0 Üye ve 1 Ziyaretçi Konuyu İncelemekte. Aşağı İn :)
Sayfa 1
Konu: Temel Güvenlik Yanılgıları  (Okunma Sayısı: 1451 Kere Okundu.)
« : Şubat 22, 2009, 08:00:35 ÖS »
Avatar Yok

Asortik Hatun
*
Üye No : 3762
Nerden : İzmir
Cinsiyet : Bayan
Konu Sayısı : 13388
Mesaj Sayısı : 22 841
Karizma = 58066


Hackerların, bir tarayıcı penceresini ve birkaç küçük iş hilesini kullanarak, bir Web sayfasına ait veritabanlarına(kredi kartı bilgileri dahil) ulaşabildiği, bu veritabanlarının kopyasını alabildiği veya veritabanlarını tamamen silebildiği bir ortamda, Web yöneticileri ve Internet kullanıcıları halen daha bir takım 'myth'lere(yanılgılara) inanıyor.

Günümüzde standard hal alan güvenlik duvarları(firewall) ve yama yönetimi(patch management) uygulamaları ile r0;networkr1; (ağ güvenliği) çok güvenli bir hal amıştır. Her zaman bir adım önde olmayı hedefleyen hackerlar ise, web sayfalarının kendisine -yani uygulama (kod, veritabanı, sunucu) tarafına- yönelmişlerdir. Uluslararası araştırma kurumlarının araştırmaları da bu sonucu doğrulamaktadır. Bugün, yapılan her beş saldırının dört tanesi web uygulamalarını hedef almaktadır Peki web yoneticilerinin ve kullanıcılarının ne yaplamarı bekleniyor? Web sayfalarının güvenliğini artırmak için, aşağıda verilen beş büyük yanlış inanıştan kaçınmak gerekiyor.

1. "Web sayfası SSL kullanıyor, o zaman güvenlidir."

Kendi başına SSL, bir Web sitesini güvenli kılmaz. Web sitelerinin, sayfaların alt kısımlarına koydukları SSL (küçük kilit) logoları, kullanıcı oturumundaki veri aktarımının uygun şifrelendiğini (encryption) gösterir. SSL, bilgi akışından sonra sayfada saklanan veriyi korumaz. Daha doğrusu; SSL'in, kullanıcı bilgilerinin web sayfalarının veritabanlarında saklanması ile uzaktan yakından ilgisi yoktur. Kişisel bilgiler, veritabanına işlendikten sonra, risk data akışında değil server'dadır. Bu yüzden hackerlar, aradaki veri akışının şifrelenip şifrelenmemesini umursamazlar bile. Onlar için asıl yol, web sayfalarda yer alan kod açıklarından veritabanlarına ve sunuculara erişmek, burada yer alan kullanıcı bilgilerini elde etmektir.

2. "Firewall(Güvenlik Duvarı) Web sitesini koruyor, o zaman sayfa güvenlidir."

Güvenlik duvarları, bir sayfaya yönelen trafiği kontrol ederler ama sayfayı kötü niyetli kod saldırılarından koruma yeterlilikleri yoktur. Bu yüzden; firewall ile korudukları serverlarda yer alan web sayfalarında, web uygulamalarını yoğunlukla kullanan e-ticaret firmaları, bankalar ve başta büyük sanayi kuruluşları olmak üzere e-business süreçleri olan tüm kurumlar saldırılara karşı güvensiz kalıyorlar. Geleneksel ağ güvenliği mantığıyla, r0;iyi trafiğe izin ver, kötüsüne izin vermer1; yolunu izleyen firewall eirişim-kontrol listeleri(ACLs) bir ağdan geçen herşeyi engelleyerek, sadece bir kısım activiteye(Web, e-mail) izin verebilir. Bunun dışındaki tüm trafik firewall tarafından bloke edilir. Hacker tarayıcı satır çubuğundan normal bir kullanıcının sayfayı ziyaret etmesi gibi girer, bu durumda firewall'un bir anlamı kalmaz.

3. "Vulnerability Scanner (Zaafiyet Tarayıcı) herhangi bir güvenlik açığı raporlayamadı, o zaman web sayfası güvenlidir."

Doksanların başından beri kullanılan ve r0;Vulnerability Scannerr1; adıyla anılan araçlar, çok bilinen bir kısım ağ güvenliği açıklarını ortaya çıkarırlar. Bununla birlikte, Web server'da çalışan, açıklarla dolu Web uygulamalarındaki zaafiyetleri tesbit edemezler. Güncel bir zaafiyet tarayıcı, ağ güvenliği açıkları kapsamında önceden bilinen zaafiyetlerin yüzde doksanlık bir kısmını raporlayabilir, ancak uygulama güvenliği konusunda, örneğin bir web sayfasının kendine özgü kodlaması ile ilgili, önceden bilinen standart açıklardan söz edilemez.

4. "Web uygulama güvenliği yazılım geliştiricilerin bir problemidir."

Web sayfasının yazılımını yapan kişinin veya ekibin muhakkak problemde payı vardır ama uygulama güvenliği risklerini ortaya çıkaran birçok faktör onların kontrolü dışında gerçekleşmektedir. Mesela, kaynak kod yazılırken dışardaki sistemlerden alınmış olabilir ve dışardan sağlanan kod ile sonradan geliştirilen / değiştirilen kod birbirine karışmış olabilir. Hatta yazılım geliştiriciler örnek kod veya açık kod kullanabilirler. Yani, bir yazılım projesi için üretilen kod tabanının tek olduğu veya birbirine karışan kodların güvenli olup olmadığı hiç bir zaman kesin değildir. Mesela iki yazılımcının ayrı ayrı geliştirdiği iki yazılım kendi başlarına çok güvenli olabilirler. Ancak ikisi birer modül gibi birbirine veya ortak bir projeye entegre edilirse, olası bir güvenlik açığı riski çok daha fazladır. Düşündüğümüzde on binlerce satırlık, onlarca modüllük bir projede ortak bir tabandan bahsetmek imkansızdır. Bu da sistemin, güvenlik açığı verme riskini fazlasıyla artırmaktadır.

Yazılım geliştiren ekibin secure coding (güvenli kod yazmak) konusunda eğitilmesi uygulama güvenliğinin sağlanması konusunda ciddi bir adım olacaktır.

5. "Web sayfamız her sene güvenlik değerleme testlerine tabi tutuluyor, o zaman güvenlidir."

Web sayfası kodlarınındaki sürekli güncellenme ihtiyacı, en güncel güvenlik değerlendirme raporlarının(security assessment report) bile doğruluğu hakkında akıllarda soru işaretleri bırakıyor.

Uygulama güvenliği süreci - her ne kadar daha sık gözden geçirme veya denetlemeleri gerektirse de - web sayfaları yılda bir veya en erken altı ayda bir değerlendirme testlerine tabi tutuluyor. Oysa web sayfasına eklenen her yeni uygulamada sayfada kod açığı oluşma riski artar.

Mesela sevgililer günü, ramazan bayramı veya yılbaşı gibi özel günlerde, e-mağazalarına ait web sayfaların sürekli güncellenmesi için çaba harcayan teknik ekip görev yoğunluğu nedeniyle, güvenliği ikinci plana atabilmektedir. Bu tarihlerde, web sayfalarında yeni eklenebilecek ürünler, özellikler, kampanyalar vs. ile ilgili acil guncellemeler gerekmektedir ve bu yogunluk esnasında güvenlik kaygıları umursanmayabilir. Yeni eklenen kodlar güvenlik açıklarıyla dolu olabilir. Ve yılda bir yapılan denetlemeler bu açıkları buluncaya kadar, Web sayfaları çok büyük riskler taşıyabilir.

Özetle ;

Yılda bir defa denetleme yapılarak, vulnerability scanner adı verilen çeşitli araçlarla ağ taranarak veya gereksiz yere firewall'lara, SSL'lere onbinlerce dolar harcanarak sağlanan güvenlik çoğu hacker için hiçbir anlam ifade etmez. Bu şekilde yapılan yanlış yatırımlarla Web sayfalarının güvenliği sağlanamaz.

Tüm bu saydığımız nedenlerle, güvenlik profesyonelleri projelerin tüm aşamalarında görev almalıdırlar. Firmalar, güvenlik konusunda yetkin personel sıkıntısı çekmeleri durumunda ise, web sitelerinin güvenliğini, güvenlik danışmanlığı firmalarına outsource etmelidirler.



WeBCaNaVaRi'na Üye Olmadan Link'leri ve Kod'ları Göremezsiniz.
Link'leri Görebilmek İçin. Üye Ol. veya Giriş Yap.
Üyelerimizden Destek Bekliyoruz.
WeBCaNaVaRi Botu

Bu Site Mükemmel :)

*****

Çevrimİçi Çevrimİçi

Mesajlar: 222 194


View Profile
Re: Temel Güvenlik Yanılgıları
« Posted on: Mart 19, 2024, 07:32:05 ÖÖ »

 
      Üye Olunuz.!
Merhaba Ziyaretçi. Öncelikle Sitemize Hoş Geldiniz. Ben WeBCaNaVaRi Botu Olarak, Siteden Daha Fazla Yararlanmanız İçin Üye Olmanızı ŞİDDETLE Öneririm. Unutmayın ki; Üyelik Ücretsizdir. :)

Giriş Yap.  Kayıt Ol.
Anahtar Kelimeler: Temel Güvenlik Yanılgıları e-book, Temel Güvenlik Yanılgıları programı, Temel Güvenlik Yanılgıları oyunları, Temel Güvenlik Yanılgıları e-kitap, Temel Güvenlik Yanılgıları download, Temel Güvenlik Yanılgıları hikayeleri, Temel Güvenlik Yanılgıları resimleri, Temel Güvenlik Yanılgıları haberleri, Temel Güvenlik Yanılgıları yükle, Temel Güvenlik Yanılgıları videosu, Temel Güvenlik Yanılgıları şarkı sözleri, Temel Güvenlik Yanılgıları msn, Temel Güvenlik Yanılgıları hileleri, Temel Güvenlik Yanılgıları scripti, Temel Güvenlik Yanılgıları filmi, Temel Güvenlik Yanılgıları ödevleri, Temel Güvenlik Yanılgıları yemek tarifleri, Temel Güvenlik Yanılgıları driverları, Temel Güvenlik Yanılgıları smf, Temel Güvenlik Yanılgıları gsm
Yanıtla #1
« : Mart 06, 2009, 06:41:08 ÖS »

x[BLack RoSe]x
*
Üye No : 2816
Yaş : 34
Nerden : Rize
Cinsiyet : Bayan
Konu Sayısı : 901
Mesaj Sayısı : 12 413
Karizma = 13


paylaşım için Sağol.
Yanıtla #2
« : Nisan 02, 2009, 02:12:04 ÖS »

surkent
*
Üye No : 18106
Yaş : 38
Nerden : İstanbul
Cinsiyet : Bay
Konu Sayısı : 1
Mesaj Sayısı : 59
Karizma = 0


paylaşım için sağol

ѕєνgιℓιм мα∂єм вαηα вαкмιуσя gözℓєяιη,вєη ηє∂єη уαşιуσяυм кι...
Yanıtla #3
« : Nisan 29, 2009, 04:19:41 ÖÖ »
Avatar Yok

By.CeZa
*
Üye No : 293
Nerden : İstanbul
Cinsiyet : Bay
Konu Sayısı : 12191
Mesaj Sayısı : 28 687
Karizma = 11179


Bunlar bilinmesi gerek bilgiler ama kimsenin bildiğini sanıyorum normal kullanıcılar vakit ayırmaz böyle işlere. Gülmek :)
Yanıtla #4
« : Mayıs 13, 2009, 08:04:43 ÖS »
Avatar Yok

BemaGül
*
Üye No : 15237
Yaş : 41
Nerden : Antalya
Cinsiyet : Bayan
Konu Sayısı : 341
Mesaj Sayısı : 4 959
Karizma = 10


hackerlere büyük iş düşüyo cnm Zuhahaha
Sayfa 1
Yukarı Çık :)
Gitmek istediğiniz yer:  


Benzer Konular
Konu Başlığı Başlatan Yanıtlar Görüntü Son Mesaj
Mükemmel Kadınların Yanılgıları
Kadınca
Mavi_Kiyamet 0 694 Son Mesaj Aralık 01, 2012, 09:57:06 ÖS
Gönderen : Mavi_Kiyamet


Theme: WeBCaNaVaRi 2011 Copyright 2011 Simple Machines SiteMap | Arsiv | Wap | imode | Konular