elektrik port üyelik servisleri elektrik port üyelik servisleri

Web Uygulamalarındaki Güvenlik Zafiyetleri

Siber Korsanlar Web uygulamalarındaki güvenlik açıklarından yararlanarak sistemlere sızma,kullanıcı hesap bilgilerini ele geçirme,sistemleri ele geçirme gibi faaliyetlerde bulunmaktadırlar. 2013 yılı için açıklanan Web uygulamalarındaki kritik güvenlik açıklarını yazımızda bulabilirsiniz.



A- A+
28.07.2013 tarihli yazı 5763 kez okunmuştur.
Web uygulamalarındaki güvenlik açıkları(zafiyet) bilgi güvenliği açısından bir tehdit oluşturmaktadır. Siber korsanlar bu açıklardan yararlanarak; sistemlere sızma,kullanıcı hesap bilgilerini ele geçirme,sistemlere erişimi engelleme gibi faaliyetlerde bulunmaktadır. Bu yazımızda, 2013 yılı için açıklanan Web uygulamalarındaki kritik güvenlik açıkları üzerinde duracağız.



Günümüzde siber tehditler çok ciddi bir evrim geçirmiş ve basit sızma girişimlerinin yerini İleri Seviye Tehditler(Advanced Persistent Threats) almıştır. Onun için Web uygulamalarındaki kritik güvenlik açıklarını gidermek ve güvensiz yazılımların oluşturduğu problemlere karşı mücadele etmek için Dünya çapında birçok topluluk oluşturulmuştur. Bu topluluklardan birisi olan OWASP(Open Web Application Security Project) topluluğu,  Web Uygulamalarındaki kritik 10 güvenlik açığını duyurmuştur.Bu güvenlik açıklarını şu şekilde sıralayacak olursak :


1. Injection(SQL Sorgusu Ekleme /Değiştirme)

2. Broken Authentication and Session Management(Kırık Kimlik Doğrulama ve Oturum Yönetimi)
 
3. Cross-Site Scripting (XSS) (Siteler Arası Komut Dosyası )

4. Insecure Direct Object References(Güvensiz Doğrudan Nesne Referans)

5. Security Misconfiguration(Güvenlik Yanlış Yapılandırma)

6. Sensitive Data Exposure(Hassas Veri Pozlama)

7. Missing Function Level Access Control(İşlev Seviyesi Erişim Kontrolü Eksikliği)

8. Cross-Site Request Forgery)( Siteler Ötesi İstek Sahteciliği )
 
9. 
Using Known Vulnerable Components(Bilinen Güvenlik Açıkları ile Bileşenlerini Kullanma)

10. Unvalidated Redirects and Forwards(Geçersiz İleri Yönlendirmeler)

 

Her zaman olduğu gibi en önemli zafiyetler arasında bulunan SQL INJECTION zaafiyetinin istismar edilmesi yer alıyor. SQL INJECTION zaafiyeti 1999 yılında farkedilmiş olup, halen sistemlere sızma, verileri ele geçirme amacıyla kullanılmaktadır. Aradan 14-15 yıl geçmesine rağmen, Web uygulamalarındaki en önemli istismar ögesi olarak kullanılmaya devam edilmektedirdir. Bu konuda Web geliştiricilere büyük bir görev düşüyor. Çünkü, SQL INJECTION veritabanından bağımsızdır ve herhangi bir veritabanı-uygulama bağlantısına sahip sistemde bulunabilir.



Siber saldırıların artmasının ve Web uygulamalarındaki güvenlik zaafiyetlerinin birer tehdit unsuru olarak karşımıza çıkmasının en büyük sebebi işlerimizi daha fazla online ortamdan yürütüyor olmamızdan kaynaklanmaktadır. Yani sistemler internet üzerinden hizmet verdikçe siber saldırıya açık bir hedef haline gelmekteyiz.




 
Kaynak:

► www.webguvenliği.org
Ahmet Han Ahmet Han Yazar Hakkında Tüm yazıları Mesaj gönder Yazdır



ANKET
Endüstri 4.0 için En Hazır Sektör Hangisidir

Sonuçlar