Web uygulamaları, saldırganların ihlalleri gerçekleştirmek için kullandıkları en önemli vektörlerdir. Buna göre Verizon’un “Veri İhlali Araştırmaları Raporu” (PDF), Web uygulamaları, incelenen tüm ihlallerin kabaca %70’inin yoluydu.
300’den fazla Web uygulaması sızma testi yaptıktan sonra nedenini anlıyorum. Geliştiriciler, güvenlik açıkları oluşturan aynı güvenlik yanlış adımlarını atmaya devam ediyor. Genellikle güvenli çerçeveler kullanmazlar ve güvenlik kodunu ve kimlik doğrulama işlemlerini kendileri yazmaya çalışırlar.
Ürünleri pazara hızlı bir şekilde sunmak için geliştiricilerin ne kadar baskı altında olduğuna dikkat etmek önemlidir. Mümkün olduğu kadar güvenli olması gerekmese de, olabildiğince hızlı bir şekilde tanıtabilecekleri özellik sayısına göre ödüllendirilirler. Bu, güvenlik kısayollarının kullanılmasına ve ileride Web uygulamalarında güvenlik açıklarına yol açar.
Pen test uzmanları, şeytanın avukatı rolünü oynar ve uygulama geliştiricilerin saldırganların nereden ve nasıl erişim elde ettiğini göstermek için oluşturdukları şeye tersine mühendislik uygular. Sonuçlar yaygın temel hataları vurguladı. İşte yazılım geliştirme şirketlerinin uygulamalarını daha güvenli hale getirmek için öğrenebilecekleri beş ders.
Genellikle düşük riskli olarak düşünülür, ancak hesabın ele geçirilmesi, veri hırsızlığı ve bir uygulamanın altyapısının tamamen ele geçirilmesi gibi XSS riskleri ciddi olabilir. Birçok geliştirici, olgun girdi doğrulama kitaplığı kullanmanın ve uygun HttpOnly tanımlama bilgisi niteliklerini ayarlamanın yeterli olduğunu düşünür, ancak XSS hataları, özel kod kullanıldığında hala bir yol bulur. Örneğin, WordPress sitelerini ele alalım – bir yöneticiyi hedef alan bir XSS saldırısı kritiktir, çünkü kimlik bilgileri kullanıcının eklentileri yüklemesine izin verir, böylece sunucuda kod benzeri kötü amaçlı yükler yürütür.
Tarayıcılar genellikle modern Web geliştirme ile güncel değildir ve JavaScript tek sayfa uygulamaları, WebAssembly veya Graph için en iyi sonuçları sunmaz. Karmaşık güvenlik açıkları, bunları doğrulamak için el yapımı bir yüke ihtiyaç duyar ve bu da otomatikleştirilmiş araçları daha az etkili hale getirir.
Güvenlik açıklarının ve açıkların en doğru ve ayrıntılı analizi için bir insan unsuru gereklidir, ancak bu tarayıcılar, düşük asılı meyveyi hızlı bir şekilde bulmak için tamamlayıcı bir kaynak olabilir.
Kalem testi yapanlar genellikle diğer kullanıcıların bilgilerine erişim elde eder veya rollerine uygun olmayan aşırı ayrıcalıklara sahip olur. Bu, saldırganların kullanıcıları hesaplarından kilitlemesine veya uygulamanın güvenliğini aşmasına olanak tanıyan yatay ve dikey erişim denetimi sorunları oluşturur.
Her şey bu protokollerin nasıl uygulandığı ile ilgili. Örneğin, Güvenlik Onayı İşaretleme Dili (SAML) kimlik doğrulaması, güvenliği artırmanın bir yolu olarak giderek daha popüler hale gelen tek oturum açma protokolüdür, ancak bunu yanlış uygularsanız, kilitlediğinizden daha fazla kapı açmış olursunuz.
Harika bir örnek, bir e-ticaret sitesi için alışveriş sepetidir. İş açısından kritiktir, ancak çoğu zaman güvenli değildir; bu da ödeme sırasında toplamın sıfırlanması, ödeme sonrasında ürün eklenmesi veya ürünlerin diğer SKU’larla değiştirilmesi gibi ciddi güvenlik açıkları oluşturur.
Geliştiricileri, birincil kullanım senaryosuna odaklandıkları ve diğer, tipik olarak hain kullanımları tanımadıkları için suçlamak zordur. Performansları, özelliği sunmaya dayalıdır. Yöneticilerin madalyonun diğer yüzünü görmeleri ve iş mantığının güvenlik mantığıyla ilişkili olması gerektiğini anlamaları gerekir. Alışveriş sepeti veya kimlik doğrulama iş akışı gibi en yüksek iş değerine sahip özellikler muhtemelen genç bir geliştiricinin işi değildir.
Tüm bu harici varlıkları ve bunların geliştiricilerin oluşturdukları şeyle nasıl bağlantı kurduklarını sızma testleri yapan güvenlik denetçileriyle paylaşmak önemlidir. Geliştirici, bu varlıkların “kapsam dışı” olduğunu ve dolayısıyla bunlardan sorumlu olmadığını düşünebilir, ancak bir saldırgan kumdaki bu çizgiye saygı göstermez. Sızma testlerinin gösterdiği gibi, hiçbir şey “kapsam dışı” değildir.
Yazılım geliştirme şirketleri bu yaygın risklerden bazılarını önceden anladığında, güvenlik denetçileriyle daha iyi ilişkiler kurabilir ve sızma testlerini daha az sancılı hale getirebilir. Hiçbir şirket geliştiricilerini geride tutmak istemez, ancak geliştiriciler, yaratıcılığı güvenlik çerçeveleriyle dengeleyerek nerede özgürlükleri olduğunu ve uygulamaları güvende tutan korkuluklarla nerede uyum sağlamaları gerektiğini bilirler.
En son siber güvenlik tehditlerini, yeni keşfedilen güvenlik açıklarını, veri ihlali bilgilerini ve ortaya çıkan trendleri takip edin. Günlük veya haftalık olarak doğrudan e-posta gelen kutunuza teslim edilir.
siber-1