Blog

Web uygulamaları için güvenlik faktörü hem bireysel hem de kurumsal kullanımda büyük önem teşkil ediyor. Kurumsal bilgiler haricinde özellikle şirketi için kritik olan verilerin paylaşıldığı, B2B veya B2C şeklinde web üzerinden ticaretin ilerlediği bir yapıda güvenlik çok daha ön plana çıkıyor. Verileri korumak ve çalınmasına karşı önlemleri en üst düzeyde almak gerekmektedir. Sistemlerin olası gerek kod seviyesinde gerek se sistem seviyesinde güvenlik açıklarını içermeyecek şekilde tasarlanması gerekmektedir.

Web uygulamalarının güvenliği neden önemlidir?

Günümüzde birçok işlem dijital kanallar aracılığıyla gerçekleştirilebiliyor. Bunu mümkün kılan web uygulamaları kullanıcıların TC kimlik numarası, iletişim adresleri, telefon numarası, banka bilgileri gibi özel verilerini altyapısında bulunduruyor. Web uygulama açıkları söz konusu olduğunda bu bilgiler kötü amaçlarla kullanılmak üzere ele geçirilebiliyor. Hem kullanıcı güvenini kaybetmemek, hem de kişisel verilerin korunması gibi yasal süreçlere aykırı davranmamak adına olası siber saldırı durumlarına karşı önlem almak gerekiyor.

Hangi durumlar web uygulamaları için tehdit oluşturur?

OWASP (Open Web Application Security Project), yaygın olarak karşılaşılan güvenlik açıklarını yayımlayarak yazılım geliştirme alanına önemli katkılar sunuyor. Saldırganların veri hırsızlığı için yeni yöntemler geliştirmeleri ile güncellenen bu listede web uygulamaları için güvenlik açığı oluşturan unsurlardan öne çıkanlar şu şekildedir:

  • Bozuk Erişim Kontrolü (Broken Access Control): Kişilerin yetkilerinin ve erişim ayrıntılarının tam olarak tanımlanmadığı uygulamalarda saldırganlar farklı hesaplar üzerinden yetkisiz işlemler gerçekleştirebiliyor.
  • Şifreleme Hataları (Cryptographic Failures): Verilerin güçlü bir şekilde şifrelenmemesi, verilere kolay erişim sağlanabilmesine yol açıyor.
  • Enjeksiyon (Injection): Saldırganların sisteme SQL sorgu komutlarını enjekte edebilmesi veri tabanı güvenliği için tehdit oluşturuyor ve istenilen bilgilerin alınabilmesi mümkün oluyor.
  • Güvensiz Tasarım (Insecure Design): Güvenli tasarım kalıplarının kullanılmaması da güvenlik zafiyeti oluşturan öncelikli durumlar arasında yer alıyor.
  • Yanlış Güvenlik Yapılandırması (Security Misconfiguration): Uygulamaların ön tanımlı ayarlarda bırakılması ve uygun güvenlik ayarlarının yapılmaması sonucu saldırganlar ön tanımlı ayarları tahmin ederek sisteme giriş yapabiliyor. Yazılımların güncel tutulmaması da siber tehdit tehlikesini pekiştiren bir etmen oluyor.
  • Savunmasız ve Eski Bileşenler (Vulnerable and Outdated Components): Güncel olmayan bileşenlerin kullanımı yeni güvenlik çözümlerine sahip olmamaya ve dolayısıyla kötü amaçlı yazılımların saldırısına ortam hazırlayabiliyor.
  • Tanımlama ve Kimlik Doğrulama Hataları (Identification and Authentication Failures): Kullanıcıların güvenli kimlik doğrulama işleminde yapılan ihmaller kullanıcı bilgilerini deneme yoluyla ele geçirmeyi olanaklı hâle getiriyor.
  • Yazılım ve Veri Bütünlüğü Hataları (Software and Data Integrity Failures): Veri bütünlüğünün ve verilerin birbiriyle tutarlılığının sağlanamamasından dolayı verilerin değiştirilmesi ve silinmesi oldukça kolaylaşabiliyor. Bu noktada kodları global kod standardı kapsamında kullanmak önem taşıyor.
  • Güvenlik Günlüğü ve İzleme Hataları (Security Logging and Monitoring Failures): Güvenlik günlüğünün olayları düzgün bir şekilde kayıt altına almamasına bağlı olarak saldırı ihtimalleri izlenemeyeceği için hata ayıklamaları yapılamayabiliyor.
  • Sunucu Taraflı İstek Sahteciliği (Server-Side Request Forgery (SSRF): Saldırganın güvenlik açığı olan sunucuya gelen istekleri yönetebilmek için uygulamada kullanılan bir parametreyi değiştirmesi mümkün olabiliyor. SSRF saldırıları ile uygulamaya daha birçok açıdan müdahalede bulunulabiliyor.

Web uygulamalarının güvenliğini sağlamadaki kilit noktalar nelerdir?

Web uygulamalarının güvenliğini sağlamak amacıyla özellikle kimlik doğrulama, yetkilendirme ve oturum yönetimi hususlarında gerekli tüm önlemlerin alınması gerekiyor. Sistemsel ve kodsal çalışmalarda güvenlik bakış açısı ile yaklaşımı oluşturup yapının ona göre dizayn edilmesi gerekmektedir. Sunucu ve tarayıcı arasında şifreli bağlantı oluşturan bir güvenlik protokolü olan SSL sertifikası ile birlikte HTTPS’in kullanımıyla web güvenliği kolayca sağlanabilir.

Web uygulamalarında sızma testi (pentest) neden önemlidir?

Sızma testi, diğer adıyla pentest; uygulamalar için bir güvenlik testi niteliği taşıyor. Bir sistemin saldırı durumunda kendini ne kadar koruyabildiği ve saldırılardan ne düzeyde etkilendiğini belirlemeye yardımcı oluyor. Penetrasyon testi (penetration test) olarak da bilinen bu çalışma sayesinde web uygulama zafiyeti ortadan kaldırılabiliyor. Yine uygulamanın kaynak kodu üzerinde yapılacak olan analiz ile global kod standartlarına uygun bir geliştirme süreci işletilip işletilmediğini öğrenebilirsiniz. Ayrıca analiz sonrasında, kaynak kod üzerinde tespit edilen zafiyetlerle ilgili iyileştirme önerileri de rapor içerisinde yer almaktadır.

Web uygulamalarının güvenliği için tehdit oluşturan çok sayıda faktör olmasına rağmen zaman içerisinde yeni tehlikeler de saptanabiliyor. Web uygulamalarınızın maruz kaldığı ya da kalabileceği tüm tehditleri kontrol altında tutabilmek için Onicorn’un tek bir pakette sizlere sunduğu siber güvenlik hizmetleri hakkında detaylı bilgiye ulaşmak için tıklayın.

Author

admin

Leave a comment

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir