← Bilgi Bankasına dön← Önceki soruSonraki soru →
El Testi (IT)Test Uzmanı, QA

Web uygulamalarında manuel güvenlik testi nasıl yapılır? Hangi zafiyetleri kontrol etmek gerekir ve bulunan sorunlar nasıl belgelenir?

Hintsage yapay zeka asistanı ile mülakatları geçin

Cevap.

Soru Tarihi

Siber saldırıların artmasıyla birlikte güvenlik testi üzerine odaklanma arttı. Manuel test uzmanlarının, standart zafiyetleri tespit edebilmesi önemlidir.

Problem

Sıklıkla manuel test uzmanları, güvenlik sorularını yalnızca otomasyon uzmanlarının veya güvenlik uzmanlarının sorumluluğu olarak görmektedir. Bu, iş için kritik olan temel hataların gözden kaçmasına yol açar.

Çözüm

Manuel güvenlik testi, sıradan bir kullanıcının pozisyonundan potansiyel saldırıları yeniden üretme çabasıdır:

  • XSS, SQL Enjeksiyonu, CSRF kontrolü.
  • Çerez ve oturum manipülasyonları.
  • Yetkilendirme ve izin kısıtlamalarının ihlaline yönelik denemeler.

Bulunan tüm sorunlar mutlaka "Hata Raporu" şablonuna göre belgelenmeli, adım, beklenen ve gerçek sonuçların detaylı bir açıklamasını içermeli ve kritiklik seviyesi belirtilmelidir.

Anahtar özellikler:

  • URL'deki parametreleri değiştirme, tehlikeli değerler girme gibi basit manuel tekniklerin kullanımı.
  • OWASP Top 10'dan standart zafiyetlerin kontrol edilmesi.
  • Hataların nasıl işlendiğini ve hangi logların üretildiğini netleştirmek için DevOps/Backend ile iletişim kurma gerekliliği.

Yanıltıcı Sorular.

Manuel olarak uygulamadaki tüm kritik zafiyetleri tespit etmek mümkün mü?

Hayır. Manuel yaklaşım, belirgin zafiyetleri bulmaya yardımcı olabilir, ancak tam kapsama için otomatik tarayıcılara ve pentest'e ihtiyaç vardır.

Güvenlik testi için sadece giriş ve şifre formunu kontrol etmek yeterli mi?

Hayır. Tüm işlevsel modüller, özellikle veri değiştiren/saklayan, API ile etkileşimde bulunan, dosya yüklemeleri ve erişim hakları üzerindeki işlemler kontrol edilmelidir.

Manuel güvenlik testi söz konusu olduğunda test uzmanının HTTP istekleri ve yanıtları hakkında bilgi sahibi olması gerekli mi?

Evet. DevTools, Postman veya Fiddler gibi araçlarla çalışma, güvenlik sorunlarını manuel olarak tespit etmek için anahtardır.

Tipik Hatalar ve Anti-Desenler

  • Güvenlik kontrolü giriş ve kayıt ile sınırlıdır.
  • Zafiyetleri hemen kullanamadıkça göz ardı etme.
  • Standarda uygun hataların belgelenmemesi.

Gerçek Hayattan Bir Örnek

Olumsuz Vaka

Test uzmanı, XSS açısından sisteme girişin kontrolünü yaptı, ancak diğer kullanıcı formlarını ve URL parametrelerini test etmedi.

Artılar:

  • İlk aşama testinin hızlı bir şekilde yapılması.

Eksiler:

  • SQL enjeksiyonunun yapılabileceği kullanıcı profilinde kritik bir zafiyet gözden kaçtı.

Olumlu Vaka

Test uzmanı tüm giriş formlarını sırayla kontrol etti, isteklerdeki parametreleri değiştirdi, bulunanları detaylı bir şekilde hata raporuna yazdı ve hata yönetimi hakkında danışma için DevOps ile iletişime geçti.

Artılar:

  • Belirgin olmayan bir XSS ve veri erişim zafiyeti tespit edildi.
  • Sorunun ekip için tamamen şeffaf hale gelmesi.

Eksiler:

  • Bu test için daha fazla zaman harcandı, ancak kalite konusunda daha fazla güven sağlandı.