Bir web sitesini yönetirken, en önemli güvenlik açıklarından ve güvenlik tehditlerinden haberdar olmak önemlidir. OWASP Top 10 sıralaması, günümüzün web uygulamalarına yönelik en ciddi tehditlerden bazılarını anlamak için mükemmel bir başlangıç noktasıdır.
OWASP nedir?
OWASP (Açık Web Uygulaması Güvenlik Projesi anlamına gelir), web uygulama güvenliği, dokümantasyon, çeşitli araçlar ve teknolojiler konusunda makaleler yayınlayan çevrimiçi bir topluluktur.
OWASP Top 10 nedir?
OWASP Top 10, şu anda en yaygın on web uygulaması güvenlik açığının listesidir. Bu liste sayesinde kullanıcılar, en kritik risk ve tehditlerin, bunların sonuçlarının ve karşı önlemlerin farkında olacaklardır. OWASP listesi her üç ile dört yılda bir güncellenir (en son 2018’de yayınlandı).
2020’nin En İyi 10 OWASP Güvenlik Açığı:
- Enjeksiyonlar (Injection)
- Bozuk Kimlik Doğrulama (Broken Authentication)
- Hassas Verilerin İfşası (Sensitive Data Exposure)
- XML Harici Varlıkları (XXE)
- Erişim kontrolü ihlali (Broken Access Control)
- Yanlış güvenlik yapılandırmaları (Security Misconfiguration)
- Siteler Arası Komut Dosyası (XSS)
- Güvensiz Serileştirme (Insecure Deserialization)
- Bilinen güvenlik açıkları olan Bileşenleri kullanma (Using Components with Known Vulnerabilities)
- Yetersiz günlük kaydı ve izleme (Insufficient Logging & Monitoring)
1.Enjeksiyon saldırısı
Bir enjeksiyon saldırısında, saldırgan, uygulamanın tasarlanmadığı / programlanmadığı bir şeyi yapmaya zorlamak amacıyla bir web uygulamasına geçersiz veriler enjekte eder.
- SQL enjeksiyonunu önlemek için verilerin komutlardan ve sorgulardan ayrı tutulması gerekir.
2.Bozuk kimlik doğrulama
Uygun olmayan kimlik doğrulaması, bir saldırganın sistemdeki herhangi bir hesabın kontrolünü ele geçirmek için manuel ve / veya otomatik yöntemler kullanmasına veya daha kötüsü sistem üzerinde tam kontrol sağlamasına izin verebilir.
- Mümkün olduğunda, kötü niyetli kullanıcıların otomatik saldırılarını önlemek için çok faktörlü kimlik doğrulama uygulayın.
3.Kritik verilerin ifşası
Hassas verilerin güvensizliği, en yaygın güvenlik açıklarından biridir. Bu, öncelikle özel dikkat ve koruma gerektiren gizli verilerle ilgilidir.
- Uygulama tarafından işlenen, saklanan veya iletilen verileri sınıflandırın. Gizlilik yasalarına, yönetmeliklerine veya iş ihtiyaçlarına göre hangi verilerin gizli olduğunu belirleyin.
4.XML Harici Nesneleri (XXE)
Wikipedia’da yazıldığı gibi, harici XML nesnesi saldırısı, XML girdisini ayrıştırarak bir uygulamaya yönelik bir saldırı türüdür. Bu saldırı, bir dış nesneye başvuru içeren XML girişi, kötü yapılandırılmış bir XML ayrıştırıcı tarafından işlendiğinde meydana gelir.
- Mümkün olduğunda JSON gibi daha az karmaşık veri formatlarını kullanın ve hassas verileri serileştirmekten kaçının.
5.Erişim kontrol ihlali
Site güvenliği alanında erişim kontrolü, ziyaretçinin belirli bölümlere veya sayfalara erişiminin kısıtlanmasıdır.
- Mümkünse, tüm erişim noktalarına çok faktörlü kimlik doğrulama uygulayın.
6.Güvenli olmayan yapılandırma
Özünde, kaba kuvvet birçok olası kombinasyona girme girişimidir, ancak prensipte bu saldırının başarısını artıran birçok çeşidi vardır.
- Gereksiz özellikler, bileşenler, belgeler veya örnekler içermeyen minimal bir platform. Kullanılmayan özellikleri ve çerçeveleri kaldırın veya yüklemeyin.
7.Siteler Arası Komut Dosyası (XSS)
Siteler arası komut dosyası çalıştırma (XSS), birçok web uygulamasını etkileyen yaygın bir güvenlik açığıdır. XSS saldırıları, kötü amaçlı istemci komut dosyalarını bir siteye enjekte etmekten ve ardından siteyi bir dağıtıcı olarak kullanmaktan oluşur. XSS saldırıları olasılığını azaltmaya yönelik önleyici tedbirler, güvenilmeyen verileri etkin tarayıcı içeriğinden ayırmayı da içermelidir.
8.Güvenli olmayan seriyi kaldırma
Her web geliştiricisi, saldırganların URL’lerden serileştirilmiş nesnelere kadar uygulamalarıyla etkileşime giren her şeyle “oynamaya” çalışacağı gerçeğini kabul etmelidir.
- Web uygulamanızı bu tür risklerden korumanın en iyi yolu, güvenilmeyen kaynaklardan gelen serileştirilmiş nesneleri kabul etmemek.
9.Bilinen güvenlik açıkları olan bileşenleri kullanma
Bugünlerde kişisel bloglar gibi basit sitelerin bile birçok bağımlılığı var. Bir sitenin sunucusundaki ve istemci tarafındaki her bir yazılım parçasını güncellememenin hiç şüphesiz er ya da geç ciddi güvenlik riskleri yaratacağını hepimiz anlıyoruz.
- Gereksiz bağımlılıkları kaldırın.
- Hem sunucu tarafında hem de istemci tarafında tüm bileşenlerinizin bir envanterini alın.
- Yeni bileşen güvenlik açıkları için Ortak Güvenlik Açıkları ve Açıklamalar ( CVE) ve Ulusal Güvenlik Açığı Veritabanı ( NVD ) gibi kaynakları izleyin .
Bileşenleri yalnızca resmi kaynaklardan satın alın
10.Etkisiz izleme
Sitenizi güvende tutmanın önemi küçümsenmemelidir. Yüzde 100 güvenlik ulaşılabilir bir hedef olmasa da, sitenizi sürekli inceleme altında tutmanın yolları vardır, böylece bir şey olduğunda hemen harekete geçebilirsiniz.
- Denetim günlüklerini tutmak, sitenizdeki herhangi bir şüpheli değişiklikten haberdar olmanızı sağlar. Denetim izi, bir sahadaki tüm olayları kaydeden bir belgedir. Herhangi bir anormalliği tespit etmenize olanak tanır, böylece hesabınızın ele geçirilmesini onaylamak veya reddetmek için bir uzmanla zamanında iletişime geçebilirsiniz.
Owasp Top 10 zaafiyete bakarak çoğunluğunun kullanıcı hatası yüzünden olduğunu görüyoruz. Her zaman kullanıcıdan gelen veriye güvenmeyip, canlı sistemi ve servisleri güncelleştirerek ve olayları sürekli kayıt altına alarak saldırıların önüne geçmek mümkün olabilir. Ayrıca güvenliği kontrol etmek için Sızma Testi ve Red Teaming hizmetlerinden faydalanılabilir.