Web Güvenliği ve Temel Açıklar

[sametghack]

Web Güvenliği Temel Açıklar ve Korunma Yöntemleri​

Web geliştirme sürecinde güvenlik, çoğu zaman göz ardı ediliyor ancak internet üzerinde çalışan her uygulama potansiyel saldırılara açıktır bu yazıda en sık karşılaşılan güvenlik açıklarını ve bunlara karşı alınabilecek temel önlemleri özetliyeceğiz​

1. XSS (Cross-Site Scripting)​

XSS saldırıları kullanıcıdan alınan verilerin filtrelenmeden HTML içine yazılması sonucu oluşur. Saldırgan zararlı JavaScript kodlarını siteye enjekte edebilir
​

Korunma Yolları​

-Kullanıcı girdilerini HTML içinde güvenli şekilde göster

-innerHTML gibi doğrudan HTML yazan fonksiyonlardan kaçın

-Girdi verilerini sanitize et

​

2. SQL Injection​

Kullanıcının gönderdiği verilerin doğrudan SQL sorgusuna eklenmesi durumunda veritabanı manipüle edilebilir
​

Korunma Yolları​

-Parametreli (prepared) sorgular kullan

-ORM kullanıyorsan veriyi otomatik olarak escape eden yapıları tercih et

​

3. CSRF (Cross-Site Request Forgery)​

Kullanıcının tarayıcısı üzerinden istemeden bir isteğin yapılması sağlanabilir özellikle çerez tabanlı oturumlarda tehdit oluşturur
​

Korunma Yolları​

-Her form veya kritik işlem için CSRF token kullan

-SameSite çerez politikalarını uygun şekilde yapılandır​

4. Güvensiz Dosya Yükleme​

Yüklenen dosyalar kontrol edilmezse, sunucuya zararlı betikler yerleştirilebilir
​

Korunma Yolları​

-Dosya uzantılarını ve MIME türlerini kontrol et

-Yüklenen dosyaları herkese açık klasöre koyma

-Dosya içeriğini analiz et (örneğin bir .php dosyası yüklendi mi kontrol et)​

5. HTTPS Kullanımı​

Şifrelenmemiş bağlantılar araya girme (MITM) saldırılarına açık hale gelir
​

Korunma Yolları​

-SSL/TLS sertifikası kullanarak HTTPS’i zorunlu hale getir

-HTTP'den HTTPS’e yönlendirme uygula

-HSTS başlıklarını ekle

​

Ekstra Güvenlik Önlemleri​

Şifreleri salt ile birlikte hash'le (örneğin bcrypt, scrypt veya Argon2)

Giriş denemelerine rate limiting uygula

Oturum yönetimini güvenli yap (çerezlere HttpOnly ve Secure bayrağı ekle)

Gereksiz servisleri kapat minimum izin politikası uygula
---------------------------------

​

 

[Kryzlo]

ayraçların hepsini bu şekilde kullanırsan daha hoş görünür​

 

[Loopenx]

Çok yararlı bir konu olmuş elinize emeğinize sağlık

 

[sametghack]

Çok yararlı bir konu olmuş elinize emeğinize sağlık

Teşekkürler

 

[Kurt_44]

Web Güvenliği Temel Açıklar ve Korunma Yöntemleri​

Web geliştirme sürecinde güvenlik, çoğu zaman göz ardı ediliyor ancak internet üzerinde çalışan her uygulama potansiyel saldırılara açıktır bu yazıda en sık karşılaşılan güvenlik açıklarını ve bunlara karşı alınabilecek temel önlemleri özetliyeceğiz​

1. XSS (Cross-Site Scripting)​

XSS saldırıları kullanıcıdan alınan verilerin filtrelenmeden HTML içine yazılması sonucu oluşur. Saldırgan zararlı JavaScript kodlarını siteye enjekte edebilir
​

Korunma Yolları​

-Kullanıcı girdilerini HTML içinde güvenli şekilde göster

-innerHTML gibi doğrudan HTML yazan fonksiyonlardan kaçın

-Girdi verilerini sanitize et

​

2. SQL Injection​

Kullanıcının gönderdiği verilerin doğrudan SQL sorgusuna eklenmesi durumunda veritabanı manipüle edilebilir
​

Korunma Yolları​

-Parametreli (prepared) sorgular kullan

-ORM kullanıyorsan veriyi otomatik olarak escape eden yapıları tercih et

​

3. CSRF (Cross-Site Request Forgery)​

Kullanıcının tarayıcısı üzerinden istemeden bir isteğin yapılması sağlanabilir özellikle çerez tabanlı oturumlarda tehdit oluşturur
​

Korunma Yolları​

-Her form veya kritik işlem için CSRF token kullan

-SameSite çerez politikalarını uygun şekilde yapılandır​

4. Güvensiz Dosya Yükleme​

Yüklenen dosyalar kontrol edilmezse, sunucuya zararlı betikler yerleştirilebilir
​

Korunma Yolları​

-Dosya uzantılarını ve MIME türlerini kontrol et

-Yüklenen dosyaları herkese açık klasöre koyma

-Dosya içeriğini analiz et (örneğin bir .php dosyası yüklendi mi kontrol et)​

5. HTTPS Kullanımı​

Şifrelenmemiş bağlantılar araya girme (MITM) saldırılarına açık hale gelir
​

Korunma Yolları​

-SSL/TLS sertifikası kullanarak HTTPS’i zorunlu hale getir

-HTTP'den HTTPS’e yönlendirme uygula

-HSTS başlıklarını ekle

​

Ekstra Güvenlik Önlemleri​

Şifreleri salt ile birlikte hash'le (örneğin bcrypt, scrypt veya Argon2)

Giriş denemelerine rate limiting uygula

Oturum yönetimini güvenli yap (çerezlere HttpOnly ve Secure bayrağı ekle)

Gereksiz servisleri kapat minimum izin politikası uygula
---------------------------------

​

Bilgilendirme iyi olmuş eline sağlık

 

[sametghack]

Bilgilendirme iyi olmuş eline sağlık

Sagol

 

[BruteKing]

Broken Access Control,
Web cache poisoning,
SSTI,
Insecure deserialization,

gibi konular da gelebilir.

 

[sametghack]

Broken Access Control,
Web cache poisoning,
SSTI,
Insecure deserialization,

gibi konular da gelebilir.

Akşama doğruda ikinciyi atarim

 

[Bozkurtlum]

Eline, Emeğine Sağlık. Bunuda Kaydettim Bu Lazımdı Zaten .

 

[sametghack]

Eline, Emeğine Sağlık. Bunuda Kaydettim Bu Lazımdı Zaten .

Daha çok konu var bunlar başlangiç hazirda bekle

 

[Bozkurtlum]

Daha çok konu var bunlar başlangiç hazirda bekle

Bekliyoruz TAKİPTEYİM.

 

[felix_04]

guzel konu knk iyi sanslar

 

[sametghack]

guzel konu knk iyi sanslar

Şans?

 

[Kurt_44]

Konun beğenilmiş anlaşılan başarın daim olsun

 

[sametghack]

Konun beğenilmiş anlaşılan başarın daim olsun

HAha sagol

 

[Ecstasy07]

Web Güvenliği Temel Açıklar ve Korunma Yöntemleri​

Web geliştirme sürecinde güvenlik, çoğu zaman göz ardı ediliyor ancak internet üzerinde çalışan her uygulama potansiyel saldırılara açıktır bu yazıda en sık karşılaşılan güvenlik açıklarını ve bunlara karşı alınabilecek temel önlemleri özetliyeceğiz​

1. XSS (Cross-Site Scripting)​

XSS saldırıları kullanıcıdan alınan verilerin filtrelenmeden HTML içine yazılması sonucu oluşur. Saldırgan zararlı JavaScript kodlarını siteye enjekte edebilir
​

Korunma Yolları​

-Kullanıcı girdilerini HTML içinde güvenli şekilde göster

-innerHTML gibi doğrudan HTML yazan fonksiyonlardan kaçın

-Girdi verilerini sanitize et

​

2. SQL Injection​

Kullanıcının gönderdiği verilerin doğrudan SQL sorgusuna eklenmesi durumunda veritabanı manipüle edilebilir
​

Korunma Yolları​

-Parametreli (prepared) sorgular kullan

-ORM kullanıyorsan veriyi otomatik olarak escape eden yapıları tercih et

​

3. CSRF (Cross-Site Request Forgery)​

Kullanıcının tarayıcısı üzerinden istemeden bir isteğin yapılması sağlanabilir özellikle çerez tabanlı oturumlarda tehdit oluşturur
​

Korunma Yolları​

-Her form veya kritik işlem için CSRF token kullan

-SameSite çerez politikalarını uygun şekilde yapılandır​

4. Güvensiz Dosya Yükleme​

Yüklenen dosyalar kontrol edilmezse, sunucuya zararlı betikler yerleştirilebilir
​

Korunma Yolları​

-Dosya uzantılarını ve MIME türlerini kontrol et

-Yüklenen dosyaları herkese açık klasöre koyma

-Dosya içeriğini analiz et (örneğin bir .php dosyası yüklendi mi kontrol et)​

5. HTTPS Kullanımı​

Şifrelenmemiş bağlantılar araya girme (MITM) saldırılarına açık hale gelir
​

Korunma Yolları​

-SSL/TLS sertifikası kullanarak HTTPS’i zorunlu hale getir

-HTTP'den HTTPS’e yönlendirme uygula

-HSTS başlıklarını ekle

​

Ekstra Güvenlik Önlemleri​

Şifreleri salt ile birlikte hash'le (örneğin bcrypt, scrypt veya Argon2)

Giriş denemelerine rate limiting uygula

Oturum yönetimini güvenli yap (çerezlere HttpOnly ve Secure bayrağı ekle)

Gereksiz servisleri kapat minimum izin politikası uygula
---------------------------------

​

Eline sağlık Dostum.

 

[felix_04]

Şans?

forum hayatinda iyi sanslar iste sdjfsjdf

 

[sametghack]

Eline sağlık Dostum.

Teşekkürler