WPSecAnalyzer, bir web sayfası veya web uygulamasının güvenliğini çok pratik ve hızlı olarak ölçmeyi sağlayan bir Google Chrome eklentisidir. Eklenti herhangi ek bir araca ya da hizmete gerek kalmadan 11 kritere göre bir web uygulamasının güvenlik değerlendirmesini yapıyor. Web uygulamalarını kendi çapınızda ücretsiz olarak taramak için birebir.
WPSecAnalyzer, OWASP Testing Guide v4 standardına göre ve 11 kriterde web uygulamaları ile web sayfalarını tarıyor. Tarama kriterleri şunlardan oluşuyor:
- Web sitesi HTTPS’yi uyguluyor mu?
- Sunucu, HTTP yöntemlerinden birini (TRACE, CONNECT, OPTIONS, DELETE, PUT) uyguluyor mu?
- Sunucuda gereksiz yere açık port var mı? (80 ve 443 dışındaki portlar)
- FTP (port 21) portu açık mı?
- Üç ve daha fazla port açık mı?
- Sunucu, HTTP yanıtında X-XSS-Protection alanını uygulamış mı?
- Sunucu, HTTP yanıtında X-Content-Type-Options: nosniff alanını uygulamış mı?
- Sunucu, HTTP yanıtında X-Frame-Options alanını uygulamış mı?
- Sunucu, HTTP yanıtında HttpOnly alanını uygulamış mı?
- Web sunucusu çerez değerlerini güvenli olarak işaretliyor mu; çerez değerlerini HTTPS yoluyla gönderiyor mu?
- Sunucuda robots.txt dosyası var mı?
Aynı benzer işi bir web sayfası aracılığı ile yapan ve daha önceden Sibergah’ta da tanıttığımız Mozilla Observatory‘nun aksine, WPSecAnalyzer öncelikli olarak web tarayıcısında yani client/istemci taraflı çalışmakta, açık portlar için shodan.io ve HTTP header incelemesi için başka bir sunucu üzerinde işlem yapmaktadır. Yani hem istemci hem de sunucu tabanlı çalışmaktadır. 11 kritere göre bir puanlama yapıp çok kısa bir süre için rapor vermektedir.
Bir web uygulamasının güvenliğini pentest süreçleri öncesinde çok hızlı bir şekilde ön tarama yapıp, değerlendirmede WPSecAnalyzer oldukça başarılı bir iş çıkartıyor ve hem kendi hem de başka web uygulamalarınızı saldırgan olmayan pasif bir modda taramanın en kolay yolu haline geliyor.
Kaynak: https://www.sibergah.com/uygulama-guvenligi/web-ve-mobil-uygulama-sizma-testleri/bir-web-uygulamasinin-guvenligini-degerlendirmenin-en-hizli-yolu/