- 17 Nis 2015
- 1,387
- 1
Web Tabanlı Uygulamalar | FHeaD
Merhaba Arkadaşlar
Bu konumda sizlere Web Tabanlı Uygulamalar hakkında bazı bilgilerden bahsedeceğim.
Öncelikle Web Tabanlı Uygulamalar nedir bunlara bir bakalım.
Bilgisayarımıza program kurma devri yerini Web Tabanlı Uygulamalara bırakıyor. Bu uygulamalar sayesinde artık dilediğimiz yerde dilediğimiz zamanda programlarımıza ulaşabiliyoruz hem de bilgisayar hafızamızı kullanmadan. Günlük hayatımızda girdiğimiz birçok site aslında birer Web Tabanlı Uygulamadır. Müzik dinlemek için kullandığımız Youtube, Devamlı iletişim halinde olmamızı sağlayan Whatsapp veya aradığımız bilgiyi kolayca bulmamızı sağlayan Google gibi.
İnternet tarayıcımızı kullanarak hayatımıza giren bu uygulamaları biraz inceleyelim.
1) Kullanıcı Web Tarayıcısı aracılığıyla web sunucusuna istekte bulunur.
2) Web Sunucusu aldığı isteği Uygulama Sunucusuna iletir.
3) Uygulama sunucusu Web sunucusunun isteğini gerçekleştirerek veritabanından aldığı bilgiyi Web sunucusuna iletir.
4) Web sunucusu internet aracılığıyla aldığı bilgiyi kullanıcı arayüzüne yansıtır.
Yazılım İndirme, kurma gibi sorunlar olmadan kullanabiliyoruz.
Oluşturduğumuz belgelerde dilediğimiz zaman dilediğimiz yerde düzeltme yapabiliyoruz.
Masaüstü yazılımlarına göre daha hızlı, daha güvenilir ve daha stabil çalışabiliyor.
Güncelleştirme sorununu kısmen ortadan kaldırarak otomatik bir şekilde kendini güncelliyor.
Bilgisayar üzerinden kullandığımız gibi artık mobil cihazlarımızda da rahatlıkla kullanabiliyoruz.
Bu Yazılımların en büyük dezavantajı ise İnternet Kesintileridir. İnternet ağına bağlı olmadığımız sürece bu yazılımların verdiği hizmetlerden yararlanamayız. Bunun yanı sıra bazı güvenlik zafiyetleri mevcuttur.
Kritik Düzey
Yüksek Düzey
Orta Düzey
Düşük Düzey
Zafiyet olmak üzere 4 gruba ayrılmıştır
- Anlaşma öncesi etkileşim : Bu aşamada kullanılacak araçlar ve test hakkında kapsamlı bilgi alınır.
- Bilgi toplama: Saldırı testleri öncesinde yapılacak atak için bilgi toplanır.
- Tehdit Modelleme :Güvenlik risklerinin bulunur önem sırasına göre sıralanır.
- Zafiyet Analizi :Uygulamada bulunan açıklar ve bu açıklardan sızdırılacak bilgiler belirlenir.
- İstismar : Güvenlik sistemlerinden sızarak sisteme girilir ve hedef belirlenir
- İstismar sonrası : Makine içerisinde bulunan sızdırılacak bilgilerin değerleri tespit edilir. Bir değer sıralaması yapılır. Aynı zamanda sistemde kalabilmek için önemler alınır.
- Raporlama : Sisteme sızarken kullanılan açık, sisteme sızma süresi, sisteme sızarken kullanılan araçlar, sistemden sızdırılan bilgilerin değerleri raporlanır.
