09-01-2015, 09:53 AM
Web uygulamanızı yüklediğiniz sunucuların kendi çaplarında bir takım güvenlik uygulamaları vardır fakat bu uygulamalar sunucuda size ait olan web alanın tamamen güvende olduğu anlamına gelmemelidir.Veritabanınız ile birlikte kullandığınız web programlama dilinin içeriğindeki kodların güvenliğini sağlamak sunucunuzdan önce sizin sorumluluğunuzdadır.Özellikle istemci tarafından çalışan kodları abuse etmek daha mümkün olduğundan,bu tür eylemlere tedbir almak ta kaçınılmaz olmaktadır.
Şimdi, web uygulamalarında en sık karşılaşılan güvenlik açıkları ve açıklardan yapılan saldırılardan bahsedelim:
1-Web Uygulamalarında Sql Sorgularının Değiştirilebilmesi;
Web uygulamalarında bazı bilgilerin tutulabilmesi için sql veritabanları kullanılmaktadır.Uygulama geliştiricileri,bazı durumlarda kullanıcılardan gelen verileri beklenen veri türü ile karşılaştırmayarak sql soruları içinde kullanmaktadırlar.Genel olarak problemler,uygulama geliştiricinin sql sorgularında anlam ifade edebilecek ;UNION gibi kötü niyetli karakterlere karşı bir önlem alınmadığı zaman orataya çıkmaktadır.Bu durum kullanıcıya önceden planlanmamış uygulama düzeyide erişim sağlayabilir.İçinde sql sorgulama barındıran bir çok ürün sql sorguları değiştirilebilmesine (sql injection) karşı savunmasızdır.Saldırganlar sql sorgularını değiştirme tekniklerini web sitelerine ve uygulamalarına zarar vermek amaçlı kullanmaktadırlar.Sql enjeksiyon ile saldırgan bir tablo yaratabilir,değişiklikler yapalabilir,veritabanı üzerinde erişim sağlayabilir beya veritabanı kullanıcısının hakları doğrultusunda sunucuda komut çalıştırabilir.
Çözüm Önerileri :
Uygulamanın tüm bileşenlerinde kullanılan değişkenler için kontroller oluşturulmalı ve değişkene atanması beklenen veri türü ile kullanıcı girdisi karşılaştırılmalıdır.Beklenen girdi türünden farklı karakterler saptanması durumunda, karakterler sql sorgularında anlam ifade etmeyecek biçimde değiştirilmeli ,silinmeli veya kullanıcıya uyarı mesajı döndürülmelidir.Tercihen uygulamanın tamamı için geçerli olacak,değişken türü ve atanabilecek girdi türünü parametre olarak alan ve kontrolleri yaptıktan sonra girdi kabul sonucu üreten sabit bir fonksiyon tercih edilmelidir.
2 - Web Uygulamalarında Çapraz Kod Çalıştırma (Cross Site Scripting) :
Başka siteden kod çalıştırma (cross site scripting) açıkları bir saldırganın hedef web sitesi aracılığıyla site ziyaretçilerinin sisteminde komut çalıştırabilmesine olanak tanımaktadır.Saldırı sonucu olarak site ziyaretçilerinin browserlarında bulunabilecek güvenlik açıklarının kullanılması , JavaScript/ActiveX ve VbScript komutlarının çalıştırılmasını mümkün kılmaktadır.Bu tür komutlar ile kullanıcıya ait site çerezleri alınabilir, kaydedilmiş şifreler çalınabilir veya browser'da bulunabilecek güvenlik açıkları ile kullanıcı sistemi ele geçirebilir.Ayrıca elektronik ticaret veya bankacılık uygulamaları için sahte giriş ekranları oluşturularak ziyaretçilerin yanıltılması ve sonucunda kullanıcıya ait önemli bilgilerin ele geçirilmesi mümkün olabilir.
Çözüm Önerileri :
Uygulamanın tüm bileşenlerinde kullanılan değişkenler için kontroller oluşturulmalı ve değişkene atanması beklenen veri türü ile kullanıcı girdisi karşılaştırılmalıdır.Beklenen girdi türünden farklı karakterler (örn. <>/;()) saptanması durumunda, karakterler anlam ifade etmeyecek şekilde değiştirmeli,silinmeli veya kullanıcıya uyarı mesajı döndürülmelidir.Tercihen uygulamanın tamamı için geçerli olacak ,değişken türü ve atanabilecek girdi türünü parametre olarak alan ve kontrolleri yaptıktan sonra girdi kabul sonucu üreten sabit bir fonksiyon tercih edilmelidir.
