YAYGIN GÜVENLİK AÇIKLARI
ARAMA MOTORU
Son Eklenen / Güncellenen Güvenlik Açıkları
Owasp Top 10 2021

Erişim denetimi, kullanıcıların amaçlanan izinlerinin dışında hareket edemeyecekleri bir politika uygular. Hatalar tipik olarak yetkisiz bilgilerin ifşa edilmesine, değiştirilmesine veya tüm verilerin yok edilmesine veya kullanıcının sınırları dışında bir iş işlevinin gerçekleştirilmesine yol açar.

Aktarım halindeki ve/veya depolanan verilerin koruma ihtiyaçlarını belirlenmesi gerekir. Örnek vermek gerekirse GDPR, KVKK gibi kanunlar veya yönetmelikler tarfınan korunan bilgileri, parolalar, kredi kartı numaraları, sağlık kayıtları, kişisel bilgiler ve ticari sırlar. PCD DSS gibi düzenlemeler ile de finansal veri koruması kapsamındaki konular ekstra koruma gerektirir. Bu korumaları sağlamak için veriler şifreli olarak saklanmalıdır. Bu konuda yapılacak hatalar büyük sorunlara (sızıntı vb.) yol açacaktır.

"Enjeksiyon saldırıları, geniş bir saldırı vektörleri sınıfını ifade eder. Bir enjeksiyon saldırısında, bir saldırgan bir programa güvenilmeyen girdi sağlar. Bu girdi, bir komut veya sorgunun parçası olarak bir yorumlayıcı tarafından işlenir. Buna karşılık, bu programın yürütülmesini değiştirir. Enjeksiyonlar, web uygulamalarına yönelik en eski ve en tehlikeli saldırılar arasındadır. Veri hırsızlığına, veri kaybına, veri bütünlüğünün kaybolmasına, hizmet reddine ve tam sistem ihlaline yol açabilirler. Enjeksiyon güvenlik açıklarının birincil nedeni genellikle yetersiz kullanıcı girişi doğrulamasıdır."

Güvensiz tasarım, "eksik veya etkisiz kontrol tasarımı" olarak ifade edilen farklı zayıflıkları temsil eden geniş bir kategoridir. Güvensiz tasarım ile güvensiz uygulama arasında fark vardır. Tasarım kusurları ile uygulama kusurlarını bir nedenden dolayı ayırıyoruz, bunların farklı temel nedenleri ve düzeltmeleri var. Güvenli bir tasarım, yine de, istismar edilebilecek güvenlik açıklarına yol açan uygulama kusurlarına sahip olabilir. Güvensiz bir tasarım, tanım gereği mükemmel bir uygulama ile düzeltilemez, belirli saldırılara karşı savunmak için gerekli güvenlik kontrolleri hiçbir zaman oluşturulmamıştır. Güvenli olmayan tasarıma katkıda bulunan faktörlerden biri, geliştirilmekte olan yazılım veya sistemin doğasında bulunan iş riski profili oluşturma eksikliği ve dolayısıyla hangi düzeyde güvenlik tasarımının gerekli olduğunun belirlenememesidir.

Uygulama şu durumlarda zafiyetli olabilir;
  • Uygulama yığınının herhangi bir bölümünde uygun güvenlik güçlendirmesinin olmaması veya bulut hizmetlerinde yanlış yapılandırılmış izinler
  • Gereksiz özellikler etkinleştirilmiş veya yüklenmiş olması (ör. gereksiz bağlantı noktaları, hizmetler, sayfalar, hesaplar veya ayrıcalıklar)
  • Varsayılan hesaplar ve parolaları hala etkin ve değiştirilmemiş olması
  • Hata işleme, kullanıcılara yığın izlerini veya diğer aşırı bilgilendirici hata mesajlarını göstermesi
  • Yükseltilmiş sistemler için en son güvenlik özellikleri devre dışı bırakılması veya güvenli bir şekilde yapılandırılmaması
  • Uygulama sunucularındaki, uygulama frameworklerindeki (örn. Struts, Spring, ASP.NET), kütüphanelerindeki, veritabanlarındaki vb. güvenlik ayarları güvenli değerlere ayarlanmamış olması
  • Sunucu, güvenlik üstbilgilerini (header) veya yönergelerini göndermemesi veya bunların güvenli değerlere ayarlanmaması
  • Güncel olmayan veya güvenlik açığı bulunduran yazılımların kullanılması
  • Uyumlu, tekrarlanabilir bir uygulama güvenliği yapılandırma süreci olmadan, sistemler daha yüksek risk altındadır.

