Neler yeni

OWASP 10 Zaafiyetlerini İnceliyelim

ThePecter

Kayıtlı Üye
Katılım
7 Nisan 2021
Mesajlar
22
Tepkime puanı
27
İlgi Alanlarınız
HACKTIVIST
Cinsiyet
  1. Erkek
Herkese marhaba arkadaşlar ben LuYzNn. bu konumda sizlere OWASP 10 Zafiyetlerini anlatacağım. Uzatmadan konumuza geçelim.

-

- Konumun İçeriği -

-
OWASP Nedir ?
- OWASP 10 Zaafiyetleri nelerdir ?
- OWASP 10 Zaafiyetleri ne işe yararlar ?

-

OWASP Nedir ?

Açılımı "Open Web Application Security Project" olan OWASP Web uygulamalarındaki güvenlik açıklarının kapatılması ve güvenli bir şekilde korunmasını sağlamak amacıyla sitelerdeki güvensiz yada açığı olan bazı yazılımların meydana getirdiği sorunların, oluşturulmaması için kurulan çevrim içi topluluktur.

-
OWASP 10 Zafiyetleri Nelerdir ?

1)Injection

2)Broken Authentication

3)Sensitive Data Exposure

4)XML External Entities (XXE)

5)Broken Access Control

6)Security Misconfiguration

7)Cross-Site Scripting (XSS)

8)Insecure Deserialization

9-)Using Components with Known Vulnerabilities

10)Insufficient Logging & Monitoring


-

OWASP 10 Zafiyetleri ne işe yararlar ?

1)Injection (Enjeksiyon)

Bu zafiyet çoğunlukla karşı kişiden gelmiş komutları,
incelemeden çalıştırılması yada işleme dahil edilmesinden
kaynaklanır. SQL ve Command injection gibi birçok injection türleri vardır. Bu 2 injection türünün ortak noktaları gelen datanın kontrol edilmemesi, filtrelenmemesi yada arınmamasından
kaynaklanmaktadır. OWASP'ın açıklamasında bu zafiyetlerin tespit edilmesinin en iyi yöntemini
kaynak kod analizi yapmak olduğunu söyledi.


2)Broken Authentication (Bozuk Kimlik Doğrulama)

Kimlik doğrulamalarında yapılan yanlış uygulamalar sonucu ortaya
çıkmaktadır. Saldırganlar yaptığımız hatalardan yararlanır ve manuel yöntemler kullanarak
tespit edilir. Genellikle brute force (kaba kuvvet saldırısı) kullanılır.
Bu hatanın önüne geçmek için tahmin edilmesi zor olan, artık klasik olmuş şifre koymaktan
kaçınmaktır.


3)Sensitive Data Exposure (Hassas Verilerin İfşası)

Son birkaç yılın en etkili ve en yaygın saldırısı olmuştur. Bu kadar yaygın olmasına rağmen çoğu web uygulamasında hassas veriler korunmamaktadır. Zafiyetin ortaya çıkmasının sebebi
şifrelenen verilenin eski olmasından kaynaklanır. Saldırganlarda bunları fırsat
bilip kişinin, önemli bilgilerini ele geçirir.


4)XML External Entities (XXE) (Harici Varlıklar)

Birden çok XML işlemcilerinin, işlenme sırasında yanlış configüre edlimesinden
kaynaklanır. Port tarama ve dos (denial of service) gibi saldırı yöntemlerini
kullanarak, dahili dosyaların ifşası için kullanılır.

5)Broken Access Control (Bozuk Erişim Kontrolü)

Kimliğini doğrulamamış bir kullanıcının yapabilecel faaiiyetlerini, yeterli bir şekilde
kısıtlama getirmedikleri için. Saldırganlar bu zafiyetten yararlanarak izni olmayan
dosyalara, yetkisi dışındaki fonksiyonlara erişim sağlayabilir.


