerindeki bilgiye bağlıdır. Yazılım kodundaki deyimler, akış denetimleri, koşullar vb. elemanlar sınanır. Kara Kutu Test Tekniği (Blackbox Testing Technic) Test ekipleri tarafından en çok kullanılan teknik olan kara kutu test tekniği adından da anlaşılacağı gibi uygulamanın sadece derlenmiş kodu üzerinden test edilmesi olarak bilinir. Bu test tekniğinde, yazılımın programatik yapısı, tasarımı veya kodlama tekniği hakkında herhangi bir bilgi olması gerekli değildir. Yazılımın gereksinimine duyulan şeylere yanıt verip veremediği ve işlevselliği sınanmaktadır.

7 GÜVENLİ BİR YAZILIMDA BULUNMASI GEREKENLER İşletim sisteminin güvenliği İstemci(client) yazılımının güvenliği Uygulama yazılımının güvenliği Sistem yazılımının güvenliği Veritabanı yazılımının güvenliği Yazılım verisinin güvenliği İstemci verisinin güvenliği Sistem verisinin güvenliği Sunucu(server) yazılımının güvenliği Ağ yazılımının güvenliği

8 GÜVENLİK TESTİ NEDEN YAPILIR? Açık kapıları bulmak için, Güvenlik açıklarının sıfırlanması için, Tasarım güvensizliklerini belirlemek için, Uygulama güvensizliklerini belirlemek için, Bilginin güvenliği için, Sürecin güvenliği için, İletişimin güvenliği için, Sistemi geliştirmek için, Güvenlik politikalarını onaylamak için, Fiziksel güvenlik için.

9 YAZILIM GÜVENLİK TESTİNE YAKLAŞIM Güvenlik mimarisi incelemesi Güvenlik gereksinimlerinin analizi Güvenlik testinin sınıflandırılması Hedefleri geliştirme Tehdit modelleme Test planlama Testleri gerçekleştirme Test sonuçlarını raporlama

10 GÜVENLİK TESTİ TEKNİKLERİ İşletim Sistemi Sertleştirme Yamaların yapılandırılması ve uygulanması İşletim sisteminin güncellenmesi İstenmeyen servisleri ya da portları devre dışı bırakma ya da kısıtlama Log dosyalarının yönetimi Root sertifikalarının yüklenmesi İnternetin yanlış kullanımının önlenmesi ve siber güvenli olunması Zararlı yazılımlardan korunması Güvenlik açığı taraması Bilinen güvenlik açıklarının belirlenmesi Bilinmeyen güvenlik açıklarının müdahaleci olarak taranması

11 GÜVENLİK TESTİ TEKNİKLERİ (Devam) Penetration Testleri Kötü niyetli saldırganların saldırılarının simule edilmesi Ağ taramasını ve güvenlik açığı taramasını kapsar. Sisteme tanıdık olmayan bir kişinin saldırsının simule edilmesi Sisteme doğrudan erişimi olan (Kaynak kodu, ağ, şifreler) kişilerin saldırılarının simule edilmesi. Port Taraması ve Servis Araştırması Açık portların tanımlanması Çalışan servislerin tanımlanması Firewall Kural Testleri Uygun olmayan ya da çelişen kuralların belirlenmesi Savunmasız sistemlerin firewall arkasına uygun bir şekilde yerleştirilmesi Yönetim amaçlı oluşturulmuş backdoorların ve tünellerin keşfedilmesi SQL Injection Veritabanı katmanında bulunan güvenlik açıklarının bulunması Beklenmedik kullanıcı inputlarının gönderilmesi

12 GÜVENLİK TESTİ TEKNİKLERİ (Devam) Parametre Manipulasyonu Cookie manipulasyonu Form alanları manipulasyonu URL manipulasyonu HTTP header manipulasyonu Ağ Taraması Ağdaki aktif hostların belirlenmesi Internet aracılığı ile sisteme erişebilen IP lerin kontrolü İşletim sistemi detaylarının, sistem mimarisinin ve çalışan servislerin kontrolü Ağ kullanıcılarının ve Grup isimlerinin kontrolü Şifre Crackleme Zayıf şifreleri belirleme Kayıtlı olan ya da iletilen(sistemden ya da sisteme) verilerden şifre toplanması Brute force ya da sözlük saldırılarıyla şifre kırılmaya çalışılması

13 GÜVENLİK TESTİ TEKNİKLERİ (Devam) Sosyal Mühendislik İnsanların psikolojik manipule edilmesi yoluyla bilgi çıkarımı Gizli bilginin ifşa edilmesi

14 KAYNAKÇA azılım-testi-ve-test-süreçleri Edward%20Bonver%20Security%20Testing.ppt

15 ÖNEMLİ BU PROJELER LİSANSÜSTÜ ÖĞRENCİLERİNİN HAZIRLADIĞI ÇALIŞMALAR OLUP TÜM SORUMLULUK HAZIRLAYAN ÖĞRENCİLERE AİTTİR. ÖĞRENCİLER HAZIRLADIĞI PROJEYE GÖRE NOT ALMIŞLARDIR.