owasp top 10

OWASP Top 10 nedir ve bu risklerden nasıl kaçınılır?

Bir web sitesini yönetirken, en önemli güvenlik açıklarından ve güvenlik tehditlerinden haberdar olmak önemlidir. OWASP Top 10 sıralaması, günümüzün web uygulamalarına yönelik en ciddi tehditlerden bazılarını anlamak için mükemmel bir başlangıç ​​noktasıdır.

2021 Sızma Testi Araçları (Devam)

Sızma testi, önce güvenlik açıklarını bulan ve ardından bunları kurumsal altyapıda daha derine inmek için yararlanmaya çalışan çok adımlı ve çok faktörlü saldırı senaryolarını kullanmak için güvenlik açığı taramanın ötesine geçer.

Security Misconfiguration (Yanlış Güvenlik Yapılandırması)

Yanlış Güvenlik Yapılandırması OWASP TOP 10 içinde projelerde yaygın kaldığından ve istatistiklere göre şirketlerin yaklaşık% 42’sine duyarlı  olduğundan altıncı sırada yer almaktadır. Bir Web uygulamasının güvenliğini sağlamak, tüm altyapı bileşenlerinin güvenli bir şekilde yapılandırılmasını gerektirir. Uygulama bileşenleri (frameworks gibi), web sunucusu, veritabanı sunucusu ve platformun kendisidir. Sunucu bileşenlerinin varsayılan ayarları genellikle güvensizdir ve saldırılar için fırsatlar yaratır. Örneğin, bir …

Security Misconfiguration (Yanlış Güvenlik Yapılandırması) Devamı »

2021 Sızma Testi Araçları

Sızma Testi araçları, bir ağ, sunucu veya web uygulamasındaki güvenlik zayıflıklarının belirlenmesine yardımcı olur. Bu araçlar, bir güvenlik ihlaline neden olabilecek yazılım ve ağ uygulamalarındaki “bilinmeyen güvenlik açıklarını” belirlemenize olanak sağladıkları için çok kullanışlıdır. Güvenlik Açığı Değerlendirmesi ve Sızma Testi (Pentest- Penetration test) Araçları, sisteminize ağ içinde ve ağın dışında bir bilgisayar korsanı saldıracakmış gibi saldırır. Yetkisiz erişim …

2021 Sızma Testi Araçları Devamı »

DDoS saldırılarından korunma yöntemleri

Bu tür saldırılar, donanım kaynaklarını ele geçirmek veya devre dışı bırakmak gerektiğinde kullanılır. Saldırganların hedefi hem fiziksel hem de RAM veya işlemci zamanını meşgul etmek olabilir. Bant genişliğini aşırı yüklemeye gerek yoktur. Sadece kurbanın işlemcisini aşırı yüklemek veya başka bir deyişle, tüm işlem süresini doldurmak yeterlidir.

Broken Authentication (Bozuk Kimlik Doğrulama ve Oturum Yönetimi) zafiyeti

Ağ bağlantısı güvenliği her zaman önemli olmuştur. Her biri kendi güvenlik açıklarına ve bunlarla başa çıkma yöntemlerine sahip çeşitli oturum yönetimi yöntemleri vardır. Bu yazıda OWASP top 10 listesinde yer alan Broken Authentication (Bozuk Kimlik Doğrulama ve Oturum Yönetimi) zafiyetine göz atacağız. Yaygın oturum saldırıları Kimlik doğrulama belirteçleri hem ön uçta hem de arka uçta depolanır …

Broken Authentication (Bozuk Kimlik Doğrulama ve Oturum Yönetimi) zafiyeti Devamı »

OWASP TOP-10 listesinden Sensitive Data Exposure

OWASP(Open Web Application Security Project), Web uygulamaları için en tehlikeli 10 saldırı vektörünün bir listesini oluşturmuştur, bu liste OWASP TOP-10 olarak adlandırılır ve bazı insanlara çok pahalıya mal olabilecek, iş itibarını zedeleyebilecek, hatta iş kaybı meydana getirecek en tehlikeli güvenlik açıklarını içerir. Owasp Top 10 Saldırı vektörlerini incelemeye Sensitive Data Exposure (Kritik verilerin güvensizliği) ile devam ediyoruz.

Missing Function Level Access Control

Eksik İşlev Seviyesi Erişim Kontrolü (Missing Function Level Access Control) Bu güvenlik açığının özü, adından da anlaşılacağı gibi, istenen nesneye uygun erişimin doğrulanmamasıdır. Uygulamanın mevcut kullanıcısı olabilecek bir saldırgan bunu kullanarak, ayrıcalıkları artırabilir ve kısıtlı işlevlere erişebilir. Örneğin, yönetici düzeyindeki kısıtlı özellikler genellikle bu saldırının hedefidir. Çoğu web uygulaması, verileri kullanıcı arayüzünde görüntülemeden önce izinleri kontrol …

Missing Function Level Access Control Devamı »

Owasp Top 10: Injection Zafiyeti

Injection zafiyetleri genellikle kullanıcıdan alınan, kontrol edilmeyen ya da önlem alınmayan verilerin komut olarak çalıştırılması ya da sorguya dahil edilmesi yüzünden oluşan zafiyetlerdir. İstatistiklere göre, şirketlerin % 28’i bu zafiyete maruz kalmaktadır. Bu güvenlik açığı aşağıdaki saldırı vektörlerine bölünmüştür: SQL, LDAP, XPath sorguları aracılığıyla enjeksiyon İşletim Sistemlerindeki komutlarla enjeksiyon XML ayrıştırma yoluyla enjeksiyon SMTP başlıkları …

Owasp Top 10: Injection Zafiyeti Devamı »