Haberler

OWASP nedir? OWAS İlk 10 Güvenlik Açıkları nelerdir?

Aşağıdaki makale size yardımcı olacaktır: OWASP nedir? OWAS İlk 10 Güvenlik Açıkları nelerdir?

Bu blogda neler olduğuna bir göz atalım:

OWASP nedir?

OWASP, web’in güvencesi için tasarlanmış bir dernektir. OWASP yazılım güvenliğini, bütünlüğünü, önceliklendirmeyi destekler ve uygulamalardaki riskleri en aza indirir. Çeşitli uygulama güvenlik firmaları ve endüstri uzmanları, web uygulamalarını tehdit eden en önemli ve en kritik güvenlik risklerini tanımak için girdi sağlar.

OWASP, yazılım güvenliğini araçlar ve kaynaklar aracılığıyla iyileştiren geliştiriciler, teknoloji uzmanları ve misyonerlerden oluşan bir topluluktur. OWASP, haftalık olarak sunulan 100’den fazla aktif projeye ve uygulamaya sahiptir.

Projeler açık kaynaklıdır ve bir gönüllüler topluluğu tarafından inşa edilmiştir.

OWASP, tasarım sorunlarından ziyade öncelikle arka uca odaklanır. OWASP, güvenlik değerlendirmeleri yapan ve yazılımlardaki kritik güvenlik kusurları hakkında bilgi veren, kar amacı gütmeyen bir güvenlik kuruluşudur.

OWASP Araçları

OWASP ZAP’ı Open Web Application Security Project’in kısaltmasıdır. Zed Attack Proxy (ZAP), web tabanlı uygulamalardaki kusurları tespit etmek için basit bir entegre güvenlik açığı tarama aracıdır.

OWASP İlk 10 nedir?

OWASP ilk 10, en önemli 10 konuya odaklanarak web uygulaması güvenlik endişelerini özetleyen, sürekli güncellenen bir belgedir. OWASP’ın çatısı altında bir çok farklı proje bulunmaktadır ve bunlardan biri İlk 10 Projedir. En İyi 10 Proje’nin amacı, kuruluşların karşılaştığı en kritik risklerden bazılarını belirleyerek uygulama güvenliği konusunda farkındalık yaratmaktır. OWASP İlk 10 güvenlik açığı, en ciddi web güvenlik eksiklikleri hakkındaki yaygın mutabakatı yansıtıyor.

202’deki İlk 10 OWASP Güvenlik Açığı3

OWASP ilk 10 güvenlik açığı önem sırasına göre aşağıda listelenmiştir:

1 – Enjeksiyon

OWASP’a göre SQL, OS ve LDAP enjeksiyon kusurları, güvenilmeyen veriler bir komut veya sorgunun parçası olarak bir yorumlayıcıya gönderildiğinde ortaya çıkar. Saldırganın düşmanca verileri, yorumlayıcıyı istenmeyen komutları yürütmesi veya uygun yetkilendirme olmadan verilere erişmesi için kandırabilir.

Enjeksiyon saldırıları, erişim kontrolünün temel güvenlik kavramını karıştırır. Bu nedenle, erişim kontrolü, her rolün veya kullanıcının belirli sistem işlevlerine ve verilerine kesin erişimi olması gerektiğini belirtir. Enjeksiyon, bir teknolojiye veya programlama diline özgü değildir.

Kötü niyetli bir kullanıcı, güvenlik açığı bulunan sistem tarafından istenmeyen sonuçlar elde etmek için yük adı verilen bir girdi enjekte etme umuduyla arama özelliğini kurcalayabilir. Başarılı olursa, kötü niyetli kullanıcı, hassas bilgileri geri alması için uygulamayı kandırabilir.

Enjeksiyon Güvenlik Açıkları:

  • SQL enjeksiyonu
  • işletim sistemi komut enjeksiyonu
  • Hafif dizin erişim protokolü (LDAP) enjeksiyonu

Enjeksiyon Saldırılarını Önleme:

  • Aracı kullanımını gerektirmeyen güvenli bir arayüz kullanın
  • Beyaz listedeki sunucu tarafı kullanıcı kimlik doğrulamasını kullanın
  • Özel karakterlere dikkatle yaklaşılmalıdır.
  • SQL enjeksiyonu vesilesiyle belgelerin ek sorumluluk reddini önlemek için LIMIT komutunu kullanın

Siber Güvenlik uzmanlarımızın her ayrıntıyı ele aldığı bu videoya bir göz atın. SQL enjeksiyon saldırıları.

