OWASP(Open Web Application Security Project), Web uygulamaları için en tehlikeli 10 saldırı vektörünün bir listesini oluşturmuştur, bu liste OWASP TOP-10 olarak adlandırılır ve bazı insanlara çok pahalıya mal olabilecek, iş itibarını zedeleyebilecek, hatta iş kaybı meydana getirecek en tehlikeli güvenlik açıklarını içerir. Owasp Top 10 Saldırı vektörlerini incelemeye Sensitive Data Exposure (Kritik verilerin güvensizliği) ile devam ediyoruz.
Sensitive Data Exposure (Kritik verilerin güvensizliği)
Çoğu web uygulaması, kredi kartları ve kimlik doğrulama bilgileri gibi hassas verileri korumaz. Saldırganlar, kendi kişisel kazançları için bu tür zayıf şekilde korunan verileri çalabilir veya değiştirebilir.
Basit bir örnek ile ifade edecek olursak, HTTP protokolü üzerinden veri aktarım işlemidir. Gerçek şu ki, HTTP protokolü aracılığıyla iletilen veriler hiçbir şekilde şifrelenmemiş ya da çözümlenmiş algoritmalar ile şifrelenmiş ise kullanıcının bilgisayarından Web sunucusuna geçerken veriler epeyce farklı düğümlerden geçecektir. Örneğin bir ofis yönlendiricisi veya ev yönlendiricisi, bir sağlayıcının yönlendiricisi, bir kanal üzerindeki bir yönlendirici, bir veri içindeki yönlendirici barındırma sağlayıcısı sunucusunun merkezi vb. gibi… Bu düğümlerin her biri, tüm trafiği okuyan ve saldırgana aktaran bir program olan Sniffer (ağ üzerindeki veri paketlerini yakalayan ve içeriğini okuyan) adı verilen kötü amaçlı yazılımları barındırabilir. İkincisi, kişisel veriler ve kredi kartı verileri için alınan verilere bakar.
Bu tür veriler, tarayıcının adres çubuğundaki karşılık gelen yazıda belirtildiği gibi, yalnızca HTTPS protokolü üzerinden iletilmelidir.
SSL sertifikasının diğer bir görevi (bu, HTTPS’de kimlik doğrulama ve şifreleme için kullanılan özel anahtarın adıdır), özellikle bu site için yayınlandığını onaylamaktır. Sertifikanın süresinin dolması veya sahte olması durumunda, internet siteniz güvensiz olarak gösterilecek ve birçok çalışma alanında yapılan işlemlere erişimi engellenecektir.
Bir başka örnek, şifreler veya kredi kartı numaraları gibi hassas verilerin şifrelenmemiş olmasıdır. Veriler şifrelenmiş ise, sunucuya yetkisiz erişim sağlanmış olsa bile, bir saldırgan kritik verileri göremeyecektir. Şifreler için, özellikle, geri döndürülemez şifreleme sisteminin kodunun çözülemeyeceği bir karma işlev uygulanmalı ve veri tabanındaki ile karşılaştırılarak kontrol edilmelidir.
Önlem olarak ne yapılmalıdır:
- SMTP, Http, FTP gibi güvensiz açık metin (cleartext) olarak çalışan protokoller yerine, şifreli bir şekilde transfer yapan https, ftps, smtps gibi protokollere geçilmelidir.
- Varsayılan (Default) olarak gelen şifreleme anahtarları değiştirilmelidir.
- Eski, çözümlenmiş şifreleme algoritmalarının yerine yeni, güçlü şifreleme algoritmaları kullanılmalıdır.
- Verileri kaydederken mutlaka şifreli bir şekilde kaydedilmelidir.
Bu basit gibi görünen fakat OWASP top 10 listesinde yer alan Sensitive Data Exposure (Kritik verilerin güvensizliği) zafiyeti Sızma Testi ile kolay bir şekilde anlaşılır ve çözülür.