OWASP Top 10: Sensitive Data Exposure

Bu yazımda sizlere OWASP Top 10 listesinin 3. sırasında bulunan “Sensitive Data Exposure” saldırıları hakkında bilgi vermeye çalışacağım.

Sensitive Data Exposure Nedir?

Bir web uygulaması hassas verileri yanlışlıkla ifşa ettiğinde ortaya çıkan duruma denir. Bu genellikle müşterilerle doğrudan bağlantılı verilerdir (ör. İsimler, doğum tarihleri, finansal bilgiler vb.).Ancak kullanıcı adları ve şifreler gibi daha teknik bilgiler de olabilir. Daha karmaşık seviyelerde, bu genellikle “Man in The Middle Attack” gibi teknikleri içerir; bu sayede saldırgan, kontrol ettiği bir cihaz aracılığıyla kullanıcı bağlantılarını tespit eder ve ardından yakalanan bilgilere erişmek için iletilen herhangi bir veride zayıf şifreleme tekniklerinden yararlanır. Elbette, birçok örnek çok daha basittir ve güvenlik açıkları, herhangi bir gelişmiş ağ bilgisi olmadan yararlanılabilecek web uygulamalarında bulunabilir. Nitekim bazı durumlarda hassas veriler doğrudan web sunucusunun kendisinde bulunabilir .

Büyük miktarda veriyi aynı anda birçok konumdan kolayca erişilebilen bir biçimde depolamanın en yaygın yolu bir veri tabanındadır. Bu, web uygulaması gibi bir şey için kesinlikle mükemmeldir, çünkü herhangi bir zamanda web sitesiyle etkileşime giren birçok kullanıcı olabilir. Veri tabanı motorları genellikle SQL yapısı ile çalışır; ancak alternatif formatların (NoSQL gibi) popülerliği artıyor.

MySQL, PostgreSQL veya SQL Server gibi bir veri tabanı hizmeti çalıştıran özel sunucular görmek yaygındır; ancak veri tabanları dosya olarak da saklanabilir. Bu veri tabanları, bilgisayarda tek bir dosya olarak saklandıkları için “flat-file(düz dosya)” veri tabanları olarak adlandırılır. Bu, tam anlamıyla bir veri tabanı sunucusu kurmaktan çok daha kolaydır ve bu nedenle potansiyel olarak daha küçük web uygulamalarında görülebilir.

Daha önce belirtildiği gibi, flat-file veri tabanları bir bilgisayarın diskinde bir dosya olarak saklanır. Genellikle bu bir web uygulaması için sorun olmaz, ancak veri tabanı web sitesinin kök dizininin (yani web sitesine bağlanan bir kullanıcının erişebildiği dosyalardan biri) altında saklanırsa ne olur? Onu indirebilir ve veri tabanındaki her şeye tam erişim ile kendi makinemizde sorgulayabiliriz. Gerçekten tam anlamıyla bir “Sensitive Data Exposure” diyebiliriz. Hassas veriler bu şekilde kolayca erişilebilecek bir ortamda bulunmaması gerekiyor.

Bu sorun hakkında alınabilecek birkaç önlem şu şekildedir:

  • Bir uygulama tarafından işlenen, saklanan veya iletilen verileri sınıflandırılmalıdır. Gizlilik yasalarına, yasal gerekliliklere veya iş gereksinimlerine göre hangi verilerin hassas olduğunu belirleyin
  • Sınıflandırmaya göre kontroller uygulayın.
  • Hassas verileri gereksiz yere saklamayın. Saklanmayan veriler çalınamaz.
  • Beklemede olan tüm hassas verileri şifrelediğinizden emin olun.
  • Güncel ve güçlü standart algoritmalar, protokoller ve anahtarların yerinde olduğundan emin olun; uygun anahtar yönetimi kullanın.
  • Hassas veriler içeren yanıtlar için önbelleğe almayı devre dışı bırakın.

Buraya kadar olan kısımda sizlere OWASP Top 10 listesinin 3. sırasında olan “Sensitive Data Exposure” hakkında bilgi vermeye çalıştım. Bir sonraki yazımda size OWASP Top 10 listesinin 4. sırası hakkında bilgi vermeye çalışacağım.

Bir sonraki yazımda görüşmek üzere…

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Google fotoğrafı

Google hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Connecting to %s

WordPress.com'da Blog Oluşturun.

Yukarı ↑

%d blogcu bunu beğendi: