ThePecter
Kayıtlı Üye
- Katılım
- 7 Nisan 2021
- Mesajlar
- 22
- Tepkime puanı
- 32
- İlgi Alanlarınız
- HACKTIVIST
- Cinsiyet
-
- Erkek
Herkese marhaba arkadaşlar ben LuYzNn. bu konumda sizlere OWASP 10 Zafiyetlerini anlatacağım. Uzatmadan konumuza geçelim.
-
- Konumun İçeriği -
- OWASP Nedir ?
- OWASP 10 Zaafiyetleri nelerdir ?
- OWASP 10 Zaafiyetleri ne işe yararlar ?
-
OWASP Nedir ?
Açılımı "Open Web Application Security Project" olan OWASP Web uygulamalarındaki güvenlik açıklarının kapatılması ve güvenli bir şekilde korunmasını sağlamak amacıyla sitelerdeki güvensiz yada açığı olan bazı yazılımların meydana getirdiği sorunların, oluşturulmaması için kurulan çevrim içi topluluktur.
-
OWASP 10 Zafiyetleri Nelerdir ?
1)Injection
2)Broken Authentication
3)Sensitive Data Exposure
4)XML External Entities (XXE)
5)Broken Access Control
6)Security Misconfiguration
7)Cross-Site Scripting (XSS)
8)Insecure Deserialization
9-)Using Components with Known Vulnerabilities
10)Insufficient Logging & Monitoring
-
OWASP 10 Zafiyetleri ne işe yararlar ?
1)Injection (Enjeksiyon)
Bu zafiyet çoğunlukla karşı kişiden gelmiş komutları,
incelemeden çalıştırılması yada işleme dahil edilmesinden
kaynaklanır. SQL ve Command injection gibi birçok injection türleri vardır. Bu 2 injection türünün ortak noktaları gelen datanın kontrol edilmemesi, filtrelenmemesi yada arınmamasından
kaynaklanmaktadır. OWASP'ın açıklamasında bu zafiyetlerin tespit edilmesinin en iyi yöntemini
kaynak kod analizi yapmak olduğunu söyledi.
2)Broken Authentication (Bozuk Kimlik Doğrulama)
Kimlik doğrulamalarında yapılan yanlış uygulamalar sonucu ortaya
çıkmaktadır. Saldırganlar yaptığımız hatalardan yararlanır ve manuel yöntemler kullanarak
tespit edilir. Genellikle brute force (kaba kuvvet saldırısı) kullanılır.
Bu hatanın önüne geçmek için tahmin edilmesi zor olan, artık klasik olmuş şifre koymaktan
kaçınmaktır.
3)Sensitive Data Exposure (Hassas Verilerin İfşası)
Son birkaç yılın en etkili ve en yaygın saldırısı olmuştur. Bu kadar yaygın olmasına rağmen çoğu web uygulamasında hassas veriler korunmamaktadır. Zafiyetin ortaya çıkmasının sebebi
şifrelenen verilenin eski olmasından kaynaklanır. Saldırganlarda bunları fırsat
bilip kişinin, önemli bilgilerini ele geçirir.
4)XML External Entities (XXE) (Harici Varlıklar)
Birden çok XML işlemcilerinin, işlenme sırasında yanlış configüre edlimesinden
kaynaklanır. Port tarama ve dos (denial of service) gibi saldırı yöntemlerini
kullanarak, dahili dosyaların ifşası için kullanılır.
5)Broken Access Control (Bozuk Erişim Kontrolü)
Kimliğini doğrulamamış bir kullanıcının yapabilecel faaiiyetlerini, yeterli bir şekilde
kısıtlama getirmedikleri için. Saldırganlar bu zafiyetten yararlanarak izni olmayan
dosyalara, yetkisi dışındaki fonksiyonlara erişim sağlayabilir.
