OWASP Top 10 Nedir?

Geliştiriciler ve web uygulaması güvenliği için standart bir farkındalık belgesidir. Web uygulamaları için en kritik güvenlik riskleri konusunda geniş bir fikir birliğine sahiptir.

Şirketler bu belgeyi kabul etmeli ve web uygulamalarının bu riskleri en aza indirmesini sağlama sürecine başlamalıdır. OWASP Top 10'u kullanmak, kuruluşunuzdaki yazılım geliştirme kültürünü daha güvenli bir kod üreten bir yazılım geliştirme kültürünü değiştirmeye yönelik belki de en etkili ilk adımdır.

Top 10 Web Uygulaması Güvenlik Riskleri

Enjeksiyon (Injection)

SQL, NOSQL, OS ve LDAP enjeksiyonu gibi enjeksiyon kusurları, güvenilmeyen veriler bir komutun veya sorgunun bir parçası olarak bir yorumlayıcıya gönderildiğinde oluşur. Saldırganın düşmanca verileri, yorumlayıcıyı istenmeyen komutları çalıştırması veya uygun yetkilendirme olmadan verilere erişmesi olarak açıklanabilir.

Bozuk Kimlik Doğrulama (Broken Authentication)

Kimlik doğrulama ve oturum yönetimi ile ilgili uygulama işlevleri genellikle yanlış uygulanır, saldırganların parolaları, anahtarları veya Oturum belirteçlerini tehlikeye atmasına veya diğer kullanıcıların kimliklerini geçici veya kalıcı olarak ele geçirmek için diğer uygulama kusurlarından yararlanılır.

Hassas Veri Pozlama (Sensitive Data Exposure)

Birçok web uygulaması ve API, finansal, sağlık hizmetleri ve KTB gibi hassas verileri doğru şekilde korumaz. Saldırganlar, kredi kartı dolandırıcılığı, kimlik hırsızlığı veya diğer suçları yürütmek için bu tür zayıf korunan verileri çalabilir veya değiştirebilir. Hassas veriler, dinlenme sırasında veya geçiş sırasında şifreleme gibi ekstra koruma olmadan tehlikeye girebilir ve tarayıcı ile değiştirildiğinde özel önlemler gerektirir.

XML dış Varlıklar (XXE).(XML External Entities)

Birçok eski veya kötü yapılandırılmış XML işlemciler XML belgeleri içinde dış varlık başvuruları değerlendirir. Dış varlıklar, dosya URI işleyicisi, dahili dosya paylaşımları, dahili bağlantı noktası taraması, uzaktan kod yürütme ve hizmet reddi saldırılarını kullanarak dahili dosyaları erişip yayınlamak için kullanılabilir.

Bozuk Erişim Kontrolü (Broken Access Control)

Kimliği doğrulanmış kullanıcıların yapmasına izin verilen kısıtlamalar genellikle doğru şekilde uygulanmaz. Saldırganlar, diğer kullanıcıların hesaplarına erişim, hassas dosyaları görüntüleme, diğer kullanıcıların verilerini değiştirme, erişim haklarını değiştirme vb.gibi yetkisiz işlevlere ve/veya verilere erişmek için bu kusurlardan yararlanabilir.

Güvenlik Yanlış Yapılandırma (Security Misconfiguration)

Güvenlik yanlış yapılandırma en sık görülen konudur. Bu genellikle güvensiz varsayılan yapılandırmalar, eksik veya geçici yapılandırmalar, açık bulut depolama alanı, yanlış yapılandırılmış HTTP üstbilgileri ve hassas bilgileri içeren ayrıntılı hata mesajlarının bir sonucudur. Sadece tüm işletim sistemleri, çerçeveler, kütüphaneler ve uygulamalar güvenli bir şekilde yapılandırılmalıdır, ancak zamanında düzeltilmeli / yükseltilmelidir.

Siteler arası komut dosyası XSS (Cross-Site Scripting XSS)

XSS kusurları, bir uygulamanın doğru doğrulama veya kaçmadan yeni bir web sayfasında güvenilmeyen veriler içerdiğinde veya varolan bir web sayfasını HTML veya JavaScript oluşturabilen bir tarayıcı API'si kullanarak kullanıcı tarafından sağlanan verilerle güncelleştirdiğinde ortaya çıkar. XSS saldırganların kullanıcı oturumları kaçırmak web sitelerini tahrif, ya da kötü niyetli sitelere kullanıcıyı yönlendirebilir kurbanın tarayıcısında komut dosyalarını yürütmek için kullanılabilir. Sadece alert yazdırabildiğimizi sanan bir yığın yaratttılar oysaki :) )

Güvensiz Serializasyon (Insecure Desarialization)

Güvensiz serileştirme genellikle uzaktan kod yürütülmesine yol açar. Seri kaldırma kusurları uzaktan kod yürütülmesine neden olmasa bile, yeniden oynatma saldırıları, enjeksiyon saldırıları ve yetki yükseltme saldırıları da dahil olmak üzere saldırılar gerçekleştirmek için kullanılabilirler.

Bilinen güvenlik açıklarına sahip bileşenleri kullanma (Using Comoınents with Know Vulnerabilities)

Kütüphaneler, çerçeveler ve diğer yazılım modülleri gibi bileşenler, uygulama ile aynı ayrıcalıklarla çalışır. Savunmasız bir bileşen kullanılıyorsa, böyle bir saldırı ciddi veri kaybını veya sunucu devralmayı kolaylaştırabilir. Bilinen güvenlik açıklarına sahip bileşenleri kullanan uygulamalar ve API'ler, uygulama savunmalarını zayıflatabilir ve çeşitli saldırı ve etkilere neden olabilir.

Yetersiz Günlüğü Ve İzleme (Insufficient Logging & Monitoring)

Yetersiz günlüğe kaydetme ve izleme, olay yanıtıyla eksik veya etkisiz entegrasyon ile birleştiğinde, saldırganların sistemlere daha fazla saldırmasına, daha fazla sisteme dönmesine ve verileri kurcalamasına, çıkarmasına veya yok etmesine izin verir. Çoğu ihlal çalışması, bir ihlali tespit etme zamanının, genellikle iç süreçler veya izleme yerine dış taraflar tarafından tespit edilen 200 günden fazla olduğunu göstermektedir.

Owasp Top 10'u beraber uygulamamız yok mu :) ?

@ykslkrkci tarafından Persona Non Grata için yazılmıştır . Telegram grubumuza katılın.

15 Senede değişmeyen bir şey var mı abi sen söyle ?