Herkese merhaba bu yazımda sizlere “Web Application Security” başlığı hakkında bilgi vermeye çalışacağım. Bu konu hakkında çok tecrübeli ve bilgili olmadığımı belirtmek isterim. Umarım sizler için faydalı olur, şimdiden iyi okumalar. 🙂
İngilizcesi “Web Application Security” olarak bilinen Web Uygulama Güvenliği genel olarak internet ağı ile ulaşılan programlara verilen isimdir. Diğer bir ifadeyle Web uygulaması güvenliği, uygulamaların kodundaki güvenlik açıklarından faydalanarak çeşitli güvenlik tehditlerine karşı web hizmetlerini ve uygulamalarını korumayı da amaçlamaktadır. Kurumsal açıdan düşünüldüğünde web uygulamaları, kurumların dış çevreye bakan yüzüdür denilebilir. Bu kapsamda web uygulama güvenliği de web siteleri, web uygulamaları gibi web hizmetlerinin güvenliğini kapsamaktadır.
Web uygulamalarının daha çok kullanılması beraberinde birçok zafiyeti de beraberinde getirmiştir. Bu zafiyetlerin en büyük nedenleri arasında geliştirilen uygulamaların güvenlik bilgisi olmayan kişiler tarafından geliştirilmesi gelmektedir. Geliştiricilerin güvenliği göz ardı edip yazdıkları kodlar web uygulamasındaki açıkların büyük bir kısmını tetiklemektedir.
Neden Saldırıyorlar ?
Yazımızın başında kişi ve kurumların dışarıya bakan yüzlerinin olduğundan bahsetmiştik. Bunun sonucunda ise;
- Saldırganlar, kişi ve kurumların web uygulamalarına saldırarak iç sistemlere sızmayı, buradan elde ettikleri bilgilerle bu kişi ve kurumlara zarar vermeyi hatta para kazanmaya kadar uzanan saldırılar yapmayı planlamaktadır.
- Kurumsal firma uygulamalarının, güvenlik ürünlerinin yönetimlerini web ara yüzü ile yapmaktadır. Bunun sonucunda ise web uygulamaları saldırı için daha cazip bir hale gelmektedir.
- Bir diğer ve en önemli nedenlerden biri ise kurumların web uygulamalarına yönelik güvenlik testi yaptırmaması sonucu ortaya çıkmaktadır. Burada bulunan zafiyetlerden haberdar olmadıkları için web uygulamaları tarafında savunmasız kalmaktadırlar.
Web Uygulama Güvenliği Nasıl Sağlanır
Web uygulamaları gibi birçok açıklık için genel anlamda yüzde yüz güvenliğin sağlandığından ve kesinlikten bahsetmek doğru olmayacaktır diye düşünüyorum. Bu yüzden güvenliği yüzde yüz sağlayamayız ancak üst seviyelere çıkarabiliriz. Bu seviyelere ise farklı bakış açıları ve düşüncelerle ulaşılabilir.
Web uygulama açıklarında bulunan zafiyetlere bakıldığı zaman aşağıda bahsettiğim gibi önlemler alarak kişi kurum ve kuruluşların güvenliğini maksimum seviyelere çıkarmak mümkündür.
- Bildiğimiz üzere bu saldırılardan en kolay kurtulma yöntemlerinden birisi şifrelerimizin uzunluğu, karmaşıklığı ve doğru şekilde oluşturulduğuna dikkat edilerek sağlanabilir. Bu yüzden şifrelerimizi yılda en az 2 kez değiştirmemizde fayda var. Ayrıca şifrelerinizi daha karmaşık hale getirerek sadece sizin anlayacağınız şekilde yapılandırmanız daha güvenli olmanızı sağlayabilir.
- Web sitelerinde bulunan admin paneli kısmında yani kullanıcı adı ve şifre sorduğu kısımda “https” protokolü kullanılmalıdır. Buna dikkat etmeniz sizler için diğer bir güvenli yöntem olacaktır. Ziyaret ettiğiniz sitenin güvenli olup olmadığını sitede sol üstte bulunan anahtar görseline bakarak da anlayabilirsiniz.
- Web uygulaması geliştirirken uygulama kodunun güvenliği sağlanmalıdır.
- IDS, IPS, SIEM gibi saldırı tespit sistemleri kullanılmalıdır.
- Web uygulamaları için ücretsiz ve açık kaynak kodlu olan güvenlik kontrol kütüphanesi oluşturulmalıdır.
- Web uygulamaları üzerine mutlaka “pentest” yaptırılmalıdır. “Pentest” hakkında bilgi sahibi olamak için daha önceki yazılarımda bahsettiğim https://www.kadircirik.com/sizma-testi-penetrasyon/ yazıma bu bağlantıdan ulaşabilirsiniz.
OWASP Nedir?
OWASP, web uygulama güvenliği alanında makaleler, metodolojiler, dokümantasyon, araçlar ve teknolojiler üreten çevrimiçi bir topluluk olan Açık Web Uygulaması Güvenliği Projesi anlamına gelir.
Bu topluluğun tüm ürünleri ücretsiz ve açıktır. Bu topluluğun her ülkede olduğu gibi Türkiye’de de temsilcileri bulunmaktadır. Bu temsilciler Türkiye’de Web Uygulama Güvenliği ile ilgilenen ve merak duyan kişilerle ilgilenmekte ve çalışmalar yürütmektedir.
OWASP TOP 10
OWASP İlk 10, en yaygın 10 uygulama güvenlik açığının listesidir. Ayrıca risklerini, etkilerini ve karşı önlemlerini de gösterir. Her üç ila dört yılda bir güncellenmekte ve en yaygın 10 web uygulama açığı tespit edilmektedir. En son güncellenen OWASP güvenlik açıkları şunlardır:
- Injection(Enjeksiyon)
- Broken Authentication(Bozuk Kimlik Doğrulama)
- Sensitive Data Exposure(Hassas Verilerin İfşası)
- XML External Entities (XXE)
- Broken Access Control(Bozuk Erişim Kontrolü)
- Security Misconfiguration(Yanlış Güvenlik Yapılandırması)
- Cross-Site Scripting (Siteler Arası Komut Dosyası)
- Insecure Deserialization(Güvensiz Serileştirme)
- Using Components with Known Vulnerabilities(Bilinen Güvenlik Açıklarına Sahip Bileşenleri Kullanma)
- Insufficient Logging & Monitoring(Yetersiz Günlük Kaydı ve İzleme)
OWASP TOP 10 uzun bir konu ve detaylı bir konu olduğu için sonraki yazılarımda ayrıntılı şekilde bahsetmeyi düşünüyorum. Umarım bu yazım sizler için faydalı olmuştur, sonraki yazılarımda görüşmek üzere sağlıklı kalın. 🙂