Web Application Abuses ( Web Uygulama Açıkları )

Web Gelişimi

1. Statik içerik: - Sunucu, insanlar tarafından oluşturulan web sayfalarını sunar.
   
   
2. Sunucu tarafı kodu ile dinamik içerik: - Sunucu, kullanıcıdan alınan veriyi ve sunucuda yürütülen kodu kullanarak bir veritabanını temel alarak web sayfaları oluşturur.
   Ör. - CGI betikleri (Perl, Python, PHP, Ruby, Java, ASP, vb.)
   
   
3. İstemci tarafı kodu ile dinamik içerik: - Web sayfasına gömülü kod tarayıcıda yürütülür ve web sayfasını veri yapısı olarak değiştirebilir (Etki Alanı Nesne Modeli = DOM)
   Örn; JavaScript, VBScript, Active X denetimleri, Java uygulamaları
   
   
4. AJAX (Eşzamansız JavaScript ve XML): - Tarayıcı ve uzak sunucular arasında iletişim kurarak sayfa güncelleme çerçevesi.

Saldırı Yüzeyi
Web uygulamalarının geniş bir saldırı yüzeyi = kötüye kullanılabilecek güvenlik açıkları içerebilecek yerler var. Tek korumalı kapılı bir kasayı korumak, birçok kapı ve pencereye sahip bir binadan daha kolaydır.

• İstemci tarafı yüzeyi: - form girişleri (gizli alanlar dahil), çerezler, başlıklar, sorgu parametreleri, yüklenen dosyalar, mobil kod
• Sunucu saldırı yüzeyi: web hizmeti yöntemleri, veritabanları
• AJAX saldırı yüzeyi: yukarıdakilerin birliği

Bunlar altı kategoriye ayrıldı:

1. Bozuk Kimlik Doğrulama (% 62) - Bu güvenlik açığı, uygulamanın saldırganın kullanıcı adı ve parolaları tahmin etmesini ve böylece kaba kuvvet saldırısı başlatmasını sağlayan oturum açma mekanizmasıyla ilgilidir.
   
   
2. Bozuk Erişim Kontrolleri (% 71) - Uygulama, hassas bilgilere erişimi düzgün bir şekilde koruyamaz. Saldırgan diğer kullanıcıların kişisel bilgilerini görüntüleyebilir.
   
   
3. SQL Enjeksiyonu (% 32) - Bu, saldırganın uygulamaya rasgele girdi göndermesine ve uygulamanın arka uç veritabanına müdahale etmesine olanak tanır. Saldırgan, uygulamadaki verileri değiştirebilir veya bu verileri alabilir veya veritabanındaki komutları yürütebilir.
   
   
4. Siteler Arası Komut Dosyası Oluşturma (% 94) - Bu güvenlik açığı, saldırganın uygulamaya kötü amaçlı javascript girmesine ve verilerine erişmesine veya bunlara karşı başka saldırılar gerçekleştirmesine olanak tanır.
   
   
5. Bilgi Sızıntısı (% 78) - Bu durumda, uygulama, uygulamayı hedeflerken saldırgan için yararlı olabilecek hassas verileri veya bilgileri gösterir.
   
   
6. Siteler Arası İstek Sahteciliği (% 92) - Bu, saldırganın diğer kullanıcı adına uygulamada kötü amaçlı ve istenmeyen eylemler oluşturmasına olanak tanır.

OWASP İlk 10 - 2013 Sürüm Adayı, 2010 sürümüne kıyasla aşağıdaki değişiklikleri içerir:

• A1 Enjeksiyonu
• A2 Kırık Kimlik Doğrulama ve Oturum Yönetimi (eski adıyla A3 idi)
• A3 Siteler Arası Komut Dosyası Oluşturma (XSS) (eski adıyla A2)
• A4 Güvenli Olmayan Doğrudan Nesne Referansları
• A5 Güvenlik Yanlış Yapılandırması (eski adıyla A6 idi)
• A6 Hassas Veri Maruziyeti (eski A7 Güvensiz Şifreleme Depolama ve eski A9 Yetersiz Taşıma Katmanı Koruması ile birleştirildi)
• A7 Eksik İşlev Düzeyinde Erişim Kontrolü (eski A8'in URL Erişimini Kısıtlamaması olarak yeniden adlandırıldı / genişletildi)
• A8 Siteler Arası İstek Sahteciliği (CSRF) (eski adıyla A5 idi)
• A9 Bilinen Güvenlik Açığı Bileşenlerini Kullanma (yeni ancak eski A6 - Güvenlik Yanlış Yapılandırmasının bir parçasıydı)
• A10 Onaylanmamış Yönlendirmeler ve Yönlendirmeler

 

Web Gelişimi

1. Statik içerik: - Sunucu, insanlar tarafından oluşturulan web sayfalarını sunar.
   
   
2. Sunucu tarafı kodu ile dinamik içerik: - Sunucu, kullanıcıdan alınan veriyi ve sunucuda yürütülen kodu kullanarak bir veritabanını temel alarak web sayfaları oluşturur.
   Ör. - CGI betikleri (Perl, Python, PHP, Ruby, Java, ASP, vb.)
   