6)Security Misconfiguration (Yanlış Güvenlik Yapılandırması)
Güvenlik yapılandırmalarını yaparken eksik veya hatalı yapılandırması yüzünden
bu zafiyet türü ortaya çıkmıştır. En çok ortaya çıkan zafiyet security
misconfiguration olmuştur. Tüm işletim sistemlerinin
uygulamalarını güvenli bir şekilde yapılandırılması değil,
aynı zamanda zamanında da yükseltilmesi gerekmektedir.
7)Cross-Site Scripting (XSS) (Siteler Arası Komut Dosyası)
XSS kusuru karşımıza en çok çıkan zafiyettir. OWASP ilk 10'daki zafiyetlerden
en yaygın ikinci sorun olmuştur. Saldırganlar kurbanlarının tarayıcısındaki
kullanıcı oturumlarını ele geçirebilir, web sitelerininin üzerinde oynamalar
yapıp kötü amaçlı sitelere yönlendirebilir. XSS zafiyetini JSP ve ASP.NET gibi araçlar ile
tespit edilmektedir.
8)Insecure Deserialization (Güvensiz Serileştirme)
Bu zafiyet bir endüstri anketinin sonucunda ilk 10'a girmiştir. Saldırganlar
tarafından gelen güvenli olmayan zararlı inputun desarialization olması sonucunda
oluşur. Saldırıları ve ayrıcalık yükseltme saldırıları dahil olmak üzere saldırıları
gerçekleştirmek için kullanılabilir.
9)Using Components with Known Vulnerabilities (Bilinen Güvenlik Açıklarına Sahip Bileşenleri Kullanma)
Bu sorun diğerlerinin dışında bir endüstri anketine göre ilk 10'a girmeyi
haketmiştir. Yazılım modülleri gibi bileşen uygulaması ile aynı maktıkta işlev
görür. Saldırganlar tarafından gelen zararlı inputun deserailazitaion olması
sonucu oluşmaktadır. Bu zafiyet zayıflatabilir ve çeşitli saldırılara ve etkilere
olanak sağlayabilir.
10)Insufficient Logging & Monitoring(Yetersiz Günlük Kaydı ve İzleme)
Saldırganların sistemlere daha fazla saldırarak kalıcılığı sürdirmesine ve
verileri kurcalamasına olanak sağlamaktadır. Sızma testlerinin takip günlüklerini incelemek,
saldırganların vermiş olabilecek zararları titizlik ile kaydedilmesi gerekir.
-
-
- Konumun İçeriği -
- OWASP Nedir ?
- OWASP 10 Zaafiyetleri nelerdir ?
- OWASP 10 Zaafiyetleri ne işe yararlar ?
-
OWASP Nedir ?
Açılımı "Open Web Application Security Project" olan OWASP Web uygulamalarındaki güvenlik açıklarının kapatılması ve güvenli bir şekilde korunmasını sağlamak amacıyla sitelerdeki güvensiz yada açığı olan bazı yazılımların meydana getirdiği sorunların, oluşturulmaması için kurulan çevrim içi topluluktur.
-
OWASP 10 Zafiyetleri Nelerdir ?
1)Injection
2)Broken Authentication
3)Sensitive Data Exposure
4)XML External Entities (XXE)
5)Broken Access Control
6)Security Misconfiguration
7)Cross-Site Scripting (XSS)
8)Insecure Deserialization
9-)Using Components with Known Vulnerabilities
10)Insufficient Logging & Monitoring
-
OWASP 10 Zafiyetleri ne işe yararlar ?
1)Injection (Enjeksiyon)
Bu zafiyet çoğunlukla karşı kişiden gelmiş komutları,
incelemeden çalıştırılması yada işleme dahil edilmesinden
kaynaklanır. SQL ve Command injection gibi birçok injection türleri vardır. Bu 2 injection türünün ortak noktaları gelen datanın kontrol edilmemesi, filtrelenmemesi yada arınmamasından
kaynaklanmaktadır. OWASP'ın açıklamasında bu zafiyetlerin tespit edilmesinin en iyi yöntemini
kaynak kod analizi yapmak olduğunu söyledi.
2)Broken Authentication (Bozuk Kimlik Doğrulama)
Kimlik doğrulamalarında yapılan yanlış uygulamalar sonucu ortaya
çıkmaktadır. Saldırganlar yaptığımız hatalardan yararlanır ve manuel yöntemler kullanarak
tespit edilir. Genellikle brute force (kaba kuvvet saldırısı) kullanılır.
Bu hatanın önüne geçmek için tahmin edilmesi zor olan, artık klasik olmuş şifre koymaktan
kaçınmaktır.
3)Sensitive Data Exposure (Hassas Verilerin İfşası)
Son birkaç yılın en etkili ve en yaygın saldırısı olmuştur. Bu kadar yaygın olmasına rağmen çoğu web uygulamasında hassas veriler korunmamaktadır. Zafiyetin ortaya çıkmasının sebebi
şifrelenen verilenin eski olmasından kaynaklanır. Saldırganlarda bunları fırsat
bilip kişinin, önemli bilgilerini ele geçirir.
4)XML External Entities (XXE) (Harici Varlıklar)
Birden çok XML işlemcilerinin, işlenme sırasında yanlış configüre edlimesinden
kaynaklanır. Port tarama ve dos (denial of service) gibi saldırı yöntemlerini
kullanarak, dahili dosyaların ifşası için kullanılır.
5)Broken Access Control (Bozuk Erişim Kontrolü)
Kimliğini doğrulamamış bir kullanıcının yapabilecel faaiiyetlerini, yeterli bir şekilde
kısıtlama getirmedikleri için. Saldırganlar bu zafiyetten yararlanarak izni olmayan
dosyalara, yetkisi dışındaki fonksiyonlara erişim sağlayabilir.
6)Security Misconfiguration (Yanlış Güvenlik Yapılandırması)
Güvenlik yapılandırmalarını yaparken eksik veya hatalı yapılandırması yüzünden
bu zafiyet türü ortaya çıkmıştır. En çok ortaya çıkan zafiyet security
misconfiguration olmuştur. Tüm işletim sistemlerinin
uygulamalarını güvenli bir şekilde yapılandırılması değil,
aynı zamanda zamanında da yükseltilmesi gerekmektedir.
7)Cross-Site Scripting (XSS) (Siteler Arası Komut Dosyası)
XSS kusuru karşımıza en çok çıkan zafiyettir. OWASP ilk 10'daki zafiyetlerden
en yaygın ikinci sorun olmuştur. Saldırganlar kurbanlarının tarayıcısındaki
kullanıcı oturumlarını ele geçirebilir, web sitelerininin üzerinde oynamalar
yapıp kötü amaçlı sitelere yönlendirebilir. XSS zafiyetini JSP ve ASP.NET gibi araçlar ile
tespit edilmektedir.
8)Insecure Deserialization (Güvensiz Serileştirme)
Bu zafiyet bir endüstri anketinin sonucunda ilk 10'a girmiştir. Saldırganlar
tarafından gelen güvenli olmayan zararlı inputun desarialization olması sonucunda
oluşur. Saldırıları ve ayrıcalık yükseltme saldırıları dahil olmak üzere saldırıları
gerçekleştirmek için kullanılabilir.
9)Using Components with Known Vulnerabilities (Bilinen Güvenlik Açıklarına Sahip Bileşenleri Kullanma)
Bu sorun diğerlerinin dışında bir endüstri anketine göre ilk 10'a girmeyi
haketmiştir. Yazılım modülleri gibi bileşen uygulaması ile aynı maktıkta işlev
görür. Saldırganlar tarafından gelen zararlı inputun deserailazitaion olması
sonucu oluşmaktadır. Bu zafiyet zayıflatabilir ve çeşitli saldırılara ve etkilere
olanak sağlayabilir.
10)Insufficient Logging & Monitoring(Yetersiz Günlük Kaydı ve İzleme)
Saldırganların sistemlere daha fazla saldırarak kalıcılığı sürdirmesine ve
verileri kurcalamasına olanak sağlamaktadır. Sızma testlerinin takip günlüklerini incelemek,
saldırganların vermiş olabilecek zararları titizlik ile kaydedilmesi gerekir.
-