6)Security Misconfiguration (Yanlış Güvenlik Yapılandırması)

Güvenlik yapılandırmalarını yaparken eksik veya hatalı yapılandırması yüzünden
bu zafiyet türü ortaya çıkmıştır. En çok ortaya çıkan zafiyet security
misconfiguration olmuştur. Tüm işletim sistemlerinin
uygulamalarını güvenli bir şekilde yapılandırılması değil,
aynı zamanda zamanında da yükseltilmesi gerekmektedir.


7)Cross-Site Scripting (XSS) (Siteler Arası Komut Dosyası)

XSS kusuru karşımıza en çok çıkan zafiyettir. OWASP ilk 10'daki zafiyetlerden
en yaygın ikinci sorun olmuştur. Saldırganlar kurbanlarının tarayıcısındaki
kullanıcı oturumlarını ele geçirebilir, web sitelerininin üzerinde oynamalar
yapıp kötü amaçlı sitelere yönlendirebilir. XSS zafiyetini JSP ve ASP.NET gibi araçlar ile
tespit edilmektedir.

8)Insecure Deserialization (Güvensiz Serileştirme)

Bu zafiyet bir endüstri anketinin sonucunda ilk 10'a girmiştir. Saldırganlar
tarafından gelen güvenli olmayan zararlı inputun desarialization olması sonucunda
oluşur. Saldırıları ve ayrıcalık yükseltme saldırıları dahil olmak üzere saldırıları
gerçekleştirmek için kullanılabilir.


9)Using Components with Known Vulnerabilities (Bilinen Güvenlik Açıklarına Sahip Bileşenleri Kullanma)

Bu sorun diğerlerinin dışında bir endüstri anketine göre ilk 10'a girmeyi
haketmiştir. Yazılım modülleri gibi bileşen uygulaması ile aynı maktıkta işlev
görür. Saldırganlar tarafından gelen zararlı inputun deserailazitaion olması
sonucu oluşmaktadır. Bu zafiyet zayıflatabilir ve çeşitli saldırılara ve etkilere
olanak sağlayabilir.


10)Insufficient Logging & Monitoring(Yetersiz Günlük Kaydı ve İzleme)

Saldırganların sistemlere daha fazla saldırarak kalıcılığı sürdirmesine ve
verileri kurcalamasına olanak sağlamaktadır. Sızma testlerinin takip günlüklerini incelemek,
saldırganların vermiş olabilecek zararları titizlik ile kaydedilmesi gerekir.


-
 

redenergy

Altın Üye
Katılım
31 Mart 2021
Mesajlar
567
Tepkime puanı
350
İlgi Alanlarınız
Sosyal medya uzmanlığı,siber güvenlik
Cinsiyet
  1. Erkek
Eline sağlık
 

EmirOnlin3x

Grafiker
Katılım
4 Mart 2021
Mesajlar
274
Tepkime puanı
285
Konum
Technology World
İlgi Alanlarınız
Network & Security Systems
Web Application Penetration
Cyber Intelligence
Software Development
Graphic Design
Cinsiyet
  1. Erkek
Herkese marhaba arkadaşlar ben LuYzNn. bu konumda sizlere OWASP 10 Zafiyetlerini anlatacağım. Uzatmadan konumuza geçelim.

-

- Konumun İçeriği -

-
OWASP Nedir ?
- OWASP 10 Zaafiyetleri nelerdir ?
- OWASP 10 Zaafiyetleri ne işe yararlar ?

-

OWASP Nedir ?

Açılımı "Open Web Application Security Project" olan OWASP Web uygulamalarındaki güvenlik açıklarının kapatılması ve güvenli bir şekilde korunmasını sağlamak amacıyla sitelerdeki güvensiz yada açığı olan bazı yazılımların meydana getirdiği sorunların, oluşturulmaması için kurulan çevrim içi topluluktur.

-
OWASP 10 Zafiyetleri Nelerdir ?

1)Injection

2)Broken Authentication

3)Sensitive Data Exposure

4)XML External Entities (XXE)

5)Broken Access Control

6)Security Misconfiguration

7)Cross-Site Scripting (XSS)

8)Insecure Deserialization

9-)Using Components with Known Vulnerabilities

10)Insufficient Logging & Monitoring


-

OWASP 10 Zafiyetleri ne işe yararlar ?

1)Injection (Enjeksiyon)

Bu zafiyet çoğunlukla karşı kişiden gelmiş komutları,
incelemeden çalıştırılması yada işleme dahil edilmesinden
kaynaklanır. SQL ve Command injection gibi birçok injection türleri vardır. Bu 2 injection türünün ortak noktaları gelen datanın kontrol edilmemesi, filtrelenmemesi yada arınmamasından
kaynaklanmaktadır. OWASP'ın açıklamasında bu zafiyetlerin tespit edilmesinin en iyi yöntemini
kaynak kod analizi yapmak olduğunu söyledi.


2)Broken Authentication (Bozuk Kimlik Doğrulama)

Kimlik doğrulamalarında yapılan yanlış uygulamalar sonucu ortaya
çıkmaktadır. Saldırganlar yaptığımız hatalardan yararlanır ve manuel yöntemler kullanarak
tespit edilir. Genellikle brute force (kaba kuvvet saldırısı) kullanılır.
Bu hatanın önüne geçmek için tahmin edilmesi zor olan, artık klasik olmuş şifre koymaktan
kaçınmaktır.


3)Sensitive Data Exposure (Hassas Verilerin İfşası)

Son birkaç yılın en etkili ve en yaygın saldırısı olmuştur. Bu kadar yaygın olmasına rağmen çoğu web uygulamasında hassas veriler korunmamaktadır. Zafiyetin ortaya çıkmasının sebebi
şifrelenen verilenin eski olmasından kaynaklanır. Saldırganlarda bunları fırsat
bilip kişinin, önemli bilgilerini ele geçirir.


4)XML External Entities (XXE) (Harici Varlıklar)

Birden çok XML işlemcilerinin, işlenme sırasında yanlış configüre edlimesinden
kaynaklanır. Port tarama ve dos (denial of service) gibi saldırı yöntemlerini
kullanarak, dahili dosyaların ifşası için kullanılır.

5)Broken Access Control (Bozuk Erişim Kontrolü)

Kimliğini doğrulamamış bir kullanıcının yapabilecel faaiiyetlerini, yeterli bir şekilde
kısıtlama getirmedikleri için. Saldırganlar bu zafiyetten yararlanarak izni olmayan
dosyalara, yetkisi dışındaki fonksiyonlara erişim sağlayabilir.


6)Security Misconfiguration (Yanlış Güvenlik Yapılandırması)

Güvenlik yapılandırmalarını yaparken eksik veya hatalı yapılandırması yüzünden
bu zafiyet türü ortaya çıkmıştır. En çok ortaya çıkan zafiyet security
misconfiguration olmuştur. Tüm işletim sistemlerinin
uygulamalarını güvenli bir şekilde yapılandırılması değil,
aynı zamanda zamanında da yükseltilmesi gerekmektedir.


7)Cross-Site Scripting (XSS) (Siteler Arası Komut Dosyası)

XSS kusuru karşımıza en çok çıkan zafiyettir. OWASP ilk 10'daki zafiyetlerden
en yaygın ikinci sorun olmuştur. Saldırganlar kurbanlarının tarayıcısındaki
kullanıcı oturumlarını ele geçirebilir, web sitelerininin üzerinde oynamalar
yapıp kötü amaçlı sitelere yönlendirebilir. XSS zafiyetini JSP ve ASP.NET gibi araçlar ile
tespit edilmektedir.

8)Insecure Deserialization (Güvensiz Serileştirme)

Bu zafiyet bir endüstri anketinin sonucunda ilk 10'a girmiştir. Saldırganlar
tarafından gelen güvenli olmayan zararlı inputun desarialization olması sonucunda
oluşur. Saldırıları ve ayrıcalık yükseltme saldırıları dahil olmak üzere saldırıları
gerçekleştirmek için kullanılabilir.


