OWASP® Vakfı kimdir?
Açık Web Uygulaması Güvenlik Projesi® (OWASP), yazılımın güvenliğini artırmak için çalışan kar amacı gütmeyen bir vakıftır. Topluluk liderliğindeki açık kaynaklı yazılım projeleri, dünya çapında yüzlerce yerel bölüm, on binlerce üye ve önde gelen eğitim ve öğretim konferansları aracılığıyla OWASP Vakfı, geliştiricilerin ve teknoloji uzmanlarının web’i güvence altına almaları için bir kaynaktır.
OWASP Nedir?
OWASP açılımı, Open Web Application Security Project olan OWASP Türkçeye Açık Web Uygulama Güvenliği Projesi olarak geçmiştir. OWASP, web uygulama güvenliği alanında makaleler, metodolojiler, dokümantasyon, araçlar ve teknolojiler üreten ve kar amacı gütmeyen bir topluluktur.
Eğitim İçeriği.
1)Broken Access Control (Bozuk Erişim Kontrolü)
Yetkisi ve kimliği doğrulanmış kişilerin sistemde yapabileceği değişiklikler her zaman doğru ayarlanmaz. Bunun sonucunda siber saldırganlar diğer kullanıcıların hesaplarına erişmek, yetkilerinin olmadıkları hassas dosyaları görüntülemek, veri silmek gibi yetkisiz işlemler yapmak için bu zafiyeti kullanabilirler.
2) Cryptographic Failures (Şifreleme Hataları)
Çoğu web uygulaması hassas verileri gerektiği gibi korumaz. Genellikle bu açıkları sömürmenin yolları sql, kullanılan portların düzgün şifrelenmemesi ve saldırganların portlar aracılığı ile uzaktan erişim sağlaması, kullanıcı bilgilerinin ön istemcide bulunduğu dosyalara erişim olarak tanımlanabilir.
3)İnjection (enjeksiyon)
Injection zafiyetleri genellikle kullanıcıdan alınan, kontrol edilmeyen ya da önlem alınmayan verilerden kaynaklanır. Saldırganlar sistemin beklediğinden daha farklı veriler göndererek sistemde komutlarını çalıştırabilirler. Verilere izinsiz erişebilir ve yetki yükseltme ile sistemin içine kalıcı olarak sızabilirler.
4)Insecure Design (Güvensiz Tasarım)
Güvensiz tasarım, tasarım ve mimarideki kusurlarla ilişkili risklere odaklanır. Tehdit modellemesi, güvenli tasarım kalıpları ve ilkelerine duyulan ihtiyaca odaklanır. Güvensiz tasarımdaki kusurlar, bir uygulama ile düzeltilebilecek bir şey değildir.
5) Security Misconfiguration(Yanlış Güvenlik Yapılandırması)
Yanlış Güvenlik Yapılandırması, Güvenlik ayarları varsayılan olarak tanımlandığında, uygulandığında ve sürdürüldüğünde ortaya çıkar. İyi güvenlik, uygulama, web sunucusu, veritabanı sunucusu ve platform için tanımlanmış ve dağıtılmış güvenli bir yapılandırma gerektirir. Yazılımın güncel olması da aynı derecede önemlidir.
6)Vulnerable and Outdated Components(Savunmasız ve Eski Bileşenler)
Kütüphaneler, framework’ler ve diğer yazılım bileşenleri, uygulama ile aynı ayrıcalıklarla çalışır. Savunmasız bir bileşenden yararlanılırsa, bu tür bir saldırı, ciddi veri kaybını veya sunucunun ele geçirilmesini kolaylaştırabilir. Güvenlik açıkları olduğu bilinen bileşenleri kullanan uygulamalar ve API’ler, uygulama savunmalarını zayıflatabilir ve çeşitli saldırılara ve etkilere olanak sağlayabilir.
7)Identification and Authentication Failures (Tanımlama ve Kimlik Doğrulama Hataları)
Tanımlama ve kimlik doğrulama hataları, bir saldırganın sistemdeki herhangi bir hesabın kontrolünü ele geçirmek için manuel veya otomatik yöntemler kullanmasına veya daha kötüsü sistem üzerinde tam kontrol sağlamasına izin verebilir.
8) Software and Data Integrity Failures (Yazılım ve Veri Bütünlüğü Hataları)
Uygulama tarafından kullanılan kritik veriler doğrulanmazsa, saldırganlar bunlara müdahale edebilir ve bu da yazılıma kötü amaçlı kodun girmesi gibi oldukça ciddi sorunlara yol açabilir.
9) Security Logging and Monitoring Failures (Güvenlik Günlüğü ve İzleme Hataları)
Doğrudan bu sorunlardan kaynaklanabilecek bir güvenlik açığı yoktur, ama genel olarak günlüğe kaydetme ve izleme oldukça kritiktir ve bunların yokluğu veya arızaları görünürlüğü, olay uyarısını doğrudan etkileyebilir. Bu nedenle, günlükleri toplamak ve ayrıca herhangi bir arıza veya hata olduğunda uyarı vermek için işlevsel bir kayıt ve izleme sistemine sahip olmak çok önemlidir, aksi takdirde bunlar uzun süre fark edilmeyebilir ve çok daha fazla hasara neden olabilir.
10) Server-Side Request Forgery (SSRF) (Sunucu Tarafı İstek Sahteciliği )
SSRF güvenlik açıkları, bir saldırganın güvenlik açığı bulunan bir uygulamanın arka uç sunucusundan hazırlanmış istekler göndermesine olanak tanır. Saldırganlar genellikle güvenlik duvarlarının arkasındaki ve harici ağdan erişilemeyen dahili sistemleri hedeflemek için SSRF saldırılarını kullanır.
