Web Sitelerinde Karşılaşılan 5 Güvenlik Sorunu
Web güvenliği işletmeler için büyük bir sorundur. Web siteniz farklı kaynaklardan gelebilecek yüzlerce saldırı tehditi ile her gün karşı karşıya kalmaktadır ve her an web sitenizin ihlal edilmesi ve verileriniz tehlikeye girmesi olasıdır. Yazımızda bahsedeceğimiz 5 web sitesi güvenlik sorunu sitenizin karşılaşabileceği en tehlikeli tehditlerden bazılarıdır.
28.01.2015 tarihli yazı 8683 kez okunmuştur.
1) SQL Injection
Şirketler ziyaretçilerin web sitelerine göz atması, giriş yapması ve ürünleri satın alması konusunda saklanan bilgiler için büyük veritabanlarına güvenir. Bu veritabanları genellikle kullanıcı kimlikleri, oturum açma bilgileri, ödeme bilgileri ve diğer hassas bilgilerin tamamını içerirler. Bu verilere erişmek ve kullanmak için web siteniz özel bir programlama dili kullanır: Structured Query Language (SQL)
Önemli bir programlama dili olmasına rağmen SQL yaygın olarak kötü amaçlı üçüncü şahıslar tarafından istismar edilmektedir. SQL komutları bazen zayıf güvenlikli formlar aracılığıyla kendi sitenize enjekte olabilir. Bu komutlar müşteri verilerinin büyük bir kısmını silmek için, ödeme bilgilerini çalmak için veya kendi sitenize spam bağlantılardan binlerce eklemek için kullanılır.
Eğer sorunun farkında olunursa SQL injection a yenik düşmeyi önlemek nispeten kolaydır. Kullanıcıya sunulan mesajlarda bazı karakterler kullanılarak (örneğin / \ ‘ veya “) SQL komutlarını yürütme önlenebilir(Sterilize olarak bilinen yöntem). Parolalar ve ödeme bilgileri gibi önemli verilerin bu alanda kullanımı engellenebilir ve şifreli olabilir.
Önemli bir programlama dili olmasına rağmen SQL yaygın olarak kötü amaçlı üçüncü şahıslar tarafından istismar edilmektedir. SQL komutları bazen zayıf güvenlikli formlar aracılığıyla kendi sitenize enjekte olabilir. Bu komutlar müşteri verilerinin büyük bir kısmını silmek için, ödeme bilgilerini çalmak için veya kendi sitenize spam bağlantılardan binlerce eklemek için kullanılır.
Eğer sorunun farkında olunursa SQL injection a yenik düşmeyi önlemek nispeten kolaydır. Kullanıcıya sunulan mesajlarda bazı karakterler kullanılarak (örneğin / \ ‘ veya “) SQL komutlarını yürütme önlenebilir(Sterilize olarak bilinen yöntem). Parolalar ve ödeme bilgileri gibi önemli verilerin bu alanda kullanımı engellenebilir ve şifreli olabilir.
►İlginizi Çekebilir: Veritabanı İşlemleri | Android Programlama - 5
2)Cross-site Scripting
Cross-site scripting (bilinen adıyla XSS) en yaygın yorumuyla bir hacker ın bir web sayfasına zararlı komut dosyası gömmesi için izin veren bir tekniktir. Bu script daha sonra sayfayı görüntüleyen ve kendi tarayıcısına kötü bir eylemi gerçekleştirmesi için yol açan meşru kullanıcıların web tarayıcısı tarafından yürütülür.
XSS SQL injection gibi kullanıcı tarafından gönderilen bilgileri sterilize etmek için en iyi yoldur.Bu en kolay şekilde <SCRIPT> etikelerini kaldırmak için bir filtre kurarak, JavaScript komutları ve potansiyel olarak tehlikeli bir HTML işaretleme kullanılarak yapılır. SQL injection ve cross-site scripting saldırı için en sık kullanılan yöntemlerdir ve bu güvenlik açıkları yok edilerek web sitesi güvenliği büyük çapta artırılabilir.