9)Using Components with Known Vulnerabilities (Bilinen Güvenlik Açıklarına Sahip Bileşenleri Kullanma)

Bu sorun diğerlerinin dışında bir endüstri anketine göre ilk 10'a girmeyi
haketmiştir. Yazılım modülleri gibi bileşen uygulaması ile aynı maktıkta işlev
görür. Saldırganlar tarafından gelen zararlı inputun deserailazitaion olması
sonucu oluşmaktadır. Bu zafiyet zayıflatabilir ve çeşitli saldırılara ve etkilere
olanak sağlayabilir.


10)Insufficient Logging & Monitoring(Yetersiz Günlük Kaydı ve İzleme)

Saldırganların sistemlere daha fazla saldırarak kalıcılığı sürdirmesine ve
verileri kurcalamasına olanak sağlamaktadır. Sızma testlerinin takip günlüklerini incelemek,
saldırganların vermiş olabilecek zararları titizlik ile kaydedilmesi gerekir.


-
Eline sağlık
 

Red White Shadow

Altın Üye
Katılım
19 Mayıs 2021
Mesajlar
749
Tepkime puanı
671
Konum
Ankara
İlgi Alanlarınız
Bilgisayar Bilimi, Hack Kültürü
Cinsiyet
  1. Erkek
Herkese marhaba arkadaşlar ben LuYzNn. bu konumda sizlere OWASP 10 Zafiyetlerini anlatacağım. Uzatmadan konumuza geçelim.

-

- Konumun İçeriği -

-
OWASP Nedir ?
- OWASP 10 Zaafiyetleri nelerdir ?
- OWASP 10 Zaafiyetleri ne işe yararlar ?

-

OWASP Nedir ?

Açılımı "Open Web Application Security Project" olan OWASP Web uygulamalarındaki güvenlik açıklarının kapatılması ve güvenli bir şekilde korunmasını sağlamak amacıyla sitelerdeki güvensiz yada açığı olan bazı yazılımların meydana getirdiği sorunların, oluşturulmaması için kurulan çevrim içi topluluktur.

-
OWASP 10 Zafiyetleri Nelerdir ?

1)Injection

2)Broken Authentication

3)Sensitive Data Exposure

4)XML External Entities (XXE)

5)Broken Access Control

6)Security Misconfiguration

7)Cross-Site Scripting (XSS)

8)Insecure Deserialization

9-)Using Components with Known Vulnerabilities

10)Insufficient Logging & Monitoring


-

OWASP 10 Zafiyetleri ne işe yararlar ?

1)Injection (Enjeksiyon)

Bu zafiyet çoğunlukla karşı kişiden gelmiş komutları,
incelemeden çalıştırılması yada işleme dahil edilmesinden
kaynaklanır. SQL ve Command injection gibi birçok injection türleri vardır. Bu 2 injection türünün ortak noktaları gelen datanın kontrol edilmemesi, filtrelenmemesi yada arınmamasından
kaynaklanmaktadır. OWASP'ın açıklamasında bu zafiyetlerin tespit edilmesinin en iyi yöntemini
kaynak kod analizi yapmak olduğunu söyledi.


2)Broken Authentication (Bozuk Kimlik Doğrulama)

Kimlik doğrulamalarında yapılan yanlış uygulamalar sonucu ortaya
çıkmaktadır. Saldırganlar yaptığımız hatalardan yararlanır ve manuel yöntemler kullanarak
tespit edilir. Genellikle brute force (kaba kuvvet saldırısı) kullanılır.
Bu hatanın önüne geçmek için tahmin edilmesi zor olan, artık klasik olmuş şifre koymaktan
kaçınmaktır.


3)Sensitive Data Exposure (Hassas Verilerin İfşası)

Son birkaç yılın en etkili ve en yaygın saldırısı olmuştur. Bu kadar yaygın olmasına rağmen çoğu web uygulamasında hassas veriler korunmamaktadır. Zafiyetin ortaya çıkmasının sebebi
şifrelenen verilenin eski olmasından kaynaklanır. Saldırganlarda bunları fırsat
bilip kişinin, önemli bilgilerini ele geçirir.


