Categories: Güvenlik

Web Uygulamalarının Güvenliği

Günümüzde, Web uygulamaları, değişik önem ve şekillerde birçok şirketin varlığının bir parçasıdır. Bu varlık, bazı şirketler için, şirketin ana faaliyet alanının can damarını teşkil ederken (örneğin, sadece internette varolan şirketler gibi), bazı şirketler için sadece internette varolmaktan öteye gitmemektedir. Her ne şekilde olursa olsun Web de var olmak ve bu varlığın kesintiye uğramaması şirketler açısından oldukça önemli olmakta, hack edilmek, müşteri bilgilerinin saldırganların eline geçmesi tüm yöneticilerin kabusu olmaktadır.

Şirketler, Web uygulamalarının güvenliğini sağlamak için; bu işin kalbinde duran Web sunucularının güvenliklerini ellerinden geldiğince arttırmakta (hardening), sunucularını bir DMZ’e(1) konumlandırmakta, güvenlik duvarları(2) oluşturmakta ve sunumcu trafiğini IDS(3) ile gözlemlemektedir. Tüm bu önlemlere rağmen, Web siteleri hala hack edilmektedir. Peki ama ne yanlış yapılıyor, bu duruma karşı ne yapılabilir?

Aslında bu soruyu cevaplamak o kadar da güç değil. Saldırganlar bizi en zayıf yerimizden vuruyorlar, Web uygulamalarının ta kendisinden. Bu noktada birçok etken var.

Web uygulamalarını yazmak, program yazmaktan nispeten daha kolay olduğu için, bu alanda program yazanların sayısı oldukça fazla. Fakat baktığımızda bu tür programcıların çoğunun bilgisayar programlama eğitiminden yoksun, lise öğrencisi benzeri bir profil oluşturduğunu görüyoruz. Tabiki bu kişilerin kod yazma yetenekleri genellikle çabuk, metodik olmayan ve güvenliği programlamanın bir parçası olarak görme farkındalığından yoksun oluyor. Web uygulamalarının tabiatı gereği, programların değişik parça ve teknolojilerle olan ilişkileri, örneğin arkada bulunan bir database’e yapılan bağlantı gibi, programcıları uygulama ile ilişkisi olan tüm farklı sistem ve teknolojilerden yeterince bilgi sahibi olmasını gerektiriyor. Bunun üzerine bir de Web sunucusunda bulunan zayıf noktalar, ince ayar hataları, database bağlantıları ve seans(4) yönetimi gibi konular da eklenince sahne daha da karmaşık bir hal alıyor.

Sonuç olarak saldırganlar tüm bu karmaşık sistemde var olan sorunlardan biri ya da diğerini kullanıp işlerini tamamlıyorlar. Bu metinde sizlere nelerle karşı karşıya olduğunuzdan ve saldırganların hangi yöntemleri kullandıklarından bahsedeceğim. Peki bunlara karşı ne önlemler alırız, o da bir sonraki metnimizin konusu. Saldırı biçimlerine okuyucuyu aşina hale getirebilmek için isimlerini orjinal haliyle vereceğim, fakat açıklamaları Türkçe sunacağım.

• Cross Site Scripting

HTML tabanlı eposta içine ya da Web sayfasına gömülen özel hazırlanmış bir URL, kullanıcının bilmeden sunucudan Web sayfası ile beraberinde bir kod parçasını almasına ve kendi bilgisayarında çalıştırmasına neden olmaktadır. Bu iş bazen bir epostadaki linke tıklamak ile olurken, bazen bir Web sayfasına gömülmüş bir kod parçasının otomatik olarak çalışması sonucu, kullanıcının tıklamasına bile gerek kalmadan olabilir.

(1) DMZ – Demilitarized Zone, Yerel alan ağı ile İnternet arasında özel olarak oluşturulmuş ve genellikle Internet tarafında güvenlik duvarı ile güvenliği artirilmis ara alan
(2) Firewall, Güvenlik duvarı.
(3) IDS – Intrusıon detectıon System, Yerel alan ağına yapılan saldırıları tespit etmeye yarayan sistemlerdir.
(4) Session – Seans, Web sunucusuna bir browser’in bağlantısı ile ayrılışı arasında geçen zaman.
Kaynak: olympos.org
belgesi-421

 

Belgeci

Recent Posts

Gıdalarda Enerji Hesaplanması

    Gıda ürünlerinin kalori değerleri hesaplanırken öncelikle numunenin kül, protein, yağ ve nem analizleri…

34 dakika ago

Gıdalarda Boya Maddeleri Aranması

  01. Et ve Et Ürünlerinde Boya Maddeleri Aranması    01.01. Organik Boya Aranması   …

13 saat ago

Fosfataz Deneyi

      01. Yöntemin Prensibi    Yöntem , sütün iyi bir şekilde pastörize edilip…

1 gün ago

1838 Osmanlı-İngiliz Serbest Tic. Anlaşması

"Islahat hareketlerinin babası ve 19.yüzyıl Osmanlı siyaset adamlarının fikir ustası" (1) olarak tanınan Hariciye Nazırı…

2 gün ago

Düşünce Akımı

DUSUNCE AKIMLARI Ortaya atilan her yeni "dusunce akimi"nin yandaslari, ileri surdukleri goruslerin bir "yeni dunya…

2 gün ago

DOMATESLERDE 4-CPA (4-klorofenoksiasetik asit) KALINTI MİKTARI TAYİNİ

      01. Yöntemin Prensibi Domateslerde 4-CPA kalıntı analizi yönteminin temel prensibi örneğe uygulanan…

3 gün ago