2 – Bozuk Kimlik Doğrulaması

Kimlik doğrulama, bir kullanıcının kim olduğunun gerçekliğini verdiği bir süreçtir. Bir saldırgan, birini taklit edebilir ve bu kişinin verilerine veya işlevlerine erişebilir. Kimlik doğrulama ve oturum, bir saldırganın başka birini denemesi ve canlandırması için kolay bir yol sağlayan tanımlama bilgilerini içerir.

Tavsiye Edilen:  Ai SEO: İçerik Oluşturmayı ve Optimizasyonu Güçlendirmek İçin Eksiksiz Bir Kılavuz

OWASP ilk 10 listesine göre, kimlik doğrulama ve oturum yönetimi ile bağlantılı uygulama işlevleri sıklıkla yanlış bir şekilde uygulanarak davetsiz misafirlerin parolaları, anahtarları veya oturum belirteçlerini tehlikeye atmasına veya diğer uygulama kusurlarını diğer kullanıcıların kimliklerini geçici veya kalıcı olarak üstlenmek için kullanmasına izin verir.

Bozuk Kimlik Doğrulaması:

  • Kullanıcı adı ve parola gibi güvenliği ihlal edilmiş kimlik bilgileri

Bozuk Kimlik Doğrulama Güvenlik Açıkları:

  • Güvenli olmayan giriş formları
  • Çıkış yönetimi
  • Yönetim portalları
  • URL’deki oturum kimliği

Kırık kimlik doğrulama saldırısını önleme:

  • Yoğun bir şekilde kullanılmış ve test edilmiş modern bir çerçeve kullanın
  • Çerezlerde yalnızca HTTP ve güvenlik işaretleri sağlayın
  • Emin değilseniz, bağımsız kalem testi ve kod incelemesinin bir kombinasyonunu kullanın
  • Parola karma algoritmanıza dikkat edin ve güncellenebilir hale getirin

3 – Hassas Verilerin Açıklanması

Birçok web uygulaması ve APIS finans, sağlık ve PII gibi psişik verileri korumayın. Saldırganlar, kredi kartı dolandırıcılığı, kimlik hırsızlığı veya diğer suçları işlemek için beceriksizce savunulan bu tür verileri çalabilir veya değiştirebilir. Hassas veriler, bekleyen veya aktarılan şifreleme gibi ekstra koruma olmadan müzakere edilebilir ve tarayıcıyla değiş tokuş edildiğinde özel önlemler gerektirir.

Hassas Verilerin Açıklanması Güvenlik Açıkları:

  • Kimlik bilgisi doldurma
  • Parola tabanlı saldırılar

Hassas Verilerin Açıklanmasını Önleme:

  • PCI, GDPR ve daha birçok güvenlik standardı bu tür saldırılar için rehberlik sağlar
  • Patlama yarıçapının kapsamını azaltın
  • En iyi güvenlik uygulamalarını sağlayın

4 – XML Harici Varlıklar

OWASP ilk 10 listesine göre, XML size turn ve foo gibi yeni varlıklar tanımlama yeteneği verir. Normalde bunlar, XML bildirimlerinde satır içi olan basit metin değiştirmeleridir, ancak harici dosyalara atıfta bulunurlar.

XXE saldırıları, çok çeşitli saldırı senaryolarına izin vermek için rasgele dosyaları ve URI’leri okuma yeteneğinden yararlanır.

XXE Saldırılarını Önleme:

  • Azaltma[13][14] XXE saldırıları genellikle basittir ve XML ayrıştırıcınıza ek bayrakların iletilmesini gerektirir. Genel konuşma, bunlar[15][16] saldırılar, satır içi DTD’lere izin vermemek ve varlıkları tamamen kaldırmak için işaretler olacaktır.

5 – Kırık Erişim Kontrolü

Bir bilgisayar korsanı sistemlere erişimden yararlandığında, bu ihlal erişim kontrolü olarak bilinir. Saldırgan, bilgisayara kullanıcı veya yönetici olarak erişebilir.