XSS SQL injection gibi kullanıcı tarafından gönderilen bilgileri sterilize etmek için en iyi yoldur.Bu en kolay şekilde <SCRIPT> etikelerini kaldırmak için bir filtre kurarak, JavaScript komutları ve potansiyel olarak tehlikeli bir HTML işaretleme kullanılarak yapılır. SQL injection ve cross-site scripting saldırı için en sık kullanılan yöntemlerdir ve bu güvenlik açıkları yok edilerek web sitesi güvenliği büyük çapta artırılabilir.
3)Cross-site Request Forgery
Cross-site request forgery (bilinen adıyla XSRF) sizin web sitenize oturum açmış bir kullanıcının gerçekleştireceği kötü niyetli bir eylemi tetiklemek için kullanılır.
Bu saldırının 2 aşaması vardır. Birinci yöntem hedef siteye giriş yapan kullanıcıların kötü amaçlı bir siteye çekilmesi ve hedef web sitesi üzerinde kötü niyetli bir eylemi gerçekleştirmek için kullanıcının tarayıcısı aracılığıyla web sitesi üzerinde kodlamalar yapılmasıdır. Diğer yöntem ise kendi yetkilerini kullanarak giriş yapmış bir kullanıcı gibi hassas verileri toplamak veya spam yorumlar göndermektir.
Bu sorun kullanıcıların dijital zaman bilgisi yayımlanarak çözülebilir. Oturum açmış bir kullanıcı web sitenizde bir eylemi gerçekleştirmek için çalıştığında, giriş zaman bilgisi onaylanmalıdır ve istek kaynağı belirlenmelidir.
Bu saldırının 2 aşaması vardır. Birinci yöntem hedef siteye giriş yapan kullanıcıların kötü amaçlı bir siteye çekilmesi ve hedef web sitesi üzerinde kötü niyetli bir eylemi gerçekleştirmek için kullanıcının tarayıcısı aracılığıyla web sitesi üzerinde kodlamalar yapılmasıdır. Diğer yöntem ise kendi yetkilerini kullanarak giriş yapmış bir kullanıcı gibi hassas verileri toplamak veya spam yorumlar göndermektir.
Bu sorun kullanıcıların dijital zaman bilgisi yayımlanarak çözülebilir. Oturum açmış bir kullanıcı web sitenizde bir eylemi gerçekleştirmek için çalıştığında, giriş zaman bilgisi onaylanmalıdır ve istek kaynağı belirlenmelidir.
4)Cookie Tampering
Cookies (çerezler) modern web sitesi geliştirmede önemli bir rol oynamaktadır. Çerezler kullanıcıların web sitesinde oturum için , siteye göz atarken oturum açmış olarak kalmaya ve kişiselleştirilmiş teklifler ve promosyonlar ile meşgul olunması için izin verirler. Bir kullanıcının alışveriş sepetindeki öğeleri izleme ve ürün fiyatlarını hesaplanması işlemlerinde ve e-ticaret sitelerinde önemli bir rol oynamaktadırlar.
Çerezler bir geliştiricinin önemli bir aracı iken web siteniz için ciddi bir risk teşkil ederler. Kötü niyetli üçüncü şahıslar tarafından çerezler üzerinde oynamalar yapılabilir. Eğer web sitenizin gönderilen çerezleri kontrol ve doğrulama işlemleri yoksa sitenizde ciddi hasarlar meydana gelebilir.
E-ticaret sistemleri çerezlerle oynanması sonucunda hasar görebilir, üçüncü şahıslar tarafından öğelerin fiyatları düzenlenebilir, başka bir kullanıcı olarak giriş yapılabilir. Sonuç olarak, bir web sitesinin çerezlerin meşruluğunu kontrol etmesi oldukça önemlidir. Aynı zamanda kullanıcı kimlikleri ve şifreleri gibi hassas bilgileri çerez formatında depolamayı önlemek te harika bir fikir!
Çerezler bir geliştiricinin önemli bir aracı iken web siteniz için ciddi bir risk teşkil ederler. Kötü niyetli üçüncü şahıslar tarafından çerezler üzerinde oynamalar yapılabilir. Eğer web sitenizin gönderilen çerezleri kontrol ve doğrulama işlemleri yoksa sitenizde ciddi hasarlar meydana gelebilir.
