Publication: Web ve API Zafiyetlerine Yönelik Güvenlik Stratejileri ile XSS Saldırılarının Makine Öğrenmesi Yöntemleriyle Tespiti
Abstract
Bu çalışma, modern web ve Uygulama Program Arayüzü (Application Programming Interface: API) tabanlı sistemlerde yaygın olarak karşılaşılan güvenlik açıklarını detaylı şekilde incelemektedir. Bu zafiyetlere karşı uygulanabilir güvenlik stratejileri geliştirmeyi amaçlamaktadır. Ayrıca, Siteler Arası Betik Çalıştırma (Cross-Site Scripting: XSS) saldırılarını makine öğrenmesi yöntemleriyle tespit etmeye yönelik deneysel bir analiz sunmaktadır. Çalışma; yazılım geliştiriciler, sistem yöneticileri ve siber güvenlik uzmanlarına rehberlik etmeyi hedeflemektedir. Güvenlik açıklarının tanınması, anlaşılması ve önlenmesine katkı sağlamayı amaçlamaktadır. Aynı zamanda, güvenlik farkındalığını artırarak hem bireysel hem de kurumsal düzeyde daha dirençli dijital sistemlerin oluşturulmasına yönelik stratejiler sunmaktadır. Araştırmanın kapsamı; Açık Web Uygulaması Güvenlik Projesi (Open Web Application Security Project: OWASP) Top 10 2021 listesinde yer alan güvenlik açıklarının detaylı analizini içermektedir. Bu açıkların istismar yöntemleri, operasyonel süreçlere etkileri ve organizasyonlara verebileceği potansiyel zararlar da kapsam dahilindedir. Güvenli kimlik doğrulama, veri doğrulama mekanizmalarının eksiklikleri ve sistem yapılandırma hataları gibi kritik güvenlik zafiyetleri örneklerle ele alınmıştır. Çalışmanın ikinci bölümünde, XSS saldırılarının tespiti amacıyla kapsamlı bir deneysel analiz gerçekleştirilmiştir. Bu kapsamda, metin madenciliğine dayalı iki farklı metin temsil yöntemi kullanılmıştır. Bunlar; Kelime Çantası (Bag of Words: BoW) ve Terim Frekansı-Ters Doküman Frekansı (Term Frequency-Inverse Document Frequency: TFIDF) yöntemleridir. Bu yöntemlerle öznitelik uzayı yapılandırılmıştır. Dokuz farklı sınıflandırma algoritması, çeşitli öznitelik seçme yöntemleriyle birlikte değerlendirilmiştir. Elde edilen sonuçlar özellikle Çok Katmanlı Algılayıcı, Rastgele Orman, AdaBoost ve Destek Vektör Makinesi gibi algoritmaların yüksek doğruluk ve F1-skoru ile öne çıktığını göstermiştir. Önerilen öznitelik seçme yöntemi ile sadece 4 veya 5 öznitelik kullanılarak \%99'un üzerinde doğruluk elde edilmiştir. Bu durum, geliştirilen yöntemin etkinliğini ortaya koymaktadır. Ayrıca farklı metin temsil tekniklerinin sınıflandırma performansı üzerindeki etkisi de değerlendirilmiştir. Doğru kombinasyonlarla XSS saldırılarının başarılı şekilde tespit edilebileceği gösterilmiştir. Bu yönüyle çalışma, hem güvenlik açıklarının önlenmesine yönelik stratejik yaklaşımlar sunmakta hem de makine öğrenmesi yöntemleriyle saldırı tespitine dair uygulanabilir çözümler geliştirmektedir.
This study provides an in-depth examination of security vulnerabilities commonly encountered in modern web and API-based systems. It aims to develop applicable security strategies to address these vulnerabilities. Additionally, it presents an experimental analysis focused on detecting Cross-Site Scripting (XSS) attacks using machine learning techniques. The study is intended to serve as a guide for software developers, system administrators, and cybersecurity professionals. It aims to contribute to the recognition, understanding, and prevention of security vulnerabilities, while also enhancing security awareness to foster the development of more resilient digital systems at both individual and organizational levels. The scope of the research includes a detailed analysis of the security vulnerabilities listed in the Open Web Application Security Project (OWASP) Top 10 2021. It also covers exploitation methods, impacts on operational processes, and the potential damage these vulnerabilities may cause to organizations. Critical issues such as insecure authentication, deficiencies in data validation mechanisms, and misconfigurations in system setups are discussed with illustrative examples. In the second part of the study, a comprehensive experimental analysis is conducted to detect XSS attacks. In this context, two text representation methods based on text mining are employed: Bag of Words (BoW) and Term Frequency-Inverse Document Frequency (TFIDF). These methods are used to construct the feature space. Nine different classification algorithms are evaluated in combination with various feature selection techniques. The results show that algorithms such as Multilayer Perceptron, Random Forest, AdaBoost, and Support Vector Machine stand out with high accuracy and F1-scores. With the proposed feature selection method, over 99\% accuracy was achieved using only 4 or 5 features. This demonstrates the effectiveness of the proposed method. Furthermore, the impact of different text representation techniques on classification performance is assessed. The findings reveal that XSS attacks can be successfully detected with the right combination of methods. In this respect, the study not only offers strategic approaches for preventing security vulnerabilities but also provides practical solutions for attack detection using machine learning techniques.
This study provides an in-depth examination of security vulnerabilities commonly encountered in modern web and API-based systems. It aims to develop applicable security strategies to address these vulnerabilities. Additionally, it presents an experimental analysis focused on detecting Cross-Site Scripting (XSS) attacks using machine learning techniques. The study is intended to serve as a guide for software developers, system administrators, and cybersecurity professionals. It aims to contribute to the recognition, understanding, and prevention of security vulnerabilities, while also enhancing security awareness to foster the development of more resilient digital systems at both individual and organizational levels. The scope of the research includes a detailed analysis of the security vulnerabilities listed in the Open Web Application Security Project (OWASP) Top 10 2021. It also covers exploitation methods, impacts on operational processes, and the potential damage these vulnerabilities may cause to organizations. Critical issues such as insecure authentication, deficiencies in data validation mechanisms, and misconfigurations in system setups are discussed with illustrative examples. In the second part of the study, a comprehensive experimental analysis is conducted to detect XSS attacks. In this context, two text representation methods based on text mining are employed: Bag of Words (BoW) and Term Frequency-Inverse Document Frequency (TFIDF). These methods are used to construct the feature space. Nine different classification algorithms are evaluated in combination with various feature selection techniques. The results show that algorithms such as Multilayer Perceptron, Random Forest, AdaBoost, and Support Vector Machine stand out with high accuracy and F1-scores. With the proposed feature selection method, over 99\% accuracy was achieved using only 4 or 5 features. This demonstrates the effectiveness of the proposed method. Furthermore, the impact of different text representation techniques on classification performance is assessed. The findings reveal that XSS attacks can be successfully detected with the right combination of methods. In this respect, the study not only offers strategic approaches for preventing security vulnerabilities but also provides practical solutions for attack detection using machine learning techniques.
Description
Citation
WoS Q
Scopus Q
Source
Volume
Issue
Start Page
End Page
113