OWASP ilk 10 listesine göre, kimliği doğrulanmış kullanıcıların yapmasına izin verilen kısıtlamalar genellikle uygulanmaz. Saldırganlar, diğer kullanıcıların hesaplarına erişim, hassas dosyaları görüntüleme, başka bir kullanıcının verilerini değiştirme, erişim haklarını değiştirme gibi verilerin yetkisiz işlevlerine erişmek için bu açıklardan yararlanabilir.

Kırık Erişim Kontrolü Saldırılarını Önleme:

  • Erişim kontrolünü uygulayın; bu, kullanıcı tarafından artan karmaşıklığa yol açacaktır
  • Birden fazla erişim profilini yönetin ve en az ayrıcalıklı politikayı izleyin
  • Günlüğe kaydetme ve izlemeden yararlanın
  • Başlatılan uygulamanın sürekli olarak test edildiğinden emin olun

6 – Güvenlik Yanlış Yapılandırması

OWASP ilk 10 listesindeki en yaygın sorun güvenlik yanlış yapılandırmasıdır. Bunun nedeni, güvenli olmayan varsayılan kurulum, ad hoc yapılandırma, açık bulut depolama, yanlış HTTP başlıkları ve hassas bilgileri açığa çıkaran ayrıntılı hata mesajlarıdır.

Tavsiye Edilen:  10 kluczowych umiejętności twórcy treści witryny

Tüm işletim sistemleri, çerçeveler, kitaplıklar ve uygulamalar yalnızca güvenli bir şekilde kurulmamalı, aynı zamanda hemen yama yapılmalı veya yükseltilmelidir.

Yanlış Güvenlik Yapılandırmasına Örnekler:

  • S3 kovasını aç
  • Şifrelenmemiş veritabanı
  • Varsayılan yönetici kimlik bilgileri
  • Gereksiz bağlantı noktaları veya hizmetler
  • Ayrıntılı hata mesajları veya sunucu sürüm bilgileri

Güvenlik Yanlış Yapılandırma Saldırılarını Önleme:

  • Sertleştirilmiş sistem: Bulut oluşumu gibi otomatikleştirilmiş bir süreç kullanın
  • Yama ve güncelleme yazılımı: Yamalara öncelik verin ve etkilerini uygulayın. Satıcı güncellemesine abone olun

7 – Siteler Arası Komut Dosyası Çalıştırma (XSS)

OWASP ilk 10 listesine göre XSS, web uygulamasının istemci tarafında yürütülen bir kod enjeksiyon saldırısıdır. Bu OWASP saldırısında, saldırgan web tarayıcısı aracılığıyla kötü amaçlı komut dosyası enjekte eder. Kötü amaçlı komut dosyası, kurban web sayfasını veya web sunucusunu ziyaret ettiğinde yürütülür.

Çerezler, oturum belirteçleri ve diğer özel veriler gibi hassas bilgileri çalmak için siteler arası komut dosyası çalıştırma kullanılır.

Siteler arası betik çalıştırma saldırılarını önleme:

  • Kullanıcı girişinden kaçış
  • Tüm girdileri bir tehdit olarak kabul edin
  • Veri doğrulama
  • Verileri temizle

8 – Güvenli olmayan seri kaldırma

OWASP ilk 10 listesine göre, güvenli olmayan seri kaldırma sık sık uzaktan kod yürütülmesine neden olur. Seri kaldırma güvenlik açıkları uzaktan kod yürütülmesine izin vermese de yeniden oynatma saldırıları, enjeksiyon saldırıları ve ayrıcalık yükseltme saldırıları gibi saldırıları başlatmak için kullanılabilir.

Bir program bu yordamı yeterince güvenli hale getiremediğinde güvenli olmayan bir seri hale getirme güvenlik açığı oluşur. Bir seri durumdan çıkarma uygulamasının varsayılan parametreleri kullanılırsa, bir uygulamanın hangi verilerin seri durumdan çıkarılacağı üzerinde çok az kontrolü olabilir. En kötü senaryoda, gelen herhangi bir seri hale getirilmiş görsel veri, kimlik doğrulama veya koruma olmaksızın dahil edilebilir.

Güvenli Olmayan Seri Kaldırma Güvenlik Açığının Önlenmesi:

  • Nesneler serileştirilirken verilerin kurcalanmasını önleyin
  • Güvenli olmayan seri hale getirmeyi algılamak için günlük
  • Kod izolasyonu

9 – Bilinen Güvenlik Açıklarına Sahip Bileşenleri Kullanma

OWASP ilk 10 listesine göre, çevrimiçi hizmetlerin bilinen güvenlik açıklarına sahip bileşenler içermesi normaldir. Bilinen güvenlik açığı bileşeni, bileşenin kendisi, kullanılan CMS, web sunucusu, yüklenen bir eklenti ve hatta bu kitaplıklardan birinin kullandığı kitaplık olabilir.

Kitaplıklar, çerçeveler ve diğer yazılım modülleri neredeyse her zaman tam haklarla yürütülür. Zayıf bir bileşenden yararlanan bir saldırı, önemli ölçüde veri kaybına veya sunucunun ele geçirilmesine neden olabilir. Bilinen güvenlik açıklarına sahip bileşenleri kullanan uygulamalar, uygulama korumalarını atlayabilir ve çeşitli olası saldırıları ve sonuçları etkinleştirebilir.

Bilinen Güvenlik Açıklarına Sahip Bileşenlerin Kullanılmasını Engelleme:

  • Yamaların ele alınamaması durumunda, sürekli bir envanter tutun ve OWASP bağımlılık kontrolünü izleyin.
  • Serileştirme sorunları kullanılarak tespit edilebilir uygulama güvenlik araçları. Sorunların var olduğunu doğrulamak için sızma testi yapılabilir.
Tavsiye Edilen:  Microsoft AI Chatbot nedir? Kapsamlı Bir Kılavuz

10 – Yetersiz Kayıt ve İzleme

OWASP ilk 10 listesine göre, yetersiz günlük kaydı ve izleme, yalnızca bilgisayarın HTTP sunucusunu değil, temeldeki altyapıyı etkileyen bir sorundur. Sonuç olarak, analizimizi web uygulaması günlüğü tutma ve izleme ile sınırlamayacağız.

Diğer bir ana sorun, çok sayıda günlüktür; neredeyse tüm yeni cihazlar benzersiz kayıtlar üretir. Sonuç olarak, günlük işleme çok büyük bir sorun haline gelir. Bilgi toplama hacmi, başarılı bir şekilde izlemek ve yönetmek için çok fazla hale geliyor. Böylece, tüm bireysel günlükler birlikte toplanır ve birleştirilir.

Yetersiz Kayıt ve İzlemenin Önlenmesi

  • Test sürecinin ardından programcılar, olası kusurları ve güvenlik açıklarını tespit etmek için test kayıtlarını inceleyebilir. SAST sistemleri, günlüğe kaydedilmemiş güvenlik sorunlarının saptanmasına da yardımcı olabilir.

Web Uygulamalarının güvenliğini sağlama

Uygulama güvenliği iş güvenliğidir ve uygulamalarınızı saldırılara karşı korumak son derece karmaşık ve sonu gelmeyen bir iştir.

Çoğu çevrimiçi uygulamanın güvenliği içler acısı durumda. Her ikinci kaynak, OWASP ilk 10 listesinden yüksek riskli bir güvenlik açığı içerir. Ancak, önemli güvenlik açıklarına sahip çevrimiçi uygulamaların oranının giderek azaldığı açıktır. Aşağıdaki cesaret verici eğilim, şirketlerin, yalnızca halka açık olanların değil, dahili amaçlarla kullanılan uygulamalarının güvenliğine daha fazla dikkat etmeye başlamasıdır.

Tespit edilen güvenlik açıkları mümkün olan en kısa sürede yamalanırsa ve operasyonlar mümkün olduğunca kolaylaştırılırsa, modern web saldırılarının sayısı azalacaktır.

Çözüm

Kötü niyetli bir kullanıcı, güvenlik açığı bulunan sistem tarafından istenmeyen sonuçları gerçekleştirmek için yük adı verilen girdiyi enjekte etmek için arama özelliğini kurcalayabilir. Bilinen güvenlik açığı bileşeni, bileşenin kendisi, kullanılan CMS, web sunucusu, yüklenen bir eklenti ve hatta kitaplıklardan biri tarafından kullanılan kitaplık olabilir. OWASP ilk 10 güvenlik açığı listesi, kuruluşların web uygulamalarını en verimli şekilde güvence altına almalarına yardımcı olacaktır. OWASP listesi, güvenlik açıkları hakkında kısa bir fikir ve satır içi anlayış sağlar.

Post Views: 11