WEB ÇÖZÜMLERİ : Web Güvenliğinin Temel Unsurları

 

Domain Faktörü Domain alan adıdır.Domain firmasıda bu alan adını tahsis ettiğiniz firmadır. Çoğu kişi tehlikenin farkında olmadan güvenli olmayan firmalardan alan adı satın almakta.Bu tarz firmalardan alan adı aldığınız takdirde risk altında olabilirsiniz.Eğer saldırıyı gerçekleştircek kişi sizi hacklemek istiyorsa bakacağı yerlerden biride sizin alan adınızı aldığınız domain firması olacaktır.Domain firmasında tespit edeceği bir açık sayesinde sisteme erişim sağlayabilir.Panel üzerinden sizin websitenizin name serverlarını değiştirerek sitenizi başka bir adrese yönlendirerek hack edebilir.Çoğu büyük oluşum ve kuruluş bu şekilde hacklenmiştir.Bu hususu göz önüne alarak domain almanız gerekmektedir. Hosting Faktörü emli konulardan bir diğeri ise hosting.Peki nedir bu hosting?Sizin websiteniz için dosyalarının barınacağı bir alana ihtiyaç vardır.Bu alan hostingler tarafından sağlanır.Sizde kullanacağınız uygulamalara göre hosting seçersiniz.Windows tabanlı ve Unix tabanlı hostingler vardır.Siz asp,aspx,mssql,frontpage vb windows hizmetleri kullancaksanız windows hosting seçersiniz ama php,mysql gibi şeyler kullancaksanız Unix sistemler daha çok tercih edilmektedir.Unix sistemler daha tasarruflu,güvenli stabildir. Hosting firmalarıda önemli bir risk teşkil etmektedir.Sizle aynı serverda barınan başka siteler olduğunu varsayarsak sizin websiteniz güvenli olsa dahi sizle aynı serverdaki sitelere sızılıp daha sonra sizin websitenizde hacklenebilir.Bu yüzden önünüze gelen hosting firmasından host almayın araştırın vps alıp kendi websitenizi barındırabilirsiniz. Server güvenliğine biraz daha değinelim.Saldırgan server hakkında yeterli bilgi topladıktan sonra ve serverdaki uygulamaları tespit ettikten sonra banner grabbing ile bu uygulamaların sürümlerini öğrenebilir daha sonra bu sürümlerde güvenlik açığı olup olmadığını araştırabilir.Açık varsa ve giderilmediyse uygun exploit ile sisteme erişim sağlayabilir. Sitede Kullanılan Yardımcı Kodlar Websitenize her yerden banner,reklam javascript kodu gibi yardımcı kodlar çekmeyin.Sizin çektiğiniz yerden bu kodlar suistimal edilebilir ve sizi risk altında bırakabilirler. Güvenli Kodlama Kendi sistemeni kendi kodlayan arkadaşlarında kodlamayı ciddiye alması gerekmektedir.Kodlarken kullanıcıdan alınacak her türlü veri göz önüne alınıp olayın farklı boyutlarıda düşünülmelidir.Gelen veriler uygun filtrelerden geçirilmeden işleme alınmamalıdır.Günümüzde filtresiz veri girişinden dolayı Sql İnjection ve Xss açıklarına bolca rastlamaktayız.Yavaş ve derinden ilerleyen bir diğer açık ise CSRF(Cross Site Request Forgery).Bu güvenlik açığıda özellikle yetki ve erişim kontrolü yapılmayan sistemleree kendini göstermektedir.İşlem yaptığınız sayfalarda token kontrolü yapmadan işlem yapılmaması gerekmektedir.Mesela siz sitede aktifsiniz size zararlı kod olan bir sayfayı yedirdiklerinde eğer yeterli kontrol ve koruma yoksa bu sayfadaki kontrol sizin aktif olan üyeliğiniz üzerinden sitede gerçekleşecektir.Ayrıca parametreli olarak dosya dahil edilen durumlarda değişkenlere değer atamalısınız ve kullanıcının bu verileri suistimal edebileceğini göz önüne alarak gerekli önlemleri almalısınız. İnsan Faktörü Ne kadar önemsiz gibi gözüksede çevremize baktığımızda sosyal mühendisliğin nelere yol açabileceğini görebiliyoruz.Çoğu sistem yeterli güvenlik önlemini alsada sosyal mühendislikten dolayı hack edilebilmektedir.Güvenliğin en zayıf halkası insandır prensibinden yola çıkan hacker'lar sizide hedef alabilir.Bu tarz durumlarla karşılaşmamak için sosyal mühendislik alanında kendinize önlemler almalısınız. Fiziksel Güvenlik Tam olarak web güvenliğine dahil olmasada değinmekte fayda var.Kritik öneme sahip bilgi işlem ağlarının bulunduğu yerlerin güvenliğinin sağlanması fiziksel güvenlik kapsamındadır.Güvenlik kamera sistemlerinin,bilgi işlem ağının bulunduğu odanın kapısının kilit güvenliği gibi unsurlar fiziksel güvenlik alanındadır.Ayrıca dinleme cihazları,lens bulucu,lock pick set gibi alet ve gereçler bu tarz saldırılarda kullanılan unsurlardandır.Fiziksel güvenlik faktörüde ciddiye alınmalıdır.

SAVAŞ KIRÇOVALI

ÖZEL BÜRO HACK TİMİ

[publicize twitter]

[publicize facebook]

[category teknoloji]

[tags WEB ÇÖZÜMLERİ, Web Güvenliği, Temel Unsurlar]