Web servis güvenliğinde Token bazlı yeni yaklaşım

Basit Öğe Kaydı
dc.authorid0000-0003-4256-9388en_US
dc.contributor.advisorÇubukçu Cerasi, Ceren
dc.contributor.authorCinci, Mehmet
dc.date.accessioned2024-07-12T22:33:49Z
dc.date.available2024-07-12T22:33:49Z
dc.date.issued2022en_US
dc.date.submitted2022-09en_US
dc.departmentEnstitüler, Lisansüstü Eğitim Enstitüsü, Bilgisayar Mühendisliği Ana Bilim Dalıen_US
dc.description.abstractGünümüzde internetin yaygınlaşması ile kurumlar arasında verilerin iletilmesinde web servisler yoğun bir şekilde kullanılmaktadır. Web servisler ile veri transferlerinde üçüncü kişilerin erişimini önlemek için SSL / TLS kullanılmaktadır. Bu güvenlik çözümü sayesinde istemci ile sunucu arasındaki haberleşme güvenliği sağlanmış olunacaktır. Web servislerin üçüncü kişiler tarafından zafiyet saldırılarına uğradıkları gözlemlenmiştir. Bu atakların en popüler olanları XML Injection, XPath Injection, SQL Injection, Spoofing ve Denial of Service günümüzde de devam etmektedir. Bu saldırılara karşı bizim tavsiye etiğimiz XAdES tabanlı çözüm olacaktır. Burada karşılaştığımız en büyük problem; talep edilen Envelope’un istenilen XML formatı, Dijital imza ve imza türüne göre hazırlanıp sunucu tarafına iletilmesidir. Ayrıca XAdES oluşturmada en büyük problem, dijital imzalamada bulunan ve imzalama sırasında kullanılan Private Key’in satıcı kurum tarafından asimetrik olarak güvenlik nedenlerinden dolayı açık sunulmamasıdır. Genellikle kurumun sunduğu veya üçüncü şahıslar tarafından üretilen API’lere ihtiyaç duymaktadırlar. API’lerin kullandığı imzalama algoritmaları veya yapıların bazen yetersiz olduğu gözlemlenmiştir. Bundan dolayı kurumlar arasında özel kütüphaneler ile çözüme gidilmeye çalışılmıştır. Kurumlar arasındaki yapılan veri aktarımları istemci ile sunucu arasında Geliştirme, Test, Kalite Kontrol ve Canlı süreçlerinin zaman planlamasının yapılamamasından kaynaklanmaktadır. Ayrıca SOAP mesajının içerisinde yer alan Timestamp bilgisinin ömrünün çok kısa olması, konum, yer ve zaman farklılığın olmasından dolayı proje maliyetinin de hesaplanamadığı gözlemlenmiştir. Bu sistemlerin devlet kurumları tarafından zorlama yolu ile özel kurumlarda yaygınlaştırılması sağlanmıştır.en_US
dc.description.abstractToday, with the widespread use of the internet, data exchange between institutions has started to be done with web services. SSL / TLS was started to be used to prevent third party access in data transfers and only communication security between client and server was ensured. It has been observed that web services have been subjected to vulnerability attacks by third parties. The most popular of these attacks as of today are XML Injection, XPath Injection, SQL Injection, Spoofing, Denial of Service. Our recommendation against these attacks would be XAdES. The biggest problem faced here is that the requested Envelope is prepared according to the desired XML format, digital signature and signature type and transmitted to the server side. In addition, the biggest problem in creating XAdES is that the Private Key used in digital signing and used during signing is not presented asymmetrically by the vendor for security reasons. They usually need APIs provided by the institution or produced by third parties. Signing algorithms or structures used by APIs have sometimes been observed to be insufficient. For this reason, it has been tried to reach a solution with private libraries among institutions. Data transfers between institutions are due to the inability to schedule DEV, TEST, QA and PROD processes between the client and server. It has been observed that the project cost cannot be calculated due to the short life of the Timestamp information in the SOAP message, in addition to the location and time difference.en_US
dc.identifier.citationCinci, M. (2022). Web servis güvenliğinde Token bazlı yeni yaklaşım / Token based novel approach to Web service security. (Yayımlanmamış Yüksek Lisans Tezi). Maltepe Üniversitesi, Lisansüstü Eğitim Enstitüsü, İstanbul.en_US
dc.identifier.urihttps://hdl.handle.net/20.500.12415/12147
dc.language.isotren_US
dc.publisherMaltepe Üniversitesi, Lisansüstü Eğitim Enstitüsüen_US
dc.relation.publicationcategoryTezen_US
dc.rightsinfo:eu-repo/semantics/openAccessen_US
dc.snmzKT2204en_US
dc.subjectWeb servis güvenliğien_US
dc.subjectDijital İmzaen_US
dc.subjectXAdESen_US
dc.subjectSOAPen_US
dc.subjectWSG-Prefiksen_US
dc.titleWeb servis güvenliğinde Token bazlı yeni yaklaşımen_US
dc.title.alternativeToken based novel approach to Web service securityen_US
dc.typeMaster Thesisen_US
dspace.entity.typePublication

Dosyalar

Orijinal paket
Listeleniyor 1 - 1 / 1
Küçük Resim
İsim:
Mehmet_Cinci_201402202.pdf
Boyut:
1.97 MB
Biçim:
Adobe Portable Document Format
Açıklama:
Tam Metin / Full Text
İndir

Koleksiyon

Lisansüstü Eğitim Enstitüsü Tez Koleksiyonu