- Vulnerability Assessment
- Erişim elde etmeye, sonrasında hak yükseltmeye çalışılır.
- Teknoloji kullanımının (alırken, öğrenirken vs) her aşamasında güvenliği düşünmek gerekir.
- Zafiyet nedenleri
- Güncel olmayan yazılımlar
- Programlama hatası
- Eksik/yanlış yapılandırma.
- Zafiyet takibi => CVE (Common Vulnerabilities and Exposures)
- Güvenlik test çeşitleri
- Network güvenliği (En temeli bu)
- OS güvenliği
- DB güvenliği
- Web uygulama güvenliği (En popüleri bu)
- nCircle, Qualys, Rapid7 Strong Positive, Tenable Nessus Strong kategorisinde (Gartner)
Nessus
- 3.x ile birlikte ücretsiz olarak kullanılabilen, kapalı kaynak kodlu bir yazılım haline geldi.
- Günlük olarak zafiyet veritabanı yenileniyor.
- 45.000 civarı plug-in'i var.
- NASL => Nessus Attacking Scripting Language. Bu dili kullanarak plug-in yazabilirsiniz.
- İstemci-sunucu mantığına uygun çalışır.
- Nessus, KB (Knowledge Base) olarak isimlendirilen özelliği sayesinde plug-in'leri çalıştırırken akıllı bir şekilde filtreleme yapar. Mesela taranan makine Linux ise Microsoft testlerini çalıştırmaz.
- Güvenlik tarama çeşitleri
- Uzaktan
- Yerel
Hiç yorum yok:
Yorum Gönder