Siber Korsanlar Web uygulamalarındaki güvenlik açıklarından yararlanarak sistemlere sızma,kullanıcı hesap bilgilerini ele geçirme,sistemleri ele geçirme gibi faaliyetlerde bulunmaktadırlar. 2013 yılı için açıklanan Web uygulamalarındaki kritik güvenlik açıklarını yazımızda bulabilirsiniz.
Web uygulamalarındaki güvenlik açıkları(zafiyet) bilgi güvenliği açısından bir tehdit oluşturmaktadır. Siber korsanlar bu açıklardan yararlanarak; sistemlere sızma,kullanıcı hesap bilgilerini ele geçirme,sistemlere erişimi engelleme gibi faaliyetlerde bulunmaktadır. Bu yazımızda, 2013 yılı için açıklanan Web uygulamalarındaki kritik güvenlik açıkları üzerinde duracağız.
Günümüzde siber tehditler çok ciddi bir evrim geçirmiş ve basit sızma girişimlerinin yerini İleri Seviye Tehditler(Advanced Persistent Threats) almıştır. Onun için Web uygulamalarındaki kritik güvenlik açıklarını gidermek ve güvensiz yazılımların oluşturduğu problemlere karşı mücadele etmek için Dünya çapında birçok topluluk oluşturulmuştur. Bu topluluklardan birisi olan OWASP(Open Web Application Security Project) topluluğu, Web Uygulamalarındaki kritik 10 güvenlik açığını duyurmuştur.Bu güvenlik açıklarını şu şekilde sıralayacak olursak :
1. Injection(SQL Sorgusu Ekleme /Değiştirme)
2. Broken Authentication and Session Management(Kırık Kimlik Doğrulama ve Oturum Yönetimi)
3. Cross-Site Scripting (XSS) (Siteler Arası Komut Dosyası )
4. Insecure Direct Object References(Güvensiz Doğrudan Nesne Referans)
5. Security Misconfiguration(Güvenlik Yanlış Yapılandırma)
6. Sensitive Data Exposure(Hassas Veri Pozlama)
7. Missing Function Level Access Control(İşlev Seviyesi Erişim Kontrolü Eksikliği)
8. Cross-Site Request Forgery)( Siteler Ötesi İstek Sahteciliği )
9. Using Known Vulnerable Components(Bilinen Güvenlik Açıkları ile Bileşenlerini Kullanma)
10. Unvalidated Redirects and Forwards(Geçersiz İleri Yönlendirmeler)
Her zaman olduğu gibi en önemli zafiyetler arasında bulunan SQL INJECTION zaafiyetinin istismar edilmesi yer alıyor. SQL INJECTION zaafiyeti 1999 yılında farkedilmiş olup, halen sistemlere sızma, verileri ele geçirme amacıyla kullanılmaktadır. Aradan 14-15 yıl geçmesine rağmen, Web uygulamalarındaki en önemli istismar ögesi olarak kullanılmaya devam edilmektedirdir. Bu konuda Web geliştiricilere büyük bir görev düşüyor. Çünkü, SQL INJECTION veritabanından bağımsızdır ve herhangi bir veritabanı-uygulama bağlantısına sahip sistemde bulunabilir.
Siber saldırıların artmasının ve Web uygulamalarındaki güvenlik zaafiyetlerinin birer tehdit unsuru olarak karşımıza çıkmasının en büyük sebebi işlerimizi daha fazla online ortamdan yürütüyor olmamızdan kaynaklanmaktadır. Yani sistemler internet üzerinden hizmet verdikçe siber saldırıya açık bir hedef haline gelmekteyiz.
Yukarda sıralamış olduğum Güvenlik acıkları hakkında Diğer Mekalelerde detaylı bilgi verilecektir..!
Cross site request forgery (csrf) nedir?: https://www.turkhackteam.org/web-ser...srf-nedir.html Cross site request forgery Hakkında detaylı bilgiyi bu linkden bula bilrsiniz..
Bu Konuyu hazırlamak bir kac saatimi aldı lutfen 1 teşekürü esirgemeyin
Web Uygulamalarındaki Güvenlik Zafiyetleri
Site Güvenliği & Saldırılar0 Mesaj
●144 Görüntüleme
- ReadBull.net
- Domain & Sunucu & Web Hosting
- Site & Server Administration
- Site Güvenliği & Saldırılar
- Web Uygulamalarındaki Güvenlik Zafiyetleri