Web Uygulama Güvenliği Nedir?

Nizam-ı Alem · Pazartesi saat 22:52'de

Web uygulaması güvenliği, web sitelerini, uygulamaları ve API'leri saldırılardan koruma uygulamasıdır. Geniş bir disiplindir, ancak nihai amaçları web uygulamalarının sorunsuz çalışmasını sağlamak ve işletmeleri siber vandalizmden, veri hırsızlığından, etik dışı rekabetten ve diğer olumsuz sonuçlardan korumaktır.

İnternetin küresel yapısı, web uygulamalarını ve API'lerini birçok yerden ve çeşitli ölçek ve karmaşıklık seviyelerinden gelen saldırılara maruz bırakmaktadır. Bu nedenle, web uygulaması güvenliği çeşitli stratejileri kapsar ve yazılım tedarik zincirinin birçok bölümünü içerir.

Web uygulamalarının karşılaştığı yaygın güvenlik riskleri nelerdir?

Web uygulamaları, saldırganın hedeflerine, hedef alınan kuruluşun işinin niteliğine ve uygulamanın özel güvenlik açıklarına bağlı olarak çeşitli saldırı türleriyle karşı karşıya kalabilir. Yaygın saldırı türleri şunlardır:

Sıfır gün güvenlik açıkları: Bunlar, uygulama geliştiricileri tarafından bilinmeyen ve bu nedenle bir çözümü bulunmayan güvenlik açıklarıdır. Her yıl 20.000'den fazla sıfır gün güvenlik açığı görüyoruz. Saldırılar bu güvenlik açıklarından hızla yararlanmayı ve genellikle güvenlik sağlayıcıları tarafından uygulanan korumalardan kaçınmayı hedefliyor.

Çapraz site komut dosyası çalıştırma (XSS): XSS, bir saldırganın önemli bilgilere doğrudan erişmek, kullanıcıyı taklit etmek veya kullanıcıyı önemli bilgileri ifşa etmeye kandırmak için bir web sayfasına istemci tarafı komut dosyaları enjekte etmesine olanak tanıyan bir güvenlik açığıdır. XSS saldırılarını nasıl önleyeceğiniz hakkında daha fazla bilgi edinin.

SQL enjeksiyonu (SQLi): SQLi, bir saldırganın bir veritabanının arama sorgularını yürütme biçimindeki güvenlik açıklarından yararlandığı bir yöntemdir. Saldırganlar, yetkisiz bilgilere erişmek, yeni kullanıcı izinleri oluşturmak veya değiştirmek ya da hassas verileri manipüle etmek veya yok etmek için SQL enjeksiyonunu kullanırlar. SQL enjeksiyonlarını nasıl önleyeceğiniz hakkında daha fazla bilgi edinin.

Hizmet reddi (DoS) ve dağıtılmış hizmet reddi (DDoS) saldırıları: Saldırganlar, çeşitli vektörler aracılığıyla hedef sunucuyu veya çevresindeki altyapıyı farklı türde saldırı trafiğiyle aşırı yükleyebilirler. Bir sunucu artık gelen istekleri etkili bir şekilde işleyemediğinde, yavaş çalışmaya başlar ve sonunda meşru kullanıcılardan gelen istekleri reddeder.

Bellek bozulması: Bellek bozulması, bellekteki bir konumun kasıtlı olmayan bir şekilde değiştirilmesiyle oluşur ve yazılımda beklenmedik davranışlara yol açabilir. Kötü niyetli kişiler, kod enjeksiyonları veya arabellek taşması saldırıları gibi istismarlar yoluyla bellek bozulmasını tespit etmeye ve istismar etmeye çalışacaklardır.

Arabellek taşması: Arabellek taşması, yazılımın arabellek olarak bilinen bellekteki tanımlı bir alana veri yazdığında ortaya çıkan bir anormalliktir. Arabelleğin kapasitesinin aşılması, bitişik bellek konumlarının verilerle üzerine yazılmasına neden olur. Bu davranış, belleğe kötü amaçlı kod enjekte etmek için kullanılabilir ve hedef makinede potansiyel bir güvenlik açığı oluşturabilir.

Çapraz site istek sahteciliği (CSRF): Çapraz site istek sahteciliği, bir kurbanı kimlik doğrulamasını veya yetkilendirmesini kullanan bir istekte bulunmaya kandırmayı içerir. Bir kullanıcının hesap ayrıcalıklarından yararlanarak, saldırgan kullanıcı gibi davranarak bir istek gönderebilir. Bir kullanıcının hesabı ele geçirildikten sonra, saldırgan önemli bilgileri sızdırabilir, yok edebilir veya değiştirebilir. Yöneticiler veya üst düzey yöneticiler gibi yüksek ayrıcalıklı hesaplar genellikle hedef alınır.

