OWASP, Açılımı ‘Open Web Application Security Project’ olarak bilinen Web uygulamarındaki güvenlik açıklarının kapatılması ve uygulamarın güvenli bir şekilde korunması amacıyla çalışan özgür bir topluluktur.
OWASP Top 10 ise her 3 ya da 4 yılda bir en çok karşılaşılan
10 güvenlik açığı türünü dokümante eden bir listedir.
OWASP Top 10 2017 ve OWASP Top 10 2021 arasındaki farklara örnek olarak aşağıda bulunan tabloya göz atabiliriz.
- A1 Broken Access Control (Bozuk Erişim Kontrolü) (Portswigger Lab)
- A2 Cryptographic Failures (Şifreleme Hataları) (Portswigger Lab)
- A3 Injection (Enjeksiyon) (Portswigger Lab)
- A4 Insecure Design (Güvensiz Tasarım)
- A5 Security Misconfiguration (Güvensiz Yapılandırma)
- A6 Vulnerable and Outdated Components (Zaafiyetli ve Eski Bileşenler)
- A7 Identification and Authentication Failures (Tanımlama ve Kimlik Doğrulama Hataları) (Portswigger Lab)
- A8 Software and Data Integrity Failures (Yazılım ve Veri Bütünlüğü Hataları)
- A9 Security Logging and Monitoring Failures (Güvenli Loglama ve İzleme Hataları)
- A10 Server-Side Request Forgery (Sunucu Taraflı İstek Sahteciliği) (Portswigger Lab)
A1 – Broken Access Control
Broken Access Control, normal bir kullanıcının yetkisi
dışında yönetici haklarına erişebilmesine sebebiyet verir.
Uygulamanın türüne bağlı olarak hassas verilerin ifşası,
dosya yükleme/düzenleme/silme gibi aksiyonları alabilme yetkinliğine sahip
olabilir.
Örnek Lab ortamı : Portswigger
Lab
A2 – Cryptographic Failures
Genellikle bu zafiyet SQL ya da kullanılan ağ servislerinin
olması gerektiği gibi şifrelenmemesi sebebiyle saldırganlar uzaktan erişim
sağlayabilir ve hassas veriler ifşa olabilir.
Örnek Lab ortamı : Portswigger
Lab
A3 – Injection
Genellikle kullanıcıdan alınan girdilerin düzgün bir şekilde
kontrol edilmemesi sebebiyle çeşitli zaafiyetlere sebebiyet verebilir. Örneğin
giriş sayfasında bulunan ‘kullanıcı adı’ parametresine saldırganın gireceği
komut sunucu üzerinde çalışabilir, saldırgana uzaktan erişim sağlayabilir veya
sisteme zarar verebilir.
Örnek Lab ortamı : Portswigger
Lab
A4 – Insecure Design
Tasarım ve mimari kusurlarla (flaw) ilgili risklere
odaklanmaktadır. Hata mesajları geliştirme fazında çok faydalıdır ancak bu
kodlar son kullanıcının erişebildiği sisteme aktarılırken gereksiz hata
mesajları temizlenmelidir. Çünkü içerisinde hassas verileri de
içerebilmektedir. Bu hassas veriler kötü niyetli aktörler rahatlıkla
kullanabilmektedirler. Düz metin (plain text) şifreleri de aynı şekilde Insecure
Design kusurudur
A5 – Security Misconfiguration
Yanlış güvenlik yapılandırması ya da güvenlik ayarlarının
varsayılan olarak tutulması güvenlik riski oluşturmaktadır.
Aynı zamanda kullanılan uygulamaların güncel tutulmasıda
önemlidir.
A6 – Vulnerable and Outdated Components
Frameworkler, kütüphaneler ve diğer bileşenler uygulama ile aynı ayrıcalıkta çalışır. Eğer bir bileşen savunmasız kalır ve zaafiyetliyse sunucunun kötü niyetli kişiler tarafından ele geçirilmesi, hassas verinin ifşa olması ya da veri kayıplarına sebep olabilir.
A7 – Identification and Authentication Failures
Bir saldırganın sistemdeki herhangi bir hesabın kontrolünü
ele geçirmek için manuel veya otomatik yöntemler kullanmasına veya daha kötüsü
sistem üzerinde tam kontrol sağlamasına izin verebilir.
Örnek Lab ortamı : Portswigger Lab
A8 – Software and Data Integrity Failures
Uygulama tarafından kullanılan kritik veriler doğrulanmazsa
saldırganlar bunlara müdahale edebilir ve yazılıma kötü amaçlı kodun eklenmesi
gibi ciddi sorunlara yol açabilir.
A9 – Security Logging and Monitoring Failures
Securiy Logging And Monitoring sebebiyle doğrudan oluşacak
bir güvenlik riski yoktur ancak log tutma ve kontrol etmek oldukça kritiktir.
Log eksikliği, hataların çözülmesi ve bir olay sonrası olayın kim tarafından ve
hangi uç noktadan gerçekleştiği gibi konularda ek bilgi sağlayarak hızlı
aksiyon alınmasına katkı sağlar. İşlevsel bir kayıt ve izleme sistemine sahip
olmak çok önemlidir, aksi takdirde hatalar uzun süre fark edilmeyebilir ve çok
daha fazla hasara neden olabilir.
A10 – Server-Side Request Forgery (SSRF)
Uygulamayı, saldırgan tarafından hazırlanmış bir isteği
beklenmeyen bir hedefe göndermeye zorlar.
Bu saldırı hassas ve yönetimsel fonksiyonlara erişmekle
sonuçlanabilir. SSRF saldırılarından korunmanın yolu white listing (beyaz
liste) ile kullanıcıdan gelen veriyi kontrol ederek dış kaynaklara erişimi
engellemektir.
Örnek Lab ortamı : Portswigger Lab
Yazan:
Berat Uğur Demirkan | Siber Güvenlik Uzmanı
Hiç yorum yok:
Yorum Gönder