Bir web sitesini yönetirken, en önemli güvenlik açıklarından ve güvenlik tehditlerinden haberdar olmak önemlidir. OWASP Top 10 sıralaması, günümüzün web uygulamalarına yönelik en ciddi tehditlerden bazılarını anlamak için mükemmel bir başlangıç noktasıdır.
Sızma testi, önce güvenlik açıklarını bulan ve ardından bunları kurumsal altyapıda daha derine inmek için yararlanmaya çalışan çok adımlı ve çok faktörlü saldırı senaryolarını kullanmak için güvenlik açığı taramanın ötesine geçer.
Yanlış Güvenlik Yapılandırması OWASP TOP 10 içinde projelerde yaygın kaldığından ve istatistiklere göre şirketlerin yaklaşık% 42’sine duyarlı olduğundan altıncı sırada yer almaktadır. Bir Web uygulamasının güvenliğini sağlamak, tüm altyapı bileşenlerinin güvenli bir şekilde yapılandırılmasını gerektirir. Uygulama bileşenleri (frameworks gibi), web sunucusu, veritabanı sunucusu ve platformun kendisidir. Sunucu bileşenlerinin varsayılan ayarları genellikle güvensizdir ve saldırılar için fırsatlar yaratır. Örneğin, bir …
Security Misconfiguration (Yanlış Güvenlik Yapılandırması) Devamı »
Sızma Testi araçları, bir ağ, sunucu veya web uygulamasındaki güvenlik zayıflıklarının belirlenmesine yardımcı olur. Bu araçlar, bir güvenlik ihlaline neden olabilecek yazılım ve ağ uygulamalarındaki “bilinmeyen güvenlik açıklarını” belirlemenize olanak sağladıkları için çok kullanışlıdır. Güvenlik Açığı Değerlendirmesi ve Sızma Testi (Pentest- Penetration test) Araçları, sisteminize ağ içinde ve ağın dışında bir bilgisayar korsanı saldıracakmış gibi saldırır. Yetkisiz erişim …
Ağ bağlantısı güvenliği her zaman önemli olmuştur. Her biri kendi güvenlik açıklarına ve bunlarla başa çıkma yöntemlerine sahip çeşitli oturum yönetimi yöntemleri vardır. Bu yazıda OWASP top 10 listesinde yer alan Broken Authentication (Bozuk Kimlik Doğrulama ve Oturum Yönetimi) zafiyetine göz atacağız. Yaygın oturum saldırıları Kimlik doğrulama belirteçleri hem ön uçta hem de arka uçta depolanır …
Broken Authentication (Bozuk Kimlik Doğrulama ve Oturum Yönetimi) zafiyeti Devamı »
OWASP(Open Web Application Security Project), Web uygulamaları için en tehlikeli 10 saldırı vektörünün bir listesini oluşturmuştur, bu liste OWASP TOP-10 olarak adlandırılır ve bazı insanlara çok pahalıya mal olabilecek, iş itibarını zedeleyebilecek, hatta iş kaybı meydana getirecek en tehlikeli güvenlik açıklarını içerir. Owasp Top 10 Saldırı vektörlerini incelemeye Sensitive Data Exposure (Kritik verilerin güvensizliği) ile devam ediyoruz.
Eksik İşlev Seviyesi Erişim Kontrolü (Missing Function Level Access Control) Bu güvenlik açığının özü, adından da anlaşılacağı gibi, istenen nesneye uygun erişimin doğrulanmamasıdır. Uygulamanın mevcut kullanıcısı olabilecek bir saldırgan bunu kullanarak, ayrıcalıkları artırabilir ve kısıtlı işlevlere erişebilir. Örneğin, yönetici düzeyindeki kısıtlı özellikler genellikle bu saldırının hedefidir. Çoğu web uygulaması, verileri kullanıcı arayüzünde görüntülemeden önce izinleri kontrol …
Injection zafiyetleri genellikle kullanıcıdan alınan, kontrol edilmeyen ya da önlem alınmayan verilerin komut olarak çalıştırılması ya da sorguya dahil edilmesi yüzünden oluşan zafiyetlerdir. İstatistiklere göre, şirketlerin % 28’i bu zafiyete maruz kalmaktadır. Bu güvenlik açığı aşağıdaki saldırı vektörlerine bölünmüştür: SQL, LDAP, XPath sorguları aracılığıyla enjeksiyon İşletim Sistemlerindeki komutlarla enjeksiyon XML ayrıştırma yoluyla enjeksiyon SMTP başlıkları …
Bu tür saldırılar, donanım kaynaklarını ele geçirmek veya devre dışı bırakmak gerektiğinde kullanılır. Saldırganların hedefi hem fiziksel hem de RAM veya işlemci zamanını meşgul etmek olabilir. Bant genişliğini aşırı yüklemeye gerek yoktur. Sadece kurbanın işlemcisini aşırı yüklemek veya başka bir deyişle, tüm işlem süresini doldurmak yeterlidir.
Bu yayın bağlamında hassas veriler, güvenliği PCI DSS + GDPR gereksinimleri tarafından düzenlenen verilerdir (kart ve kişisel veriler gibi). Bu tür veriler prensipte gerekli midir yoksa anonim hale getirilebilir mi? Bu ciltte kritik verileri depolamak gerçekten gerekli mi?