Kimlik bilgisi doldurma: Saldırganlar, çalınan çok sayıda kullanıcı adı ve parola kombinasyonunu bir web uygulamasının giriş portalına hızlı bir şekilde girmek için botlar kullanabilir. Kimlik bilgisi doldurma, saldırgana gerçek bir kullanıcının hesabına erişim sağlarsa, kullanıcının verilerini çalabilir veya kullanıcının adına sahte satın alımlar yapabilir.

Sayfa kazıma: Saldırganlar ayrıca, web sayfalarından büyük ölçekte içerik çalmak için botlar kullanabilir. Bu içerikleri, bir rakibe karşı fiyat avantajı elde etmek, kötü amaçlı olarak sayfa sahibini taklit etmek veya başka nedenlerle kullanabilirler.

API kötüye kullanımı: API'ler veya Uygulama Programlama Arayüzleri, iki uygulamanın birbirleriyle iletişim kurmasını sağlayan yazılımlardır. Herhangi bir yazılım türü gibi, saldırganların uygulamalardan birine kötü amaçlı kod göndermesine veya hassas verilerin bir uygulamadan diğerine geçerken ele geçirilmesine olanak tanıyan güvenlik açıkları olabilir. API kullanımının artmasıyla birlikte bu, giderek daha yaygın bir saldırı türüdür. OWASP API En İyi On listesi, kuruluşların bugün karşılaştığı temel API güvenlik risklerini özlü bir şekilde özetlemektedir.

Gölge API'ler: Geliştirme ekipleri, iş hedeflerini karşılamak için hızlı bir şekilde çalışır ve güvenlik ekiplerini bilgilendirmeden sık sık API'ler oluşturup yayınlar. Bu bilinmeyen API'ler, güvenlik ekiplerinin varlığından haberdar olmadığı "gölgede" çalışarak hassas şirket verilerini açığa çıkarabilir.

Üçüncü taraf kod kötüye kullanımı: Birçok modern web uygulaması, çeşitli üçüncü taraf araçlar kullanır; örneğin, üçüncü taraf bir ödeme işleme aracı kullanan bir e-ticaret sitesi. Saldırganlar bu araçlardan birinde bir güvenlik açığı bulurlarsa, aracı tehlikeye atabilir ve işlediği verileri çalabilir, çalışmasını engelleyebilir veya uygulamada başka bir yere kötü amaçlı kod enjekte etmek için kullanabilirler. Ödeme işlemcilerinden kredi kartı verilerini çalan Magecart saldırıları, bu saldırı türüne bir örnektir. Bu saldırılar ayrıca tarayıcı tedarik zinciri saldırıları olarak da kabul edilir.

Saldırı yüzeyi yanlış yapılandırmaları: Bir kuruluşun saldırı yüzeyi, siber saldırılara karşı savunmasız olabilecek tüm BT ayak izidir: İnternet'ten erişilebilen sunucular, cihazlar, SaaS ve bulut varlıkları. Bu saldırı yüzeyi, belirli unsurların gözden kaçırılması veya yanlış yapılandırılması nedeniyle saldırılara karşı savunmasız kalabilir.

Önemli web uygulaması güvenlik stratejileri nelerdir?
Daha önce de belirtildiği gibi, web uygulaması güvenliği geniş ve sürekli değişen bir disiplindir. Bu nedenle, disiplinin en iyi uygulamaları, yeni saldırılar ve güvenlik açıkları ortaya çıktıkça değişmektedir. Ancak modern internet tehdit ortamı o kadar aktiftir ki, hiçbir kuruluş, işletmelerinin özel ihtiyaçlarına uygun belirli "temel" güvenlik hizmetleri olmadan idare edemez:

DDoS azaltma: DDoS azaltma hizmetleri, sunucu ile genel internet arasında yer alır ve sunucuyu aşırı yükleyecek kötü amaçlı trafik artışlarını önlemek için özel filtreleme ve son derece yüksek bant genişliği kapasitesi kullanır. Bu hizmetler önemlidir çünkü birçok modern DDoS saldırısı, en dayanıklı sunucuları bile aşırı yükleyecek kadar kötü amaçlı trafik üretir.

