elektrik port üyelik servisleri elektrik port üyelik servisleri

Web Sitelerinde Karşılaşılan 5 Güvenlik Sorunu

Web güvenliği işletmeler için büyük bir sorundur. Web siteniz farklı kaynaklardan gelebilecek yüzlerce saldırı tehditi ile her gün karşı karşıya kalmaktadır ve her an web sitenizin ihlal edilmesi ve verileriniz tehlikeye girmesi olasıdır. Yazımızda bahsedeceğimiz 5 web sitesi güvenlik sorunu sitenizin karşılaşabileceği en tehlikeli tehditlerden bazılarıdır.



A- A+
28.01.2015 tarihli yazı 2434 kez okunmuştur.

1) SQL Injection

Şirketler ziyaretçilerin web sitelerine göz atması, giriş yapması ve ürünleri satın alması konusunda saklanan bilgiler için büyük veritabanlarına güvenir. Bu veritabanları genellikle kullanıcı kimlikleri, oturum açma bilgileri, ödeme bilgileri ve diğer hassas bilgilerin tamamını içerirler. Bu verilere erişmek ve kullanmak için web siteniz özel bir programlama dili kullanır: Structured Query Language (SQL)

Önemli bir programlama dili olmasına rağmen SQL yaygın olarak kötü amaçlı üçüncü şahıslar tarafından istismar edilmektedir. SQL komutları bazen zayıf güvenlikli formlar aracılığıyla kendi sitenize enjekte olabilir. Bu komutlar müşteri verilerinin büyük bir kısmını silmek için, ödeme bilgilerini çalmak için veya kendi sitenize spam bağlantılardan binlerce eklemek için kullanılır.

Eğer sorunun farkında olunursa SQL injection a yenik düşmeyi önlemek nispeten kolaydır. Kullanıcıya sunulan mesajlarda bazı karakterler kullanılarak (örneğin / \ ‘ veya “) SQL komutlarını yürütme önlenebilir(Sterilize olarak bilinen yöntem). Parolalar ve ödeme bilgileri gibi önemli verilerin bu alanda kullanımı engellenebilir ve şifreli olabilir.


 

 

2)Cross-site Scripting

Cross-site scripting (bilinen adıyla XSS) en yaygın yorumuyla bir hacker ın bir web sayfasına zararlı komut dosyası gömmesi için izin veren bir tekniktir. Bu script daha sonra sayfayı görüntüleyen ve kendi tarayıcısına kötü bir eylemi gerçekleştirmesi için yol açan meşru kullanıcıların web tarayıcısı tarafından yürütülür.

XSS SQL injection gibi kullanıcı tarafından gönderilen bilgileri sterilize etmek için en iyi yoldur.Bu en kolay şekilde <SCRIPT> etikelerini kaldırmak için bir filtre kurarak, JavaScript komutları ve potansiyel olarak tehlikeli bir HTML işaretleme kullanılarak yapılır. SQL injection ve cross-site scripting saldırı için en sık kullanılan yöntemlerdir ve bu güvenlik açıkları yok edilerek web sitesi güvenliği büyük çapta artırılabilir.  


 

3)Cross-site Request Forgery

Cross-site request forgery (bilinen adıyla XSRF) sizin web sitenize oturum açmış bir kullanıcının gerçekleştireceği kötü niyetli bir eylemi tetiklemek için kullanılır.

Bu saldırının 2 aşaması vardır. Birinci yöntem hedef siteye giriş yapan kullanıcıların kötü amaçlı bir siteye çekilmesi ve hedef web sitesi üzerinde kötü niyetli bir eylemi gerçekleştirmek için kullanıcının tarayıcısı aracılığıyla web sitesi üzerinde kodlamalar yapılmasıdır. Diğer yöntem ise kendi yetkilerini kullanarak giriş yapmış bir kullanıcı gibi hassas verileri toplamak veya spam yorumlar göndermektir.


Bu sorun kullanıcıların dijital zaman bilgisi yayımlanarak çözülebilir. Oturum açmış bir kullanıcı web sitenizde bir eylemi gerçekleştirmek için çalıştığında, giriş zaman bilgisi onaylanmalıdır ve istek kaynağı belirlenmelidir.
 
 
►İlginizi Çekebilir:Penetrasyon Testi Nedir?

 

4)Cookie Tampering

Cookies (çerezler) modern web sitesi geliştirmede önemli bir rol oynamaktadır. Çerezler kullanıcıların web sitesinde oturum için , siteye göz atarken oturum açmış olarak kalmaya ve kişiselleştirilmiş teklifler ve promosyonlar ile meşgul olunması için izin verirler. Bir kullanıcının alışveriş sepetindeki öğeleri izleme ve ürün fiyatlarını hesaplanması işlemlerinde ve e-ticaret sitelerinde önemli bir rol oynamaktadırlar.

Çerezler bir geliştiricinin önemli bir aracı iken web siteniz için ciddi bir risk teşkil ederler. Kötü niyetli üçüncü şahıslar tarafından çerezler üzerinde oynamalar yapılabilir. Eğer web sitenizin gönderilen çerezleri kontrol ve doğrulama işlemleri yoksa sitenizde ciddi hasarlar meydana gelebilir.

E-ticaret sistemleri çerezlerle oynanması sonucunda hasar görebilir, üçüncü şahıslar tarafından öğelerin fiyatları düzenlenebilir, başka bir kullanıcı olarak giriş yapılabilir. Sonuç olarak, bir web sitesinin çerezlerin meşruluğunu kontrol etmesi oldukça önemlidir. Aynı zamanda kullanıcı kimlikleri ve şifreleri gibi hassas bilgileri çerez formatında depolamayı önlemek te harika bir fikir!


 

 

5)Email Form Header Injection

İletişim formları popüler web geliştirme araçlarındandır. İletişim formları e-posta içine kullanıcı girilmiş mesajları dönüştürmek için kullanılır. Fakat forma girilen kod kötü amaçlı ise büyük çapta spam mailler göndermek için forma sızmakla mümkün olur.

İletişim formunuz spam mesaj göndermek için sizi external email hesaplarına yönlendirebilir. Kara listede olan spam etkinlikleri ve e-posta adresleri web sitenizin hızlı açılmasına yol açabilir.

Bunun karşısında koruma için iletişim formları tüm kullanıcılara ait giriş ekranlarına gereksinim duyar. Kötü niyetli kod tespit edildiğinde bunun kaldırılması gerekir.



Kaynak:

►Security Innovation Europe

ANKET
Endüstri 4.0 için En Hazır Sektör Hangisidir

Sonuçlar