Konuyu Oyla:
  • Derecelendirme: 5/5 - 2 oy
  • 1
  • 2
  • 3
  • 4
  • 5
Web Uygulaması Guvenligi
#1
www.deccal.org

Bu yazımda sık karşılaşılan güvenlik açıklarından bahsetmek istiyorum. Evet güvenli yazılım geliştirmek kolay mı değil. %100 güvenli bir yazılım var mı yok tabi ki. Fakat bu anlamda yazılım geliştirme aşamasında sıkça karşılaşılan hatalara bir göz atalım.

Veri Girişlerini Doğrulayın…
Her türlü verinin uygulama tarafından alınmadan önce kontrol edilmesi yerinde bir davranış olacaktır. Doğru bir şekilde yapılan veri girişi doğrulama (input validation) SQL Injection ve Siteler Arası İstek Sahtekârlığı (XSS) gibi saldırıları büyük ölçüde engellemeye yeterli olacaktır.


Güçlü Kimlik Doğrulama Adımlarını Uygulayın…

www.deccal.org
Günümüzde web dünyasında artan hırsızlık olaylarına karşın kullanıcı kimliğini çeşitli yöntemlerle kanıtlamasını sağlamak için güçlü kimlik doğrulama yapılması kaçınılmaz bir durum olmaya başlamıştır.


Güçlü kimlik doğrulamanın olması için;
Aşağıda belirtilen unsurlardan en az ikisi gerçekleşmesi gerekmektedir.
• Bildiğiniz bir şey – Something you know
Kullanıcı Adı
Parola


• Sahip Olduğunuz Bir Şey – Something you have
Akıllı kart
USB Token
OTP (One Time Password)

• Olduğunuz Bir Şey – Something you are
Parmak izi, El izi
Retina


Erişim Kontrolü ve Yetkilendirme
Uygulama içeriğine ve çeşitli fonksiyonlara hangi kullanıcıların erişebileceği belirlenmelidir. Kullanılmayan servis ve erişim metotları kısıtlanmalıdır. Erişim kontrolü ve yetkilendirme için kontrol listeleri (Access list) düzgün bir şekilde yapılandırılması gereklidir. IP kısıtlamaları ile erişim kontrol altına alınması kritik veri girişi veya sadece kurumun girmesi gereken sayfaların güvenliğini büyük ölçüde sağlayacaktır. Kullanıcı hesaplarının veritabanına erişim haklarının en az yetki prensibine göre yapılandırılması da güvenlik açıklarının önüne geçilmesinde önemli bir etken olacaktır.


Düşük Yetkiyle Çalışmayı Prensip Edinin…
En sık yapılan hatalardan biri yazılım geliştirme ortamında en üst yetkiyle yazılımların oluşturulması sürecidir. “Full Trust” ve “All” gibi yetkilerle uygulamaların çalıştırılması sonucunda yazılımda açık bulan bir saldırganın yetki yükseltmeksizin sistemlere sızması olasıdır. Bu yüzden yazılım geliştirme süreci de dahil “En Az Yetki Prensibi” ile çalışın.


Oturum Yönetimine Dikkat…

www.deccal.org
Oturum yönetimi; kimlik doğrulama işlemlerinden geçmiş kullanıcıların yapmış oldukları işlemleri (verileri) kaybetmemek ve takip etmektedir. Yapılan hataların başında uygulama çatıların sunduğu oturum yönetimi modülleri kullanılmayıp, kendi oturum yönetimini yapılmasından kaynaklanan bir takım hatalar oluşabilmektedir.

Bunlardan bazıları;
• Tahmin edilebilir oturum kimlik (Session ID) oluşturulması
• Oturum değişkenlerinin istemci bilgisayarlarında bir dosya içerisinde saklama
• Otomatik oturum oluşturma
• Sayfa ve form jetonlarının hatalı kullanımı
• Oturum zaman aşımı (timeout) kullanılmaması
• Oturum jetonlarının periyodik olarak tekrar oluşturulmaması
• Oturum jetonlarının ağ üzerinden açık olarak transfer edilmesi
• Kullanıcı sistem çıkışlarında oturum jetonlarının yok edilmemesi


Öneriler
Yetkilendirme ve rol bilgilerini istemci tarafında tutulmaması yerinde bir davranış olacaktır.
Hassas ve kritik bilgileri oturum değişkenleri içerisinde tutmayın.
Uygulama çatınız için geliştirilen güncellemeleri takip edin. Mümkün olduğunca güncel bir uygulama çatısı kullanın.


Saldırı Yüzeyinizi Azaltın…
Her eklenen bir modül ve fonksiyon, uygulama güvenliği riskini de beraberinde getirir. Bununla beraber uygulamanızın saldırı yüzeyini artmasına, çeşitli açıkların meydana gelmesine sebep olabilir. Güvenli yazılım geliştirme sürecinde saldırı yüzeylerini en aza indirgeyerek riskleri ortadan kaldırmak yerinde bir davranış olacaktır.


Veri Korunumu
www.deccal.org
Kritik bilgi içeren verilerin kötü niyetli kullanıcıların eline geçmemesi için yapının iyi b
Kötü niyetli bir kullanıcı

• Ağ üzerinden transfer edilen veriyi dinleyerek,
• Dizin hakları doğru yapılandırılmamış veriye ulaşarak,
• Veri tabanı içerisinde açık olarak tutulan veriye ulaşarak amacına ulaşabilir.


Kritik bilgiler içeren (oturum doğrulama yapılan ) sayfalarda verinin ağ üzerinde şifreli olarak iletilmelidir. Bunun yanı sıra veritabanı içerisinde açık olarak tutulan kritik bilgiler veritabanında şifrelenmeden tutulmamalı geri dönüşü olmayacak şekilde şifreleme algoritmaları kullanılmalıdır.
“Artık uygulamamız güvenlidir” demek zor…



Uygulamanız %100 güvenli olabilmesi gibi bir durumun olabilmesi imkansız. Güvenlik ölçmek oldukça zordur. Onun için pentest farklı gözler tarafından belirli periyotlar ile yapılması her zaman için önemlidir exciting
Beğenenler:
#2
eline sağlık reis exciting
Beğenenler:
#3
Güzel anlatım
Beğenenler:
#4
Elinize sağlık !
Beğenenler:
#5
GÜZEL DEVAMINI BEKLİYORUZ
Beğenenler:

Anahtar Kelimeler

Web Uygulaması Guvenligi indir, Web Uygulaması Guvenligi Videosu, Web Uygulaması Guvenligi Online izle, Web Uygulaması Guvenligi Bedava indir, Web Uygulaması Guvenligi Yükle, Web Uygulaması Guvenligi Hakkında, Web Uygulaması Guvenligi Nedir, Web Uygulaması Guvenligi Free indir, Web Uygulaması Guvenligi Oyunu, Web Uygulaması Guvenligi Download


1 Ziyaretçi