Web Uygulamalarındaki Güvenlik Zafiyetleri
Siber Korsanlar Web uygulamalarındaki güvenlik açıklarından yararlanarak sistemlere sızma,kullanıcı hesap bilgilerini ele geçirme,sistemleri ele geçirme gibi faaliyetlerde bulunmaktadırlar. 2013 yılı için açıklanan Web uygulamalarındaki kritik güvenlik açıklarını yazımızda bulabilirsiniz.
28.07.2013 tarihli yazı 19621 kez okunmuştur.
Web uygulamalarındaki güvenlik açıkları(zafiyet) bilgi güvenliği açısından bir tehdit oluşturmaktadır. Siber korsanlar bu açıklardan yararlanarak; sistemlere sızma,kullanıcı hesap bilgilerini ele geçirme,sistemlere erişimi engelleme gibi faaliyetlerde bulunmaktadır. Bu yazımızda, 2013 yılı için açıklanan Web uygulamalarındaki kritik güvenlik açıkları üzerinde duracağız.
Günümüzde siber tehditler çok ciddi bir evrim geçirmiş ve basit sızma girişimlerinin yerini İleri Seviye Tehditler(Advanced Persistent Threats) almıştır. Onun için Web uygulamalarındaki kritik güvenlik açıklarını gidermek ve güvensiz yazılımların oluşturduğu problemlere karşı mücadele etmek için Dünya çapında birçok topluluk oluşturulmuştur. Bu topluluklardan birisi olan OWASP(Open Web Application Security Project) topluluğu, Web Uygulamalarındaki kritik 10 güvenlik açığını duyurmuştur.Bu güvenlik açıklarını şu şekilde sıralayacak olursak :
1. Injection(SQL Sorgusu Ekleme /Değiştirme)
2. Broken Authentication and Session Management(Kırık Kimlik Doğrulama ve Oturum Yönetimi)
3. Cross-Site Scripting (XSS) (Siteler Arası Komut Dosyası )
4. Insecure Direct Object References(Güvensiz Doğrudan Nesne Referans)
5. Security Misconfiguration(Güvenlik Yanlış Yapılandırma)
6. Sensitive Data Exposure(Hassas Veri Pozlama)
7. Missing Function Level Access Control(İşlev Seviyesi Erişim Kontrolü Eksikliği)
8. Cross-Site Request Forgery)( Siteler Ötesi İstek Sahteciliği )
9. Using Known Vulnerable Components(Bilinen Güvenlik Açıkları ile Bileşenlerini Kullanma)
10. Unvalidated Redirects and Forwards(Geçersiz İleri Yönlendirmeler)
Her zaman olduğu gibi en önemli zafiyetler arasında bulunan SQL INJECTION zaafiyetinin istismar edilmesi yer alıyor. SQL INJECTION zaafiyeti 1999 yılında farkedilmiş olup, halen sistemlere sızma, verileri ele geçirme amacıyla kullanılmaktadır. Aradan 14-15 yıl geçmesine rağmen, Web uygulamalarındaki en önemli istismar ögesi olarak kullanılmaya devam edilmektedirdir. Bu konuda Web geliştiricilere büyük bir görev düşüyor. Çünkü, SQL INJECTION veritabanından bağımsızdır ve herhangi bir veritabanı-uygulama bağlantısına sahip sistemde bulunabilir.
Siber saldırıların artmasının ve Web uygulamalarındaki güvenlik zaafiyetlerinin birer tehdit unsuru olarak karşımıza çıkmasının en büyük sebebi işlerimizi daha fazla online ortamdan yürütüyor olmamızdan kaynaklanmaktadır. Yani sistemler internet üzerinden hizmet verdikçe siber saldırıya açık bir hedef haline gelmekteyiz.
YORUMLAR
ANKET
- Dünyanın En Görkemli 10 Güneş Tarlası
- Dünyanın En Büyük 10 Makinesi
- 2020’nin En İyi 10 Kişisel Robotu
- Programlamaya Erken Yaşta Başlayan 7 Ünlü Bilgisayar Programcısı
- Üretimin Geleceğinde Etkili Olacak 10 Beceri
- Olağan Üstü Tasarıma Sahip 5 Köprü
- Dünyanın En İyi Bilim ve Teknoloji Müzeleri
- En İyi 5 Tıbbi Robot
- Dünyanın En Zengin 10 Mühendisi
- Üretim için 6 Fabrikasyon İşlemi
- Nasıl Dönüşür I Elektrik 4.0
- Nasıl Dönüşür I Fosil Yakıt
- Nasıl Dönüşür I Kompost
- Sigma DIN Rayı Çözümleri: Ürün Portföyü, Teknik Özellikler ve Kullanım Alanları
- Denizcilik Endüstri Uygulamaları ve Servis Bakım Süreçleri
- DrivePro Yaşam Döngüsü Hizmetleri
- Batarya Testinin Temelleri
- Enerji Yönetiminde Ölçümün Rolü: Verimliliğe Giden Yol
- HVAC Sistemlerinde Kullanılan EC Fan, Sürücü ve EC+ Fan Teknolojisi
- Su İşleme, Dağıtım ve Atık Su Yönetim Tesislerinde Sürücü Kullanımı
Aktif etkinlik bulunmamaktadır.