  • Kullandığınız tüm bileşenlerin (hem istemci tarafı hem de sunucu tarafı) sürümlerini bilmiyorsanız.
  • Yazılım zafiyetli, güncel değilse veya desteklenmiyorsa
  • Güvenlik açıklarını düzenli olarak taramazsanız ve kullandığınız bileşenlerle ilgili güvenlik bültenlerine abone olmazsanız.
  • Temel platformu, frameworkleri ve bağımlılıkları riske dayalı ve zamanında düzeltmez veya yükseltmezseniz.
  • Yazılım geliştiriciler güncellenmiş, yükseltilmiş veya yama uygulanmış kütüphanlerin uyumluluğunu test etmezse.
  • Bileşenlerin yapılandırmalarını güvenceye almazsanız Muhtemelen zafiyetli bir ortamdasınızdır

    • Kullanıcının kimliğinin, kimlik doğrulamasının ve oturum yönetiminin onaylanması, kimlik doğrulamayla ilgili saldırılara karşı koruma sağlamak için kritik öneme sahiptir. Bu konudaki kontroller ile ilgili sorunlar bu sınıflandırmada toplanır

    Yazılım ve veri bütünlüğü hataları, bütünlük ihlallerine karşı koruma sağlamayan kod ve altyapı ile ilgilidir. Bunun bir örneği, bir uygulamanın güvenilmeyen kaynaklardan, havuzlardan ve içerik dağıtım ağlarından (CDN'ler) gelen eklentilere, kitaplıklara veya modüllere dayanmasıdır. Güvenli olmayan bir CI/CD ardışık düzeni, yetkisiz erişim, kötü amaçlı kod veya sistem güvenliğinin ihlal edilmesi potansiyelini ortaya çıkarabilir. Son olarak, birçok uygulama artık güncellemelerin yeterli bütünlük doğrulaması olmadan indirildiği ve daha önce güvenilen uygulamaya uygulandığı otomatik güncelleme işlevi içeriyor. Saldırganlar, dağıtılmak ve tüm kurulumlarda çalıştırılmak üzere potansiyel olarak kendi güncellemelerini yükleyebilir.

    "Loglama ve izleme olmadan ihlaller tespit edilemez. Yetersiz loglama, algılama, izleme ve yetersiz etkin yanıt şu durumlarda gerçekleşir:
  • Oturum açma, başarısız oturum açma ve yüksek değerli işlemler gibi denetlenebilir olaylar loglanmazsa
  • Uyarılar ve hatalar, hiçbir, yetersiz veya net olmayan log mesajları üretirse
  • Uygulamaların ve API'lerin log kayıtları, şüpheli etkinlik için izlenmezse
  • Günlükler yalnızca yerel olarak depolanırsa
  • Uygun uyarı eşikleri ve yanıt yükseltme süreçleri mevcut veya etkili değilse
  • Dinamik uygulama güvenliği testi (DAST) araçlarıyla (OWASP ZAP gibi) sızma testi ve taramalar uyarıları tetiklemezse
  • Uygulama, gerçek zamanlı veya neredeyse gerçek zamanlıya yakın olarak aktif saldırıları algılayamaz, iletemez veya uyaramazsa
    • Log kayıtları ve uyarı olaylarını bir kullanıcı veya saldırgan tarafından görünür hale getirerek bilgi sızıntılarına karşı savunmasız hale gelirsiniz. "