   
3. İstemci tarafı kodu ile dinamik içerik: - Web sayfasına gömülü kod tarayıcıda yürütülür ve web sayfasını veri yapısı olarak değiştirebilir (Etki Alanı Nesne Modeli = DOM)
   Örn; JavaScript, VBScript, Active X denetimleri, Java uygulamaları
   
   
4. AJAX (Eşzamansız JavaScript ve XML): - Tarayıcı ve uzak sunucular arasında iletişim kurarak sayfa güncelleme çerçevesi.

Saldırı Yüzeyi
Web uygulamalarının geniş bir saldırı yüzeyi = kötüye kullanılabilecek güvenlik açıkları içerebilecek yerler var. Tek korumalı kapılı bir kasayı korumak, birçok kapı ve pencereye sahip bir binadan daha kolaydır.

• İstemci tarafı yüzeyi: - form girişleri (gizli alanlar dahil), çerezler, başlıklar, sorgu parametreleri, yüklenen dosyalar, mobil kod
• Sunucu saldırı yüzeyi: web hizmeti yöntemleri, veritabanları
• AJAX saldırı yüzeyi: yukarıdakilerin birliği

Bunlar altı kategoriye ayrıldı:

1. Bozuk Kimlik Doğrulama (% 62) - Bu güvenlik açığı, uygulamanın saldırganın kullanıcı adı ve parolaları tahmin etmesini ve böylece kaba kuvvet saldırısı başlatmasını sağlayan oturum açma mekanizmasıyla ilgilidir.
   
   
2. Bozuk Erişim Kontrolleri (% 71) - Uygulama, hassas bilgilere erişimi düzgün bir şekilde koruyamaz. Saldırgan diğer kullanıcıların kişisel bilgilerini görüntüleyebilir.
   
   
3. SQL Enjeksiyonu (% 32) - Bu, saldırganın uygulamaya rasgele girdi göndermesine ve uygulamanın arka uç veritabanına müdahale etmesine olanak tanır. Saldırgan, uygulamadaki verileri değiştirebilir veya bu verileri alabilir veya veritabanındaki komutları yürütebilir.
   
   
4. Siteler Arası Komut Dosyası Oluşturma (% 94) - Bu güvenlik açığı, saldırganın uygulamaya kötü amaçlı javascript girmesine ve verilerine erişmesine veya bunlara karşı başka saldırılar gerçekleştirmesine olanak tanır.
   
   
5. Bilgi Sızıntısı (% 78) - Bu durumda, uygulama, uygulamayı hedeflerken saldırgan için yararlı olabilecek hassas verileri veya bilgileri gösterir.
   
   
6. Siteler Arası İstek Sahteciliği (% 92) - Bu, saldırganın diğer kullanıcı adına uygulamada kötü amaçlı ve istenmeyen eylemler oluşturmasına olanak tanır.

OWASP İlk 10 - 2013 Sürüm Adayı, 2010 sürümüne kıyasla aşağıdaki değişiklikleri içerir:

• A1 Enjeksiyonu
• A2 Kırık Kimlik Doğrulama ve Oturum Yönetimi (eski adıyla A3 idi)
• A3 Siteler Arası Komut Dosyası Oluşturma (XSS) (eski adıyla A2)
• A4 Güvenli Olmayan Doğrudan Nesne Referansları
• A5 Güvenlik Yanlış Yapılandırması (eski adıyla A6 idi)
• A6 Hassas Veri Maruziyeti (eski A7 Güvensiz Şifreleme Depolama ve eski A9 Yetersiz Taşıma Katmanı Koruması ile birleştirildi)
• A7 Eksik İşlev Düzeyinde Erişim Kontrolü (eski A8'in URL Erişimini Kısıtlamaması olarak yeniden adlandırıldı / genişletildi)
• A8 Siteler Arası İstek Sahteciliği (CSRF) (eski adıyla A5 idi)
• A9 Bilinen Güvenlik Açığı Bileşenlerini Kullanma (yeni ancak eski A6 - Güvenlik Yanlış Yapılandırmasının bir parçasıydı)
• A10 Onaylanmamış Yönlendirmeler ve Yönlendirmeler

eline sağlık

 

güzel

 

Web Gelişimi

1. Statik içerik: - Sunucu, insanlar tarafından oluşturulan web sayfalarını sunar.
   
   
2. Sunucu tarafı kodu ile dinamik içerik: - Sunucu, kullanıcıdan alınan veriyi ve sunucuda yürütülen kodu kullanarak bir veritabanını temel alarak web sayfaları oluşturur.
   Ör. - CGI betikleri (Perl, Python, PHP, Ruby, Java, ASP, vb.)
   
