Web Sitelerinde Karşılaşılan 5 Güvenlik Sorunu
Web güvenliği işletmeler için büyük bir sorundur. Web siteniz farklı kaynaklardan gelebilecek yüzlerce saldırı tehditi ile her gün karşı karşıya kalmaktadır ve her an web sitenizin ihlal edilmesi ve verileriniz tehlikeye girmesi olasıdır. Yazımızda bahsedeceğimiz 5 web sitesi güvenlik sorunu sitenizin karşılaşabileceği en tehlikeli tehditlerden bazılarıdır.
28.01.2015 tarihli yazı 9033 kez okunmuştur.
1) SQL Injection
Şirketler ziyaretçilerin web sitelerine göz atması, giriş yapması ve ürünleri satın alması konusunda saklanan bilgiler için büyük veritabanlarına güvenir. Bu veritabanları genellikle kullanıcı kimlikleri, oturum açma bilgileri, ödeme bilgileri ve diğer hassas bilgilerin tamamını içerirler. Bu verilere erişmek ve kullanmak için web siteniz özel bir programlama dili kullanır: Structured Query Language (SQL)
Önemli bir programlama dili olmasına rağmen SQL yaygın olarak kötü amaçlı üçüncü şahıslar tarafından istismar edilmektedir. SQL komutları bazen zayıf güvenlikli formlar aracılığıyla kendi sitenize enjekte olabilir. Bu komutlar müşteri verilerinin büyük bir kısmını silmek için, ödeme bilgilerini çalmak için veya kendi sitenize spam bağlantılardan binlerce eklemek için kullanılır.
Eğer sorunun farkında olunursa SQL injection a yenik düşmeyi önlemek nispeten kolaydır. Kullanıcıya sunulan mesajlarda bazı karakterler kullanılarak (örneğin / \ ‘ veya “) SQL komutlarını yürütme önlenebilir(Sterilize olarak bilinen yöntem). Parolalar ve ödeme bilgileri gibi önemli verilerin bu alanda kullanımı engellenebilir ve şifreli olabilir.
Önemli bir programlama dili olmasına rağmen SQL yaygın olarak kötü amaçlı üçüncü şahıslar tarafından istismar edilmektedir. SQL komutları bazen zayıf güvenlikli formlar aracılığıyla kendi sitenize enjekte olabilir. Bu komutlar müşteri verilerinin büyük bir kısmını silmek için, ödeme bilgilerini çalmak için veya kendi sitenize spam bağlantılardan binlerce eklemek için kullanılır.
Eğer sorunun farkında olunursa SQL injection a yenik düşmeyi önlemek nispeten kolaydır. Kullanıcıya sunulan mesajlarda bazı karakterler kullanılarak (örneğin / \ ‘ veya “) SQL komutlarını yürütme önlenebilir(Sterilize olarak bilinen yöntem). Parolalar ve ödeme bilgileri gibi önemli verilerin bu alanda kullanımı engellenebilir ve şifreli olabilir.
►İlginizi Çekebilir: Veritabanı İşlemleri | Android Programlama - 5
2)Cross-site Scripting
Cross-site scripting (bilinen adıyla XSS) en yaygın yorumuyla bir hacker ın bir web sayfasına zararlı komut dosyası gömmesi için izin veren bir tekniktir. Bu script daha sonra sayfayı görüntüleyen ve kendi tarayıcısına kötü bir eylemi gerçekleştirmesi için yol açan meşru kullanıcıların web tarayıcısı tarafından yürütülür.
XSS SQL injection gibi kullanıcı tarafından gönderilen bilgileri sterilize etmek için en iyi yoldur.Bu en kolay şekilde <SCRIPT> etikelerini kaldırmak için bir filtre kurarak, JavaScript komutları ve potansiyel olarak tehlikeli bir HTML işaretleme kullanılarak yapılır. SQL injection ve cross-site scripting saldırı için en sık kullanılan yöntemlerdir ve bu güvenlik açıkları yok edilerek web sitesi güvenliği büyük çapta artırılabilir.
XSS SQL injection gibi kullanıcı tarafından gönderilen bilgileri sterilize etmek için en iyi yoldur.Bu en kolay şekilde <SCRIPT> etikelerini kaldırmak için bir filtre kurarak, JavaScript komutları ve potansiyel olarak tehlikeli bir HTML işaretleme kullanılarak yapılır. SQL injection ve cross-site scripting saldırı için en sık kullanılan yöntemlerdir ve bu güvenlik açıkları yok edilerek web sitesi güvenliği büyük çapta artırılabilir.
3)Cross-site Request Forgery
Cross-site request forgery (bilinen adıyla XSRF) sizin web sitenize oturum açmış bir kullanıcının gerçekleştireceği kötü niyetli bir eylemi tetiklemek için kullanılır.
Bu saldırının 2 aşaması vardır. Birinci yöntem hedef siteye giriş yapan kullanıcıların kötü amaçlı bir siteye çekilmesi ve hedef web sitesi üzerinde kötü niyetli bir eylemi gerçekleştirmek için kullanıcının tarayıcısı aracılığıyla web sitesi üzerinde kodlamalar yapılmasıdır. Diğer yöntem ise kendi yetkilerini kullanarak giriş yapmış bir kullanıcı gibi hassas verileri toplamak veya spam yorumlar göndermektir.
Bu sorun kullanıcıların dijital zaman bilgisi yayımlanarak çözülebilir. Oturum açmış bir kullanıcı web sitenizde bir eylemi gerçekleştirmek için çalıştığında, giriş zaman bilgisi onaylanmalıdır ve istek kaynağı belirlenmelidir.
Bu saldırının 2 aşaması vardır. Birinci yöntem hedef siteye giriş yapan kullanıcıların kötü amaçlı bir siteye çekilmesi ve hedef web sitesi üzerinde kötü niyetli bir eylemi gerçekleştirmek için kullanıcının tarayıcısı aracılığıyla web sitesi üzerinde kodlamalar yapılmasıdır. Diğer yöntem ise kendi yetkilerini kullanarak giriş yapmış bir kullanıcı gibi hassas verileri toplamak veya spam yorumlar göndermektir.
Bu sorun kullanıcıların dijital zaman bilgisi yayımlanarak çözülebilir. Oturum açmış bir kullanıcı web sitenizde bir eylemi gerçekleştirmek için çalıştığında, giriş zaman bilgisi onaylanmalıdır ve istek kaynağı belirlenmelidir.
4)Cookie Tampering
Cookies (çerezler) modern web sitesi geliştirmede önemli bir rol oynamaktadır. Çerezler kullanıcıların web sitesinde oturum için , siteye göz atarken oturum açmış olarak kalmaya ve kişiselleştirilmiş teklifler ve promosyonlar ile meşgul olunması için izin verirler. Bir kullanıcının alışveriş sepetindeki öğeleri izleme ve ürün fiyatlarını hesaplanması işlemlerinde ve e-ticaret sitelerinde önemli bir rol oynamaktadırlar.
Çerezler bir geliştiricinin önemli bir aracı iken web siteniz için ciddi bir risk teşkil ederler. Kötü niyetli üçüncü şahıslar tarafından çerezler üzerinde oynamalar yapılabilir. Eğer web sitenizin gönderilen çerezleri kontrol ve doğrulama işlemleri yoksa sitenizde ciddi hasarlar meydana gelebilir.
E-ticaret sistemleri çerezlerle oynanması sonucunda hasar görebilir, üçüncü şahıslar tarafından öğelerin fiyatları düzenlenebilir, başka bir kullanıcı olarak giriş yapılabilir. Sonuç olarak, bir web sitesinin çerezlerin meşruluğunu kontrol etmesi oldukça önemlidir. Aynı zamanda kullanıcı kimlikleri ve şifreleri gibi hassas bilgileri çerez formatında depolamayı önlemek te harika bir fikir!
Çerezler bir geliştiricinin önemli bir aracı iken web siteniz için ciddi bir risk teşkil ederler. Kötü niyetli üçüncü şahıslar tarafından çerezler üzerinde oynamalar yapılabilir. Eğer web sitenizin gönderilen çerezleri kontrol ve doğrulama işlemleri yoksa sitenizde ciddi hasarlar meydana gelebilir.
E-ticaret sistemleri çerezlerle oynanması sonucunda hasar görebilir, üçüncü şahıslar tarafından öğelerin fiyatları düzenlenebilir, başka bir kullanıcı olarak giriş yapılabilir. Sonuç olarak, bir web sitesinin çerezlerin meşruluğunu kontrol etmesi oldukça önemlidir. Aynı zamanda kullanıcı kimlikleri ve şifreleri gibi hassas bilgileri çerez formatında depolamayı önlemek te harika bir fikir!
►İlginizi Çekebilir: Android Telefonunuz İçin En İyi 15 Uygulama
5)Email Form Header Injection
İletişim formları popüler web geliştirme araçlarındandır. İletişim formları e-posta içine kullanıcı girilmiş mesajları dönüştürmek için kullanılır. Fakat forma girilen kod kötü amaçlı ise büyük çapta spam mailler göndermek için forma sızmakla mümkün olur.
İletişim formunuz spam mesaj göndermek için sizi external email hesaplarına yönlendirebilir. Kara listede olan spam etkinlikleri ve e-posta adresleri web sitenizin hızlı açılmasına yol açabilir.
Bunun karşısında koruma için iletişim formları tüm kullanıcılara ait giriş ekranlarına gereksinim duyar. Kötü niyetli kod tespit edildiğinde bunun kaldırılması gerekir.
Kaynak:
►Security Innovation Europe
İletişim formunuz spam mesaj göndermek için sizi external email hesaplarına yönlendirebilir. Kara listede olan spam etkinlikleri ve e-posta adresleri web sitenizin hızlı açılmasına yol açabilir.
Bunun karşısında koruma için iletişim formları tüm kullanıcılara ait giriş ekranlarına gereksinim duyar. Kötü niyetli kod tespit edildiğinde bunun kaldırılması gerekir.
Kaynak:
►Security Innovation Europe
YORUMLAR
Ayşe Müberra Arslan
Yatay ve Dikey Tip Sigortalı Yük Ayrıcıları
Elektrik Yüklerinin Makine Öğrenmesi ile Sınıfland...
Elektriksel İzolasyon (Yalıtım) Nedir? Elektrik İz...
Schneider Electric, Lexium Scara Robotu ile Üretim...
Aktif etkinlik bulunmamaktadır.
-
Dünyanın En Görkemli 10 Güneş Tarlası
-
Dünyanın En Büyük 10 Makinesi
-
2020’nin En İyi 10 Kişisel Robotu
-
Programlamaya Erken Yaşta Başlayan 7 Ünlü Bilgisayar Programcısı
-
Üretimin Geleceğinde Etkili Olacak 10 Beceri
-
Olağan Üstü Tasarıma Sahip 5 Köprü
-
Dünyanın En İyi Bilim ve Teknoloji Müzeleri
-
En İyi 5 Tıbbi Robot
-
Dünyanın En Zengin 10 Mühendisi
-
Üretim için 6 Fabrikasyon İşlemi
-
DrivePro Yaşam Döngüsü Hizmetleri
-
Batarya Testinin Temelleri
-
Enerji Yönetiminde Ölçümün Rolü: Verimliliğe Giden Yol
-
HVAC Sistemlerinde Kullanılan EC Fan, Sürücü ve EC+ Fan Teknolojisi
-
Su İşleme, Dağıtım ve Atık Su Yönetim Tesislerinde Sürücü Kullanımı
-
Röle ve Trafo Merkezi Testlerinin Temelleri | Webinar
-
Chint Elektrik Temel DIN Ray Ürünleri Tanıtımı
-
Sigma Termik Manyetik Şalterler ile Elektrik Devrelerinde Koruma
-
Elektrik Panoları ve Üretim Teknikleri
-
Teknik Servis | Megger Türkiye
ANKET
Güneş Enerjisi Elektrik Üretim Sisteminin Tasarlan...
Alternatif Akımın Temel Tanımları
Mühendisler Ne İş Yapar ve Ne Kadar Kazanırlar?
IT Nedir? | IT Uzmanı Nedir?
BIOS Nedir? BIOS Ayarları Nasıl Yapılır?
İyi Bir Android Geliştiricisi Nasıl Olunur?
ASP.NET | Website Tasarımı
ASP.NET: Localhost Kurulumu IIS Aktifleştirme Vid...
Android Kullanıcıları İçin Güvenlik Tehdidi
Kriptoloji Nedir? | 1. Bölüm
