OWASP TOP 10

OWASP Nedir?

OWASP açılımı, Open Web Application Security Project olan OWASP Türkçeye Açık Web Uygulama Güvenliği Projesi olarak geçmiştir. OWASP, web uygulama güvenliği alanında makaleler, metodolojiler, dokümantasyon, araçlar ve teknolojiler üreten ve kar amacı gütmeyen bir topluluktur.

OWASP TOP 10 (2021) Nedir?

OWASP Top 10, birkaç yılda bir yayınlanan en yaygın 10 web uygulama güvenlik açığının listesini yayınlar. OWASP, açıkladığı Web uygulama güvenlik açıklarının risklerini, etkilerini ve karşı önlemlerini de beraberinde yayınlar. OWASP TOP 10 listesinin en son yayınlandığı tarih 2021 dir.

1)Broken Access Control (Bozuk Erişim Kontrolü)

Yetkisi ve kimliği doğrulanmış kişilerin sistemde yapabileceği değişiklikler her zaman doğru ayarlanmaz. Bunun sonucunda siber saldırganlar diğer kullanıcıların hesaplarına erişmek, yetkilerinin olmadıkları hassas dosyaları görüntülemek, veri silmek gibi yetkisiz işlemler yapmak için bu zafiyeti kullanabilirler.

2) Cryptographic Failures (Şifreleme Hataları)

Çoğu web uygulaması hassas verileri gerektiği gibi korumaz. Genellikle bu açıkları sömürmenin yolları sql, kullanılan portların düzgün şifrelenmemesi ve saldırganların portlar aracılığı ile uzaktan erişim sağlaması, kullanıcı bilgilerinin ön istemcide bulunduğu dosyalara erişim olarak tanımlanabilir.

3)İnjection (enjeksiyon)

Injection zafiyetleri genellikle kullanıcıdan alınan, kontrol edilmeyen ya da önlem alınmayan verilerden kaynaklanır. Saldırganlar sistemin beklediğinden daha farklı veriler göndererek sistemde komutlarını çalıştırabilirler. Verilere izinsiz erişebilir ve yetki yükseltme ile sistemin içine kalıcı olarak sızabilirler.

4)Insecure Design (Güvensiz Tasarım)

Güvensiz tasarım, tasarım ve mimarideki kusurlarla ilişkili risklere odaklanır. Tehdit modellemesi, güvenli tasarım kalıpları ve ilkelerine duyulan ihtiyaca odaklanır. Güvensiz tasarımdaki kusurlar, bir uygulama ile düzeltilebilecek bir şey değildir.

5) Security Misconfiguration(Yanlış Güvenlik Yapılandırması)

Yanlış Güvenlik Yapılandırması, Güvenlik ayarları varsayılan olarak tanımlandığında, uygulandığında ve sürdürüldüğünde ortaya çıkar. İyi güvenlik, uygulama, web sunucusu, veritabanı sunucusu ve platform için tanımlanmış ve dağıtılmış güvenli bir yapılandırma gerektirir. Yazılımın güncel olması da aynı derecede önemlidir.

6)Vulnerable and Outdated Components(Savunmasız ve Eski Bileşenler)

Kütüphaneler, framework’ler ve diğer yazılım bileşenleri, uygulama ile aynı ayrıcalıklarla çalışır. Savunmasız bir bileşenden yararlanılırsa, bu tür bir saldırı, ciddi veri kaybını veya sunucunun ele geçirilmesini kolaylaştırabilir. Güvenlik açıkları olduğu bilinen bileşenleri kullanan uygulamalar ve API’ler, uygulama savunmalarını zayıflatabilir ve çeşitli saldırılara ve etkilere olanak sağlayabilir.

7)Identification and Authentication Failures (Tanımlama ve Kimlik Doğrulama Hataları)

Tanımlama ve kimlik doğrulama hataları, bir saldırganın sistemdeki herhangi bir hesabın kontrolünü ele geçirmek için manuel veya otomatik yöntemler kullanmasına veya daha kötüsü sistem üzerinde tam kontrol sağlamasına izin verebilir.

8) Software and Data Integrity Failures (Yazılım ve Veri Bütünlüğü Hataları)

Uygulama tarafından kullanılan kritik veriler doğrulanmazsa, saldırganlar bunlara müdahale edebilir ve bu da yazılıma kötü amaçlı kodun girmesi gibi oldukça ciddi sorunlara yol açabilir.

9) Security Logging and Monitoring Failures (Güvenlik Günlüğü ve İzleme Hataları)

Doğrudan bu sorunlardan kaynaklanabilecek bir güvenlik açığı yoktur, ama genel olarak günlüğe kaydetme ve izleme oldukça kritiktir ve bunların yokluğu veya arızaları görünürlüğü, olay uyarısını doğrudan etkileyebilir. Bu nedenle, günlükleri toplamak ve ayrıca herhangi bir arıza veya hata olduğunda uyarı vermek için işlevsel bir kayıt ve izleme sistemine sahip olmak çok önemlidir, aksi takdirde bunlar uzun süre fark edilmeyebilir ve çok daha fazla hasara neden olabilir.

10) Server-Side Request Forgery (SSRF) (Sunucu Tarafı İstek Sahteciliği )

SSRF güvenlik açıkları, bir saldırganın güvenlik açığı bulunan bir uygulamanın arka uç sunucusundan hazırlanmış istekler göndermesine olanak tanır. Saldırganlar genellikle güvenlik duvarlarının arkasındaki ve harici ağdan erişilemeyen dahili sistemleri hedeflemek için SSRF saldırılarını kullanır.

Soru 1

OWASP'ın web uygulamalarındaki güvenlik açıklarını taramaya yardımcı olmak için hazırladığı aracın adı nedir?

Cevap: ZAP (Zed Attack Proxy)

Soru 2

OWASP'ın güvenlik araştırmacılarının kendilerini geliştirmeleri için Node.js ile yadığı savunmasız web uygulaması projesinin adı nedir? (Biçim: xxx_xxx) 

Cevap: juice_shop

Soru 3

OWASP hangi alana odaklanmıştır? A) Web Uygulamaları B) Sunucu Yönetimi C) Kablosuz Güvenlik

Cevap: A (Web uygulamaları)

Yukarıda zaten OWASP'ın tanımını yaparken Web Uygulamaları hakkında çalışan bir topluluk olduğundan bahsetmiştik.

Soru 4

OWASP'ın birkaç yılda bir yayınlanan En İyi 10 listesi ne gösteriyor? A) Mobil uygulamalara yönelik en kritik güvenlik riskleri B) Web uygulamalarına yönelik en kritik güvenlik riskleri C) En çok karşılaşılan web uygulaması güvenlik açıkları D) En çok karşılaşılan mobil uygulama güvenlik açıkları

Cevap: B (Web Uygulamalarına yönelik en kritik güvenlik riskleri)