   
3. İstemci tarafı kodu ile dinamik içerik: - Web sayfasına gömülü kod tarayıcıda yürütülür ve web sayfasını veri yapısı olarak değiştirebilir (Etki Alanı Nesne Modeli = DOM)
   Örn; JavaScript, VBScript, Active X denetimleri, Java uygulamaları
   
   
4. AJAX (Eşzamansız JavaScript ve XML): - Tarayıcı ve uzak sunucular arasında iletişim kurarak sayfa güncelleme çerçevesi.

Saldırı Yüzeyi
Web uygulamalarının geniş bir saldırı yüzeyi = kötüye kullanılabilecek güvenlik açıkları içerebilecek yerler var. Tek korumalı kapılı bir kasayı korumak, birçok kapı ve pencereye sahip bir binadan daha kolaydır.

• İstemci tarafı yüzeyi: - form girişleri (gizli alanlar dahil), çerezler, başlıklar, sorgu parametreleri, yüklenen dosyalar, mobil kod
• Sunucu saldırı yüzeyi: web hizmeti yöntemleri, veritabanları
• AJAX saldırı yüzeyi: yukarıdakilerin birliği

Bunlar altı kategoriye ayrıldı:

1. Bozuk Kimlik Doğrulama (% 62) - Bu güvenlik açığı, uygulamanın saldırganın kullanıcı adı ve parolaları tahmin etmesini ve böylece kaba kuvvet saldırısı başlatmasını sağlayan oturum açma mekanizmasıyla ilgilidir.
   
   
2. Bozuk Erişim Kontrolleri (% 71) - Uygulama, hassas bilgilere erişimi düzgün bir şekilde koruyamaz. Saldırgan diğer kullanıcıların kişisel bilgilerini görüntüleyebilir.
   
   
3. SQL Enjeksiyonu (% 32) - Bu, saldırganın uygulamaya rasgele girdi göndermesine ve uygulamanın arka uç veritabanına müdahale etmesine olanak tanır. Saldırgan, uygulamadaki verileri değiştirebilir veya bu verileri alabilir veya veritabanındaki komutları yürütebilir.
   
   
4. Siteler Arası Komut Dosyası Oluşturma (% 94) - Bu güvenlik açığı, saldırganın uygulamaya kötü amaçlı javascript girmesine ve verilerine erişmesine veya bunlara karşı başka saldırılar gerçekleştirmesine olanak tanır.
   
   
5. Bilgi Sızıntısı (% 78) - Bu durumda, uygulama, uygulamayı hedeflerken saldırgan için yararlı olabilecek hassas verileri veya bilgileri gösterir.
   
   
6. Siteler Arası İstek Sahteciliği (% 92) - Bu, saldırganın diğer kullanıcı adına uygulamada kötü amaçlı ve istenmeyen eylemler oluşturmasına olanak tanır.

OWASP İlk 10 - 2013 Sürüm Adayı, 2010 sürümüne kıyasla aşağıdaki değişiklikleri içerir:

• A1 Enjeksiyonu
• A2 Kırık Kimlik Doğrulama ve Oturum Yönetimi (eski adıyla A3 idi)
• A3 Siteler Arası Komut Dosyası Oluşturma (XSS) (eski adıyla A2)
• A4 Güvenli Olmayan Doğrudan Nesne Referansları
• A5 Güvenlik Yanlış Yapılandırması (eski adıyla A6 idi)
• A6 Hassas Veri Maruziyeti (eski A7 Güvensiz Şifreleme Depolama ve eski A9 Yetersiz Taşıma Katmanı Koruması ile birleştirildi)
• A7 Eksik İşlev Düzeyinde Erişim Kontrolü (eski A8'in URL Erişimini Kısıtlamaması olarak yeniden adlandırıldı / genişletildi)
• A8 Siteler Arası İstek Sahteciliği (CSRF) (eski adıyla A5 idi)
• A9 Bilinen Güvenlik Açığı Bileşenlerini Kullanma (yeni ancak eski A6 - Güvenlik Yanlış Yapılandırmasının bir parçasıydı)
• A10 Onaylanmamış Yönlendirmeler ve Yönlendirmeler

Eline Sağlık

 

Web Gelişimi

1. Statik içerik: - Sunucu, insanlar tarafından oluşturulan web sayfalarını sunar.
   
   
2. Sunucu tarafı kodu ile dinamik içerik: - Sunucu, kullanıcıdan alınan veriyi ve sunucuda yürütülen kodu kullanarak bir veritabanını temel alarak web sayfaları oluşturur.
   Ör. - CGI betikleri (Perl, Python, PHP, Ruby, Java, ASP, vb.)
   
   
3. İstemci tarafı kodu ile dinamik içerik: - Web sayfasına gömülü kod tarayıcıda yürütülür ve web sayfasını veri yapısı olarak değiştirebilir (Etki Alanı Nesne Modeli = DOM)
   Örn; JavaScript, VBScript, Active X denetimleri, Java uygulamaları
   
   
4. AJAX (Eşzamansız JavaScript ve XML): - Tarayıcı ve uzak sunucular arasında iletişim kurarak sayfa güncelleme çerçevesi.

Saldırı Yüzeyi
Web uygulamalarının geniş bir saldırı yüzeyi = kötüye kullanılabilecek güvenlik açıkları içerebilecek yerler var. Tek korumalı kapılı bir kasayı korumak, birçok kapı ve pencereye sahip bir binadan daha kolaydır.

• İstemci tarafı yüzeyi: - form girişleri (gizli alanlar dahil), çerezler, başlıklar, sorgu parametreleri, yüklenen dosyalar, mobil kod
• Sunucu saldırı yüzeyi: web hizmeti yöntemleri, veritabanları
• AJAX saldırı yüzeyi: yukarıdakilerin birliği

Bunlar altı kategoriye ayrıldı:

1. Bozuk Kimlik Doğrulama (% 62) - Bu güvenlik açığı, uygulamanın saldırganın kullanıcı adı ve parolaları tahmin etmesini ve böylece kaba kuvvet saldırısı başlatmasını sağlayan oturum açma mekanizmasıyla ilgilidir.
   
   
2. Bozuk Erişim Kontrolleri (% 71) - Uygulama, hassas bilgilere erişimi düzgün bir şekilde koruyamaz. Saldırgan diğer kullanıcıların kişisel bilgilerini görüntüleyebilir.
   
   
3. SQL Enjeksiyonu (% 32) - Bu, saldırganın uygulamaya rasgele girdi göndermesine ve uygulamanın arka uç veritabanına müdahale etmesine olanak tanır. Saldırgan, uygulamadaki verileri değiştirebilir veya bu verileri alabilir veya veritabanındaki komutları yürütebilir.
   
   
4. Siteler Arası Komut Dosyası Oluşturma (% 94) - Bu güvenlik açığı, saldırganın uygulamaya kötü amaçlı javascript girmesine ve verilerine erişmesine veya bunlara karşı başka saldırılar gerçekleştirmesine olanak tanır.
   
   
5. Bilgi Sızıntısı (% 78) - Bu durumda, uygulama, uygulamayı hedeflerken saldırgan için yararlı olabilecek hassas verileri veya bilgileri gösterir.
   
   
6. Siteler Arası İstek Sahteciliği (% 92) - Bu, saldırganın diğer kullanıcı adına uygulamada kötü amaçlı ve istenmeyen eylemler oluşturmasına olanak tanır.

OWASP İlk 10 - 2013 Sürüm Adayı, 2010 sürümüne kıyasla aşağıdaki değişiklikleri içerir:

• A1 Enjeksiyonu
• A2 Kırık Kimlik Doğrulama ve Oturum Yönetimi (eski adıyla A3 idi)
• A3 Siteler Arası Komut Dosyası Oluşturma (XSS) (eski adıyla A2)
• A4 Güvenli Olmayan Doğrudan Nesne Referansları
• A5 Güvenlik Yanlış Yapılandırması (eski adıyla A6 idi)
• A6 Hassas Veri Maruziyeti (eski A7 Güvensiz Şifreleme Depolama ve eski A9 Yetersiz Taşıma Katmanı Koruması ile birleştirildi)
• A7 Eksik İşlev Düzeyinde Erişim Kontrolü (eski A8'in URL Erişimini Kısıtlamaması olarak yeniden adlandırıldı / genişletildi)
• A8 Siteler Arası İstek Sahteciliği (CSRF) (eski adıyla A5 idi)
• A9 Bilinen Güvenlik Açığı Bileşenlerini Kullanma (yeni ancak eski A6 - Güvenlik Yanlış Yapılandırmasının bir parçasıydı)
• A10 Onaylanmamış Yönlendirmeler ve Yönlendirmeler

A