Bir web uygulaması veya web sitesini yaptıktan sonra elbette işimiz bitmiyor, bunun bir de güvenlik kontrolleri, hız kontrolleri, risk analizleri yapılması gerekiyor. Güvenlik kontrollerini kısa yoldan yapabileceğimiz bir Google Chrome Eklentisi olan WPSecAnalyzer mevcut.
Hızlı ve pratik bir şekilde yazılımın güvenliğini ölçmeyi sağlayan eklenti, ekstra hiç bir araca ya da hizmete gerek duymadan 11 farklı kritere göre değerlendirme yapabilmektedir.
Mohd Alduhaimi tarafından üretilen WPSecAnalyzer, OWASP Testing Guide v4 standardına göre taradığı 11 kriter aşağıdakilerden oluşmaktadır:
- Sunucuda robots.txt dosyası var mı?
- Web sunucusu çerez değerlerini güvenli olarak işaretliyor mu; çerez değerlerini HTTPS yoluyla gönderiyor mu?
- FTP (port 21) portu açık mı?
- Sunucuda gereksiz yere açık port var mı? (80 ve 443 dışındaki portlar)
- Sunucu, HTTP yöntemlerinden birini (TRACE, CONNECT, OPTIONS, DELETE, PUT) uyguluyor mu?
- Sunucu, HTTP yanıtında X-XSS-Protection alanını uygulamış mı?
- Üç ve daha fazla port açık mı?
- Sunucu, HTTP yanıtında X-Content-Type-Options: nosniff alanını uygulamış mı?
- Sunucu, HTTP yanıtında X-Frame-Options alanını uygulamış mı?
- Sunucu, HTTP yanıtında HttpOnly alanını uygulamış mı?
- Web sitesi HTTPS’yi uyguluyor mu?
Hem kendi hem de başka web uygulamalarınızı saldırgan olmayan pasif bir modda taramanın en kolay yolu WPSecAnalyzer ile yapılabiliyor
Eklenti’yi bu adresten indirebilirsiniz.