- SQL enjeksiyon
- Upload Açıkları
- DNS Zehirlemesi
- Trafik Saldırısı
- Parola Atağı
Geçtiğimiz yılda sosyal medya devi olarak bilinen Facebook kullanıcı verilerinin sızdırılabileceği bir açıkla karşı karşıya kaldı. Bu zafiyeti kullanan siber korsanlar yaklaşık 90 milyon kullanıcının bilgilerini sızdırırken Facebookun açıklaması bir Access token açığı sebebi ile bu saldırıya maruz kaldıkları yönünde oldu. Siber korsanlar sadece facebook arayüzüne değil Faccebookun mesajlaşma uygulaması olan Messenger da bulunan kullanıcı mesajlarına da erişim sağlayabildiler. Bu saldırı internet ortamında Kritik Düzeyde bir saldırı olarak nitelendirildi. Olaydan sonra web tabanlı uygulamalara olan güven azalsa da bu uygulamaların masaüstü yazılımlara oranla daha güvenilir olduğu gerçeğini değiştirmedi.
Merhaba Arkadaşlar
Bu konumda sizlere Web Tabanlı Uygulamalar hakkında bazı bilgilerden bahsedeceğim.
Öncelikle Web Tabanlı Uygulamalar nedir bunlara bir bakalım.
Bilgisayarımıza program kurma devri yerini Web Tabanlı Uygulamalara bırakıyor. Bu uygulamalar sayesinde artık dilediğimiz yerde dilediğimiz zamanda programlarımıza ulaşabiliyoruz hem de bilgisayar hafızamızı kullanmadan. Günlük hayatımızda girdiğimiz birçok site aslında birer Web Tabanlı Uygulamadır. Müzik dinlemek için kullandığımız Youtube, Devamlı iletişim halinde olmamızı sağlayan Whatsapp veya aradığımız bilgiyi kolayca bulmamızı sağlayan Google gibi.
İnternet tarayıcımızı kullanarak hayatımıza giren bu uygulamaları biraz inceleyelim.
Web Tabanlı Uygulamaların Çalışması
1) Kullanıcı Web Tarayıcısı aracılığıyla web sunucusuna istekte bulunur.
2) Web Sunucusu aldığı isteği Uygulama Sunucusuna iletir.
3) Uygulama sunucusu Web sunucusunun isteğini gerçekleştirerek veritabanından aldığı bilgiyi Web sunucusuna iletir.
4) Web sunucusu internet aracılığıyla aldığı bilgiyi kullanıcı arayüzüne yansıtır.
Web Tabanlı Uygulamaların Bize Sağladığı Avantajlar
Yazılım İndirme, kurma gibi sorunlar olmadan kullanabiliyoruz.
Oluşturduğumuz belgelerde dilediğimiz zaman dilediğimiz yerde düzeltme yapabiliyoruz.
Masaüstü yazılımlarına göre daha hızlı, daha güvenilir ve daha stabil çalışabiliyor.
Güncelleştirme sorununu kısmen ortadan kaldırarak otomatik bir şekilde kendini güncelliyor.
Bilgisayar üzerinden kullandığımız gibi artık mobil cihazlarımızda da rahatlıkla kullanabiliyoruz.
Bu Yazılımların en büyük dezavantajı ise İnternet Kesintileridir. İnternet ağına bağlı olmadığımız sürece bu yazılımların verdiği hizmetlerden yararlanamayız. Bunun yanı sıra bazı güvenlik zafiyetleri mevcuttur.
Güvenlik zafiyetleri ve bunların seviyelerine bir göz atalım.
Masaüstü uygulamalarda olduğu gibi web tabanlı uygulamalarda da güvenlik zafiyetleri mevcuttur. Bu güvenlik zafiyetleri kullanıcının sisteme erişim seviyesine ve verebileceği zarara göre sınıflandırılmıştır.
Bu sınıflandırmalar şu şekildedir. Kritik Düzey
Yüksek Düzey
Orta Düzey
Düşük Düzey
Zafiyet olmak üzere 4 gruba ayrılmıştır
Kritik Düzey Zafiyet Nedir?