Şimdi, web uygulamalarında en sık karşılaşılan güvenlik açıkları ve açıklardan yapılan saldırılardan bahsedelim:
1-Web Uygulamalarında Sql Sorgularının Değiştirilebilmesi;
Web uygulamalarında bazı bilgilerin tutulabilmesi için sql veritabanları kullanılmaktadır.Uygulama geliştiricileri,bazı durumlarda kullanıcılardan gelen verileri beklenen veri türü ile karşılaştırmayarak sql soruları içinde kullanmaktadırlar.Genel olarak problemler,uygulama geliştiricinin sql sorgularında anlam ifade edebilecek ;UNION gibi kötü niyetli karakterlere karşı bir önlem alınmadığı zaman orataya çıkmaktadır.Bu durum kullanıcıya önceden planlanmamış uygulama düzeyide erişim sağlayabilir.İçinde sql sorgulama barındıran bir çok ürün sql sorguları değiştirilebilmesine (sql injection) karşı savunmasızdır.Saldırganlar sql sorgularını değiştirme tekniklerini web sitelerine ve uygulamalarına zarar vermek amaçlı kullanmaktadırlar.Sql enjeksiyon ile saldırgan bir tablo yaratabilir,değişiklikler yapalabilir,veritabanı üzerinde erişim sağlayabilir beya veritabanı kullanıcısının hakları doğrultusunda sunucuda komut çalıştırabilir.
Çözüm Önerileri :
Uygulamanın tüm bileşenlerinde kullanılan değişkenler için kontroller oluşturulmalı ve değişkene atanması beklenen veri türü ile kullanıcı girdisi karşılaştırılmalıdır.Beklenen girdi türünden farklı karakterler saptanması durumunda, karakterler sql sorgularında anlam ifade etmeyecek biçimde değiştirilmeli ,silinmeli veya kullanıcıya uyarı mesajı döndürülmelidir.Tercihen uygulamanın tamamı için geçerli olacak,değişken türü ve atanabilecek girdi türünü parametre olarak alan ve kontrolleri yaptıktan sonra girdi kabul sonucu üreten sabit bir fonksiyon tercih edilmelidir.
2 - Web Uygulamalarında Çapraz Kod Çalıştırma (Cross Site Scripting) :
Başka siteden kod çalıştırma (cross site scripting) açıkları bir saldırganın hedef web sitesi aracılığıyla site ziyaretçilerinin sisteminde komut çalıştırabilmesine olanak tanımaktadır.Saldırı sonucu olarak site ziyaretçilerinin browserlarında bulunabilecek güvenlik açıklarının kullanılması , JavaScript/ActiveX ve VbScript komutlarının çalıştırılmasını mümkün kılmaktadır.Bu tür komutlar ile kullanıcıya ait site çerezleri alınabilir, kaydedilmiş şifreler çalınabilir veya browser'da bulunabilecek güvenlik açıkları ile kullanıcı sistemi ele geçirebilir.Ayrıca elektronik ticaret veya bankacılık uygulamaları için sahte giriş ekranları oluşturularak ziyaretçilerin yanıltılması ve sonucunda kullanıcıya ait önemli bilgilerin ele geçirilmesi mümkün olabilir.
Çözüm Önerileri :
Uygulamanın tüm bileşenlerinde kullanılan değişkenler için kontroller oluşturulmalı ve değişkene atanması beklenen veri türü ile kullanıcı girdisi karşılaştırılmalıdır.Beklenen girdi türünden farklı karakterler (örn. <>/;()) saptanması durumunda, karakterler anlam ifade etmeyecek şekilde değiştirmeli,silinmeli veya kullanıcıya uyarı mesajı döndürülmelidir.Tercihen uygulamanın tamamı için geçerli olacak ,değişken türü ve atanabilecek girdi türünü parametre olarak alan ve kontrolleri yaptıktan sonra girdi kabul sonucu üreten sabit bir fonksiyon tercih edilmelidir.