4)XML External Entities (XXE) (Harici Varlıklar)

Birden çok XML işlemcilerinin, işlenme sırasında yanlış configüre edlimesinden
kaynaklanır. Port tarama ve dos (denial of service) gibi saldırı yöntemlerini
kullanarak, dahili dosyaların ifşası için kullanılır.

5)Broken Access Control (Bozuk Erişim Kontrolü)

Kimliğini doğrulamamış bir kullanıcının yapabilecel faaiiyetlerini, yeterli bir şekilde
kısıtlama getirmedikleri için. Saldırganlar bu zafiyetten yararlanarak izni olmayan
dosyalara, yetkisi dışındaki fonksiyonlara erişim sağlayabilir.


6)Security Misconfiguration (Yanlış Güvenlik Yapılandırması)

Güvenlik yapılandırmalarını yaparken eksik veya hatalı yapılandırması yüzünden
bu zafiyet türü ortaya çıkmıştır. En çok ortaya çıkan zafiyet security
misconfiguration olmuştur. Tüm işletim sistemlerinin
uygulamalarını güvenli bir şekilde yapılandırılması değil,
aynı zamanda zamanında da yükseltilmesi gerekmektedir.


7)Cross-Site Scripting (XSS) (Siteler Arası Komut Dosyası)

XSS kusuru karşımıza en çok çıkan zafiyettir. OWASP ilk 10'daki zafiyetlerden
en yaygın ikinci sorun olmuştur. Saldırganlar kurbanlarının tarayıcısındaki
kullanıcı oturumlarını ele geçirebilir, web sitelerininin üzerinde oynamalar
yapıp kötü amaçlı sitelere yönlendirebilir. XSS zafiyetini JSP ve ASP.NET gibi araçlar ile
tespit edilmektedir.

8)Insecure Deserialization (Güvensiz Serileştirme)

Bu zafiyet bir endüstri anketinin sonucunda ilk 10'a girmiştir. Saldırganlar
tarafından gelen güvenli olmayan zararlı inputun desarialization olması sonucunda
oluşur. Saldırıları ve ayrıcalık yükseltme saldırıları dahil olmak üzere saldırıları
gerçekleştirmek için kullanılabilir.


9)Using Components with Known Vulnerabilities (Bilinen Güvenlik Açıklarına Sahip Bileşenleri Kullanma)

Bu sorun diğerlerinin dışında bir endüstri anketine göre ilk 10'a girmeyi
haketmiştir. Yazılım modülleri gibi bileşen uygulaması ile aynı maktıkta işlev
görür. Saldırganlar tarafından gelen zararlı inputun deserailazitaion olması
sonucu oluşmaktadır. Bu zafiyet zayıflatabilir ve çeşitli saldırılara ve etkilere
olanak sağlayabilir.


10)Insufficient Logging & Monitoring(Yetersiz Günlük Kaydı ve İzleme)

Saldırganların sistemlere daha fazla saldırarak kalıcılığı sürdirmesine ve
verileri kurcalamasına olanak sağlamaktadır. Sızma testlerinin takip günlüklerini incelemek,
saldırganların vermiş olabilecek zararları titizlik ile kaydedilmesi gerekir.


-
Eline sağlık
 

Konuyu görüntüleyen kullanıcılar:

Hukuksal Sorunlar İçin [email protected]
For Legal Problems [email protected]
Hacktivizm.Org
Hacktivizm.Org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Hacktivizm.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Hacktivizm saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Hacktivizm üyelerinin yaptığı bireysel hack faaliyetlerinden Hacktivizm sorumlu değildir. Sitelerinize Hacktivizm ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz. Sitemizde yer alan içerikler hakkındaki şikayetlerinizi Buradan iletişime geçerek bildirebilirsiniz. Please Report Abuse, DMCA, Scamming, Harassment, Crack or any Illegal Activities to [email protected]
Hacktivizm Twitter Hacktivizm Youtube Hacktivizm İnstagram Hacktivizm Telegram