Web uygulamalarından kaynaklanan güvenlik açıkları son yıllarda bilgi güvenliği suistimallerinde büyük rol oynamaktadır. Özellikle şirkete özel geliştirilmiş yazılımlar pek çok güvenlik açığı barındırarak şirket bilgi ve sistemleri için risk oluşturmaktadır. InfoSECURE Güvenlik Denetim ve Danışmanlık Servisleri, internet bankacılığıve e-ticaret uygulamaları başta olmak üzere, uygulama denetimlerine 2004 yılında da devam etmektedir.

Uygulamalarınızda en sık rastlanabilecek 10 güvenlik açığı aşağıdaki gibidir:

Teyit Edilmemiş Girdi : Kullanıcıdan gelen talebin, web uygulamasında kullanılmadan önce girdi olarak kabul edilmeye uygunluğu kontrol edilmez. Saldırganlar bu tanımlanmamış girdi açıklarını kullanarak web uygulaması üzerinden arka plandaki bileşenlere saldırabilirler.

Kırılmış Giriş Kontrolü: Doğrulanmış kullanıcıların hakları ile ilgili kısıtlamalar uygun bir şekilde uygulanmaz. Saldırganlar bu kusurlar vasıtasıyla diğer kullanıcıların hesaplarına erişebilir, hassas dosyaları okuyabilir ve yetkilendirilmedikleri fonksiyonları kullanabilirler.

Çiğnenmiş Doğrulama ve Oturum Yönetimi: Hesap güven belgeleri ve oturum “token”ları doğru korunmaz. Şifreler, anahtarlar, oturum kurabiyeleri ve diğer “token”larla oynayabilen saldırganlar doğrulama kusurlarını aşabilir ve başka kullanıcıların kimliklerine bürünebilirler.

Çapraz Site Sorgu (XSS) Açıkları: Web uygulamaları bir saldırıyı son kullanıcıya browser’ı vasıtasıyla iletmek için bir araç olarak kullanılabilir. Başarılı bir saldırı son kullanıcının oturum izini afişe edebilir, yerel makineye saldırabilir veya kullanıcıyı kandırmak için içeriği taklit edebilir.

Bellek Taşması : Bazı dillerdeki web uygulaması bileşenleri, girdileri uygun olarak teyit etmemeleri durumunda servis dışı kalabilir veya bazı durumlarda işlemin kontrolünü ele geçirmek için kullanılabilir. Bu bileşenlere CGI, kütüphaneler, sürücüler ve web uygulama sunucusu bileşenleri dahil olabilir.

Enjeksiyon Kusurları: Web uygulamaları dış sistemlere veya yerel işletim sistemine eriştiklerinde, değişkenleri kabul ederler. Eğer bir saldırgan zararlı komutlarını bu değişkenlerin içine saklayabilirse, dış sistem bu komutları web uygulaması adına çalıştırır.

Uygunsuz Hata İşleme: Normal koşullarda oluşan hata durumları doğru ele alınmaz. Eğer saldırgan web uygulamasının başa çıkamayacağı hatalara neden olabilirse, detaylı sistem bilgisi elde edebilir, servisi engelleyebilir, güvenlik mekanizmalarının başarısız olmasını sağlayabilir veya sunucuyu çökertebilir.

Güvensiz Saklama: Web uygulamalarıbilgileri ve güven belgelerini korumak için, sıkça kriptografik fonksiyonlar kullanırlar. Bu fonksiyonlar ve entegre etmek için kullanılan kodun zorluğu, sık sık düşük seviye koruma ile sonuçlanır.

Servis Engelleme: Saldırganlar web uygulaması kaynaklarınıöyle bir noktaya kadar kullanırlar ki diğer gerçek kullanıcılar web uygulamasına erişemez veya kullanamazlar. Saldırganlar ayrıca kullanıcıların hesaplarını kilitleyebilir veya tüm uygulamanın hataya düşmesine neden olabilirler.

Güvensiz Konfigürasyon Yönetimi: Sağlam bir sunucu konfigürasyonu standardı web uygulamasıgüvenliği için kritiktir. Bu sunucular güvenliği etkileyen bir çok konfigürasyon seçeneğine sahiptirler ve varsayılan ayarlarıile güvenli değildirler.

InfoSECURE Güvenlik Denetim & Danışmanlık Hizmetleri’nden faydalanmak veya bilgi almak için: Deniz GÜLER ŞAHİN Tel: +90 212 356 5580, www. Infosecurenet.com, infosecure@infosecurenet.com