Web açıklıkları Owasp

Web Açıklıkları Owasp Top 10

1-Injection

“Kullanıcı, istenmeyen komutları uygulamak için uygulamayı / sistemi kandırarak güvenilmeyen verileri girebildiğinde enjeksiyon “Injection” saldırıları gerçekleşiyor.”

Örnek:

Owasp Injection

HTML Etiketlerini İsim Soyisim Alanına Girelim

Owasp Injection HTML Etiketi ile Giriş

Gördüğünüz gibi bize girilen ifadeleri değil html etikleri ile sonuc verdi. Buna benzer örnekleri php ile de yapabiliriz.

Bu açık nasıl kapatılır?

Giriş temizliği: Herkesin kabul edebileceği şeyler için sunucu tarafında beyaz listeye alma yaklaşımı uygulayın.
Güvenli API’lerin ve parametreleştirilmiş sorguların kullanılması.

2-Broken Authentication (Kırık Kimlik)

 “Uygulama kimlik doğrulaması nedeniyle oturumla ilgili bilgileri yanlış yönettiğinde, hatalı kimlik doğrulama gerçekleşiyor. Bilgiler oturum çerezleri, şifreler, gizli anahtarlar vb. Şeklinde olabilir. ”

Buradaki amaç ya birinin oturumuna girmek ya da kullanıcı tarafından sonlandırılan bir oturumu kullanmak ya da oturumla ilgili bilgileri çalmaktır.

Örnek

 

Fırat Üniversitesi öğrencisi iseniz giriş yaparak deneyebilirsiniz..

  • Oturumu kapattıktan sonra önceki oturuma girip giremeyeceğinizi görmek için geri düğmesine basın.
  • Bu sayfaya erişip erişemediğinizi kontrol etmek için oturumu kapattıktan sonra doğrudan URL’yi girmeyi deneyin.
  • URL’lerde oturumla ilgili bilgilerin olup olmadığını kontrol edin. Başka birinin oturumuna girip giremeyeceğinizi kontrol etmek için onları değiştirmeyi deneyin.
  • Kaynak koddaki kimlik bilgilerini bulmayı deneyin. Sayfayı sağ tıklayın ve görünüm kaynağını tıklayın. Bazen kodlayıcılar, bazen orada tanımlanamayan kolay erişim için kimlik bilgilerini kodlar.

Owasp Örneği:

Fırat Üniversitesi OBS Kodları:

obs giriş login kodları

Bu Açık Nasıl Kapatılır?

     Çok faktörlü kimlik doğrulama kullanımı
     Oturum yalıtımı
     Boşta oturum zaman aşımına uğradı
     Güvenli çerezleri kullanma

obs fırat

 

3-Sensitive data exposure (Hassas Veri Ortaya Çıkarma)

 

4-XML External Entities (XXE) (XML Dış Varlık)

 

5-Broken Access control (Bozuk Erişim Kontrolü)

 

6-Security misconfigurations

 

7-Cross Site Scripting (XSS)

 

8-Insecure Deserialization (Güvenli Olmayan Tersine Serileştirme)

 

9-Using Components with known vulnerabilities (Bilinen Güvenlik Açıklarına Sahip Bileşenleri Kullanma)

 

10Insufficient logging and monitoring ( Yetersiz loglama ve izleme)

 

Kaynak

Sürekli Güncellenecektir…

 

Bir cevap yazın