    "SSRF kusurları, bir web uygulaması, kullanıcı tarafından sağlanan URL'yi doğrulamadan uzak bir kaynak getirdiğinde ortaya çıkar. Bir saldırganın, bir güvenlik duvarı, VPN veya başka tür bir ağ erişim kontrol listesi (ACL) tarafından korunduğunda bile, beklenmedik bir hedefe hazırlanmış bir istek göndermeye uygulamayı zorlamasına olanak tanır. Modern web uygulamaları son kullanıcılara kullanışlı özellikler sağladığından, bir URL almak yaygın bir senaryo haline gelir. Sonuç olarak, SSRF oranı ve etkisi artmaktadır. Ayrıca, bulut hizmetleri ve mimarilerin karmaşıklığı nedeniyle SSRF'nin ciddiyeti artmaktadır."
    Sans 25
    Yazılım bir bellek arabelleği üzerinde işlemler gerçekleştirir ancak bu yazılım arabelleğin amaçlanan sınırlarının dışındaki bir bellek konumundan okuyabilir veya bu konuma yazabilir.
    Yazılım diğer kullanıcılara sunulan bir web sayfası olarak kullanılan çıktıya yerleştirilmeden önce kullanıcı tarafından kontrol edilebilen girdileri etkisiz hale getirmez veya hatalı şekilde etkisiz hale getirir.
    Yazılım girdi veya veri alır ancak girdinin verileri güvenli ve doğru bir şekilde işlemek için gerekli özelliklere sahip olduğunu doğrulamaz veya yanlış doğrular.
    Ürün hassas bilgileri bu bilgilere erişme konusunda açıkça yetkilendirilmemiş bir partiye ifşa eder.
    Yazılım amaçlanan arabelleğin sonundan sonra veya başlangıcından önce olan verileri okur.
    Yazılım bir yukarı akış bileşeninden harici olarak etkilenen girdiyi kullanarak bir SQL komutunun tamamını veya bir kısmını oluşturur ancak bir aşağı akış bileşenine gönderildiğinde amaçlanan SQL komutunu değiştirebilecek özel öğeleri etkisiz hale getirmez veya yanlış şekilde nötralize eder.
    Serbest bırakıldıktan sonra belleğe refere edilmesi bir programın çökmesine beklenmeyen değerler kullanmasına veya kod yürütmesine neden olabilir.
    Yazılımın mantığı elde edilen değerin her zaman orijinal değerden daha büyük olacağını varsaydığında yazılım bir tamsayı taşması veya etrafına sarılması üretebilen bir hesaplama gerçekleştirir. Bu hesaplama kaynak yönetimi veya yürütme kontrolü için kullanıldığında diğer zayıflıkları ortaya çıkarabilir.
    Web uygulaması iyi biçimlendirilmiş geçerli tutarlı bir isteğin isteği gönderen kullanıcı tarafından kasıtlı olarak sağlanmış olup olmadığını yeterince doğrulamaz veya doğrulayamaz.
    Yazılım kısıtlı bir üst dizinin altında bulunan bir dosya veya dizini tanımlaması amaçlanan bir yol adı oluşturmak için harici kullanıcısı girdisi kullanır ancak yazılım yol adının kısıtlı dizinin dışındaki konuma çözümlenmesine neden olabilecek yol adı içindeki özel öğeleri uygun şekilde etkisiz hale getirmez.
    Yazılım bir yukarı akış bileşeninden harici olarak etkilenen girişi kullanarak bir işletim sistemi komutunun tamamını veya bir kısmını oluştururken aşağı akış bileşenine gönderildiğinde amaçlanan işletim sistemi komutunu değiştirebilecek özel öğeleri etkisiz hale getiremez veya yanlış şekilde nötralize eder.
    Yazılım amaçlanan arabelleğin sonundan sonra veya başlangıcından önce olan bellek lokasyonlarına veri yazar.
    Bir aktör belirli bir kimliğe sahip olduğunu iddia ettiğinde yazılım iddianın doğru olduğunu kanıtlayamaz veya yetersiz bir şekilde kanıtlayabilir.
    NULL işaretçi başvurusu uygulama geçerli olmasını beklediği ancak NULL olan bir işaretçiye başvurduğu zaman ve genellikle bir çökmeye veya çıkışa neden olan hatadır.
    Ürün güvenlik açısından kritik bir kaynak için izinleri bu kaynağın istenmeyen aktörler tarafından okunmasına veya değiştirilmesine izin verecek şekilde belirler.
    Yazılım saldırganın ürünün ortamında otomatik olarak işlenebilecek tehlikeli türdeki dosyaları karşıya yüklemesine veya aktarmasına izin verir.
    Yazılım amaçlanan kontrol alanı dışındaki belgelere çözümlenen ve ürünün çıktısına yanlış belgeler yerleştirmesine neden olan URI'lere sahip XML varlıkları içerebilen bir XML belgesini işler.
    Yazılım bir yukarı akış bileşeninden harici olarak etkilenen girişi kullanarak bir kod bölümünün tamamını veya bir kısmını oluştururken aşağı akış bileşenine gönderildiğinde amaçlanan kod bölümünü değiştirebilecek özel öğeleri etkisiz hale getiremez veya yanlış şekilde nötralize eder.
    Yazılım kaynak kodunda sabit bir şekilde yazılmış kimlik bilgileri (parola veya kriptrografik anahtar gibi) bulundurur.
    Yazılım sınırlı bir kaynağın tahsisini ve bakımını düzgün bir şekilde kontrol etmez böylece bir aktörün tüketilen kaynak miktarını etkilemesine olanak tanır ve sonuçta mevcut kaynakların tükenmesine yol açar.
    Yazılım etkin kullanım ömrü sona erdikten sonra yani kaynağa artık ihtiyaç duyulmadığında bir kaynağı serbest bırakmaz.
    Uygulama uygulamanın doğrudan kontrolü altında olmayan kaynaklara işaret edebilen dışarıdan sağlanan bir arama yolunu kullanarak kritik kaynakları arar.
    Uygulama elde edilen verilerin geçerli olacağını yeterince doğrulamadan güvenilmeyen verileri seri durumdan çıkarır.
    Yazılım bir aktör için uygun şekilde yetki atamaz değiştirmez izlemez veya kontrol etmez ve bu aktör için istenmeyen bir kontrol alanı yaratır.
    Yazılım bir sertifikayı doğrulamaz veya yanlış bir şekilde doğrular.

    Veritabanımızda şu anda kayıtlı adet güvenlik açığı bulunmaktadır ve güvenlik açıkları sürekli güncellenmektedir. Son Güncelleme

    Endpoint Bilgi Teknolojileri Güvenliği Arge A.Ş
    KVKK Aydınlatma Metni