Web Uygulama Güvenlik Duvarı (WAF): Web uygulaması güvenlik açıklarından yararlandığı bilinen veya şüphelenilen trafiği filtreleyen bir sistemdir. WAF'lar önemlidir çünkü yeni güvenlik açıkları, neredeyse tüm kuruluşların kendi başlarına yakalayamayacağı kadar hızlı ve sessiz bir şekilde ortaya çıkar.

API ağ geçitleri: Gözden kaçan 'gölge API'leri' belirlemeye ve API güvenlik açıklarını hedeflediği bilinen veya şüphelenilen trafiği engellemeye yardımcı olur. Ayrıca API trafiğini yönetmeye ve izlemeye de yardımcı olurlar. (API güvenliği hakkında daha fazla bilgi edinin.)

DNSSEC: Bir web uygulamasının DNS trafiğinin doğru sunuculara güvenli bir şekilde yönlendirilmesini garanti eden bir protokoldür, böylece kullanıcılar yolda bir saldırgan tarafından ele geçirilmez.

Şifreleme sertifikası yönetimi: Üçüncü bir tarafın, özel anahtarlar oluşturma, sertifikaları yenileme ve güvenlik açıkları nedeniyle sertifikaları iptal etme gibi SSL/TLS şifreleme sürecinin temel unsurlarını yönettiği bir sistemdir. Bu, bu unsurların gözden kaçması ve özel trafiğin açığa çıkması riskini ortadan kaldırır.

Bot yönetimi: Otomatik trafiği insan kullanıcılardan ayırt etmek ve otomatik trafiğin bir web uygulamasına erişmesini engellemek için makine öğrenimi ve diğer özel tespit yöntemlerini kullanan bir sistemdir.

İstemci tarafı güvenliği: Yeni üçüncü taraf JavaScript bağımlılıklarını ve üçüncü taraf kod değişikliklerini kontrol ederek kuruluşların kötü amaçlı faaliyetleri daha erken yakalamasına yardımcı olur.

Saldırı yüzeyi yönetimi: Eyleme geçirilebilir saldırı yüzeyi yönetim araçları, saldırı yüzeyinizi haritalamak, potansiyel güvenlik risklerini belirlemek ve riskleri birkaç tıklamayla azaltmak için tek bir yer sağlamalıdır.

Kuruluşlar, tedarikçilerinden hangi uygulama güvenliği en iyi uygulamalarını beklemelidir?
Web geliştiricileri, saldırganların özel verilere erişmesini, kullanıcı hesaplarına hileli bir şekilde erişmesini ve diğer kötü amaçlı eylemleri gerçekleştirmesini engelleyecek şekilde uygulamalar tasarlayabilir ve geliştirebilirler. OWASP En İyi 10 listesi, geliştiricilerin farkında olması gereken en yaygın uygulama güvenliği risklerini yakalamaktadır. Bu riskleri önlemek için uygulamalar şunlardır:

Giriş doğrulaması gerektirmek: Uygulamanın iş akışlarından yanlış biçimlendirilmiş verilerin geçmesini engellemek, kötü amaçlı kodun enjeksiyon saldırısı yoluyla uygulamaya girmesini önlemeye yardımcı olur.

Güncel şifreleme kullanmak: Kullanıcı verilerini şifrelenmiş bir şekilde depolamak ve gelen ve giden trafiğin iletimini şifrelemek için HTTPS kullanmak, saldırganların veri çalmasını önlemeye yardımcı olur.

Güçlü kimlik doğrulama ve yetkilendirme sunmak: Güçlü parolalar için kontroller oluşturmak ve uygulamak, donanım anahtarları da dahil olmak üzere çok faktörlü kimlik doğrulama seçenekleri sunmak, erişim kontrolü seçenekleri sunmak ve diğer uygulamalar, saldırganların kullanıcı hesaplarına hileli bir şekilde erişmesini ve uygulamanız içinde yatay olarak hareket etmesini zorlaştırır.

API'leri takip etmek: Saldırı yüzeyi oluşturabilecek gözden kaçmış 'gölge API'leri' belirlemek için araçlar mevcuttur, ancak API güvenliği, API'lerin en başından beri gözden kaçmaması durumunda daha kolay hale gelir.

Kod değişikliklerini belgelemek: Bu, güvenlik ve geliştirici ekiplerinin yeni ortaya çıkan güvenlik açıklarını daha hızlı bir şekilde düzeltmelerine yardımcı olur.