E-ticaret sistemleri çerezlerle oynanması sonucunda hasar görebilir, üçüncü şahıslar tarafından öğelerin fiyatları düzenlenebilir, başka bir kullanıcı olarak giriş yapılabilir. Sonuç olarak, bir web sitesinin çerezlerin meşruluğunu kontrol etmesi oldukça önemlidir. Aynı zamanda kullanıcı kimlikleri ve şifreleri gibi hassas bilgileri çerez formatında depolamayı önlemek te harika bir fikir!
►İlginizi Çekebilir: Android Telefonunuz İçin En İyi 15 Uygulama
5)Email Form Header Injection
İletişim formları popüler web geliştirme araçlarındandır. İletişim formları e-posta içine kullanıcı girilmiş mesajları dönüştürmek için kullanılır. Fakat forma girilen kod kötü amaçlı ise büyük çapta spam mailler göndermek için forma sızmakla mümkün olur.
İletişim formunuz spam mesaj göndermek için sizi external email hesaplarına yönlendirebilir. Kara listede olan spam etkinlikleri ve e-posta adresleri web sitenizin hızlı açılmasına yol açabilir.
Bunun karşısında koruma için iletişim formları tüm kullanıcılara ait giriş ekranlarına gereksinim duyar. Kötü niyetli kod tespit edildiğinde bunun kaldırılması gerekir.
Kaynak:
►Security Innovation Europe
İletişim formunuz spam mesaj göndermek için sizi external email hesaplarına yönlendirebilir. Kara listede olan spam etkinlikleri ve e-posta adresleri web sitenizin hızlı açılmasına yol açabilir.
Bunun karşısında koruma için iletişim formları tüm kullanıcılara ait giriş ekranlarına gereksinim duyar. Kötü niyetli kod tespit edildiğinde bunun kaldırılması gerekir.
Kaynak:
►Security Innovation Europe
YORUMLAR
Ayşe Müberra Arslan
Kontaktörler, Uygulama Alanları ve Seçim Kriterler...
Enerjinin DC İletimi
Rüzgar Türbinleri Neden 3 Kanatlıdır?
Konveyör Uygulamalarında Hassas Kontrol
GSM ve Baz İstasyonu Kulelerinin Yıldırım ve Aşırı...
Aktif etkinlik bulunmamaktadır.
-
Dünyanın En Görkemli 10 Güneş Tarlası
-
Dünyanın En Büyük 10 Makinesi
-
2020’nin En İyi 10 Kişisel Robotu
-
Programlamaya Erken Yaşta Başlayan 7 Ünlü Bilgisayar Programcısı
-
Üretimin Geleceğinde Etkili Olacak 10 Beceri
-
Olağan Üstü Tasarıma Sahip 5 Köprü
-
Dünyanın En İyi Bilim ve Teknoloji Müzeleri
-
En İyi 5 Tıbbi Robot
-
Dünyanın En Zengin 10 Mühendisi
-
Üretim için 6 Fabrikasyon İşlemi
-
Sigma Termik Manyetik Şalterler ile Elektrik Devrelerinde Koruma
-
Elektrik Panoları ve Üretim Teknikleri
-
Teknik Servis | Megger Türkiye
-
Güneş Enerji Santrallerinde Yıldırımdan Korunma ve Topraklama
-
Megger Türkiye Ofisi
-
STX40 Taşınabilir Kablo Arıza Tespit Sistemi | Megger
-
Megger digiPHONE + 2 Kablo Tespit Sistemi Nasıl Kullanılır
-
Kontaktör ve Termik Röle Seçimi & Uygulamaları
-
Yıldırımdan Korunma Sistemleri | Amper Elektrik
-
Toprak Kaçak Akım Rölesi ve Toroid Akım Trafoları
ANKET
Güneş Enerjisi Elektrik Üretim Sisteminin Tasarlan...
Mühendisler Ne İş Yapar ve Ne Kadar Kazanırlar?
Alternatif Akımın Temel Tanımları
IT Nedir? | IT Uzmanı Nedir?
BIOS Nedir? BIOS Ayarları Nasıl Yapılır?
İyi Bir Android Geliştiricisi Nasıl Olunur?
ASP.NET | Website Tasarımı
ASP.NET: Localhost Kurulumu IIS Aktifleştirme Vid...
Android Kullanıcıları İçin Güvenlik Tehdidi
Kriptoloji Nedir? | 1. Bölüm