Kritik Düzey Zafiyet saldırganın sunucu ve websitesi üzerinde tam yetki erişimi alması demektir. Saldırgan web sunucusu içerisinde barındırılan bilgileri kopyalayabilir, değiştirebilir ya da sunucu üzerinde bulunan bütün bilgileri (Website dahil olmak üzere) silebilir.
Yüksek Düzey Zafiyet Nedir?
Yüksek Düzey Zafiyet saldırganın uygulama kaynak kodlarınıza erişim sağlayabildiği, sistem bilgilerinizi görebildiği bir zafiyet düzeyidir. Saldırgan bu bilgilere ulaşarak farkı saldırı biçimlerine bilgi kaynağı oluşturabilir.
Orta Düzey Zafiyet Nedir?
Orta Düzey Zafiyet saldırganın admin hesaplarından birine erişim sağladığı zafiyet düzeyidir. Saldırgan erişebildiği admin hesabı ile site bilgilerini görüntüleyebilir ve bu bilgileri saldırıya kaynak olarak kullanabilir.
Düşük Düzey Zafiyet Nedir?
Düşük Düzey Zafiyet en zararsız zafiyet olarak da bilinir. Sisteme erişim sağlanmayan, İnternet korsanlarının bilgileri görüntüleyemeyeceği zafiyet düzeyidir. Bu zafiyet düzeyinde korkuya sebebiyete verecek bir şey yoktur.
Peki bu zafiyetlerinde uygulanacak testler nedir bunlara bir göz atalım.
Peki bu zafiyetlerinde uygulanacak testler nedir bunlara bir göz atalım.
Penetrasyon Testi yani bir diğer adıyla Sızma Testleri 2010 yılında bir standarda kavuşarak 7 madde şeklinde sıralanmıştır:
- Anlaşma öncesi etkileşim : Bu aşamada kullanılacak araçlar ve test hakkında kapsamlı bilgi alınır.
- Bilgi toplama: Saldırı testleri öncesinde yapılacak atak için bilgi toplanır.
- Tehdit Modelleme :Güvenlik risklerinin bulunur önem sırasına göre sıralanır.
- Zafiyet Analizi :Uygulamada bulunan açıklar ve bu açıklardan sızdırılacak bilgiler belirlenir.
- İstismar : Güvenlik sistemlerinden sızarak sisteme girilir ve hedef belirlenir
- İstismar sonrası : Makine içerisinde bulunan sızdırılacak bilgilerin değerleri tespit edilir. Bir değer sıralaması yapılır. Aynı zamanda sistemde kalabilmek için önemler alınır.
- Raporlama : Sisteme sızarken kullanılan açık, sisteme sızma süresi, sisteme sızarken kullanılan araçlar, sistemden sızdırılan bilgilerin değerleri raporlanır.
Web Tabanlı uygulama zafiyetlerinde test edilen saldırılar:
- SQL enjeksiyon
- Upload Açıkları
- DNS Zehirlemesi
- Trafik Saldırısı
- Parola Atağı
Gelin Kritik Düzeyde bir zafiyeti inceleyelim.
Geçtiğimiz yılda sosyal medya devi olarak bilinen Facebook kullanıcı verilerinin sızdırılabileceği bir açıkla karşı karşıya kaldı. Bu zafiyeti kullanan siber korsanlar yaklaşık 90 milyon kullanıcının bilgilerini sızdırırken Facebookun açıklaması bir Access token açığı sebebi ile bu saldırıya maruz kaldıkları yönünde oldu. Siber korsanlar sadece facebook arayüzüne değil Faccebookun mesajlaşma uygulaması olan Messenger da bulunan kullanıcı mesajlarına da erişim sağlayabildiler. Bu saldırı internet ortamında Kritik Düzeyde bir saldırı olarak nitelendirildi. Olaydan sonra web tabanlı uygulamalara olan güven azalsa da bu uygulamaların masaüstü yazılımlara oranla daha güvenilir olduğu gerçeğini değiştirmedi.
Son düzenleme:
