QueryShield

QueryShield Kullanım Klavuzu

Web uygulamalarınızın güvenliğini kapsamlı bir şekilde test edin. 6 farklı güvenlik açığı türü için gelişmiş test motoru.

1
Platform Genel Bakış

QueryShield, modern web uygulamalarının güvenliğini test etmek için geliştirilmiş kapsamlı bir güvenlik test platformudur. OWASP Top 10 açıklıklarını tespit edebilir.

📊 Dashboard Modu

  • • Güvenlik istatistikleri görüntüleme
  • • Hızlı erişim butonları
  • • Test geçmişi ve özetler
  • • Güvenlik ipuçları

🔍 Scanner Modu

  • • Canlı güvenlik taraması
  • • Real-time progress tracking
  • • 6 farklı test türü seçimi
  • • Detaylı sonuç analizi

⚠️ Etik Kullanım Uyarısı

Bu platformu yalnızca kendi sahip olduğunuz veya test etme izniniz olan web uygulamaları üzerinde kullanın. İzinsiz güvenlik testleri yasadışıdır ve ciddi hukuki sonuçları olabilir.

2
Test Türleri ve Kapsamı

QueryShield 6 farklı güvenlik açığı türünü tespit edebilir:

SQL Injection

Veritabanı sorgularına zararlı kod enjekte etme açıkları

  • • Union-based SQL Injection
  • • Boolean-based Blind SQL Injection
  • • Time-based Blind SQL Injection
  • • Error-based SQL Injection

Cross-Site Scripting (XSS)

Web sayfalarına zararlı script enjekte etme açıkları

  • • Reflected XSS
  • • Stored XSS
  • • DOM-based XSS

Cross-Site Request Forgery (CSRF)

Kullanıcı adına istemeden işlem yapılması açıkları

  • • CSRF token kontrolü
  • • SameSite cookie testleri
  • • Referrer header kontrolü

Authentication Testing

Kimlik doğrulama ve yetkilendirme açıkları

  • • Login bypass testleri
  • • Session management
  • • Brute force koruması
  • • Password policy testleri

File Upload Testing

Dosya yükleme işlemlerindeki güvenlik açıkları

  • • Unrestricted file upload
  • • Path traversal testleri
  • • Content validation bypass
  • • Executable file upload

Security Headers & Configuration

Güvenlik başlıkları ve konfigürasyon testleri

  • • HSTS (HTTP Strict Transport Security)
  • • CSP (Content Security Policy)
  • • HttpOnly ve Secure cookie flags
  • • X-Frame-Options, X-Content-Type-Options

3
Adım Adım Test Süreci

🚀 1. Mod Seçimi

Ana sayfada Dashboard veya Scanner modunu seçin:

  • Dashboard: İstatistikler ve genel bakış
  • Scanner: Canlı güvenlik taraması

🎯 2. Test Hedefi Belirleme

URL Girişi:

https://example.com/product.php?id=1

HTTP Yöntemi:

  • GET: URL parametreleri ile veri alan sayfalar
  • POST: Form verisi işleyen sayfalar

Hedef Parametre (Opsiyonel):

Belirli bir parametreyi test etmek için adını girin. Boş bırakırsanız otomatik tespit edilir.

⚙️ 3. Test Türlerini Seçme

6 farklı test türünden istediğinizi seçebilirsiniz:

💡 İpucu: Kapsamlı analiz için tüm test türlerini seçmeniz önerilir. Her test türü farklı güvenlik açıklarını tespit eder.

✅ 4. Etik Onay

Etik kullanım beyanını okuyup onaylayın. Bu adım yasal güvence için zorunludur.

⏱️ 5. Real-Time Takip

Test sırasında canlı olarak izleyebileceğiniz bilgiler:

  • • İlerleme durumu (%)
  • • Anlık istek istatistikleri
  • • Bulunan güvenlik açıkları
  • • Tahmini kalan süre
  • • Test hızı (req/min)

4
Gelişmiş Kullanıcı Deneyimi

🎯 Real-Time Progress

  • • Canlı ilerleme çubuğu
  • • Detaylı test istatistikleri
  • • Anlık güvenlik bulguları
  • • Tahmini tamamlanma süresi

📱 Responsive Tasarım

  • • Mobil uyumlu arayüz
  • • Touch-friendly etkileşimler
  • • Adaptive navigation
  • • Cross-platform uyumluluk

🎨 Modern UI/UX

  • • Lamp effect navigasyon
  • • Smooth animasyonlar
  • • Glass morphism efektleri
  • • Dark/Light theme harmony

⚡ Performance

  • • Hızlı test motoru
  • • Optimize edilmiş payload'lar
  • • Efficient API calls
  • • Smart caching

5
Sonuçları Anlama ve Değerlendirme

🚨 Risk Seviyeleri

CRITICAL

Acil müdahale gerekli

HIGH

Yüksek öncelik

MEDIUM

Orta düzey risk

LOW

Düşük risk

SAFE

Güvenli

📊 Test Sonuçları

Güvenlik Açıkları Tab

Sadece tespit edilen açıkları gösterir

Tüm Testler Tab

Başarılı ve başarısız tüm testleri listeler

Detaylı Bilgi

Her test için payload, response ve açıklamaları

💡 Sonuç İpuçları

  • False Positive: Bazı güvenli uygulamalar da pozitif sonuç verebilir, manuel doğrulama yapın
  • Payload Analizi: Kullanılan payload'ları inceleyerek açığın nasıl çalıştığını anlayabilirsiniz
  • Response Time: Time-based açıklarda yanıt süreleri önemlidir
  • HTTP Status: 500 hatası genellikle backend error'unu işaret eder

6
Güvenlik Açıklarını Giderme

💉 SQL Injection Koruması

Kod Seviyesi:

  • • Prepared Statements kullanın
  • • Parameterized queries
  • • Input validation ve sanitization
  • • Stored procedures

Sistem Seviyesi:

  • • Web Application Firewall (WAF)
  • • Database permission limiting
  • • Error handling iyileştirme
  • • Regular security audits

🛡️ XSS Koruması

  • • Content Security Policy (CSP) implementasyonu
  • • Output encoding ve escaping
  • • HttpOnly cookie flags
  • • Input validation ve filtering

🔐 Authentication & Authorization

  • • Multi-factor authentication (MFA)
  • • Strong password policies
  • • Session management best practices
  • • Rate limiting ve brute force koruması

📋 Security Headers

HSTS: Strict-Transport-Security: max-age=31536000
CSP: Content-Security-Policy: default-src 'self'
X-Frame-Options: X-Frame-Options: DENY

7
PDF Rapor ve Dokümantasyon

Test tamamlandıktan sonra kapsamlı PDF raporu indirebilirsiniz. Bu rapor profesyonel güvenlik değerlendirmesi için tasarlanmıştır.

📄 Rapor İçeriği

  • Executive Summary ve risk değerlendirmesi
  • Test metodolojisi ve kapsam
  • Detaylı bulgular ve açıklamalar
  • Teknik payload ve response detayları
  • Güvenlik önerileri ve çözüm yolları

🎯 Kullanım Alanları

  • Compliance raporlaması
  • Management briefing
  • Geliştirici ekibine rehberlik
  • Güvenlik denetimi kanıtı
  • Trend analizi için arşivleme

8
Sık Sorulan Sorular

❓ Test süresi ne kadar?

Tek test türü için 10-30 saniye, tüm test türleri için 1-3 dakika. Hedef sistemin yanıt hızına bağlı olarak değişebilir.

🔒 Verilerim güvende mi?

Kesinlikle! Hiçbir veri saklanmaz, loglanmaz veya üçüncü taraflarla paylaşılmaz. Tüm testler geçici olarak yapılır ve sonuçlar sadece size gösterilir.

⚡ Hangi teknolojileri destekler?

PHP, ASP.NET, Java, Python, Node.js, Ruby ve diğer tüm web teknolojileri. Platform bağımsız HTTP tabanlı test sistemi kullanır.

🎯 False positive nasıl tespit edilir?

Response içeriğini manuel olarak kontrol edin. Gerçek SQL error mesajları, database içeriği veya time delay olup olmadığına bakın. Payload'u manuel test edin.

📱 Mobil uygulamaları test edebilir miyim?

Web tabanlı mobil uygulamalar (mobile web) test edilebilir. Native mobile app'ler için API endpoint'lerini test edebilirsiniz.

🔄 Test sıklığı nasıl olmalı?

Yeni özellik deployment'larından sonra, aylık rutin kontroller, kritik güncellemeler öncesi ve güvenlik incident'larından sonra test yapın.

Kapsamlı Güvenlik Testine Başlayın

6 farklı test türü ile web uygulamanızın güvenliğini detaylı şekilde analiz edin. Profesyonel raporlama ile bulgularınızı dokümante edin.