Her gün yüzlerce site hacklenmektedir. Bunun sebebi nedir?
Web diyeli bizim ne isteğimizi nasıl biliyor?
Web sitelerinde kullanılan programlar nelerdir
Web sitelerinden nasıl bilgi toplayabiliriz?
Web Teknolojileri nedir?
Web Teknolojileri kısaca şöyle tanımlayabiliriz.
Birden fazla web teknolojisinin bir araya gelmesi ile ortaya çıkan sonuca "Web Teknolojileri" denilmektedir. Web teknolojileri'nin birden çok yardımcı elemanı vardır.
Web Teknolojilerinin Yardımcı Elamanları
Web Mimarı
HTML
HTML Encoding
URL
URL Encoding
Web Mimarı Nedir?
Web Mimarları'nın görevleri, web yazılımı,web tasarımını düzenlemek ve yapmaktır.
HTML
HTML, web teknolojilerinde önemli bir yeri vardır. HTML' yi hepimiz duymuşuzdur. HTML web sitelerini oluşturmaya yardımcı olan bir programdır.
HTML Encoding
Türkçe karşılığı "HTML Kodlaması" anlamına gelmektedir. HTML Encoding, web sitenin doğru bir biçimde görüntülenmesine yardımcı olmaktadır.
URL
URL, bir sitenin adresi diyebiliriz. URL'nin başında, "HTTP,:// HTTPS, ://vb.) kavramlar vardır. URL ortasında" www.siteadı"olmaktadır. URL sonunda ise".com,.org,vb.) bulunur.
URL Encoding
URL kodlaması, geçerli ve güvenlir bir url adresi oluşturmak için kullanılır. Url kodlaması "HTML" yapılabilmektedir.
HTTP Temelleri nedir
HTTP Nedir
HTTP temellerine geçmeden önce, HTTP ne olduğunu anlayalım.
Web* adresini ziyaret etmek isteyen kullanıcılar'a http yol göstermektedir. Hem siteye girişiniz kolaylaştırır.HTTP ile alakalı olan siteler pekte güvenli değildir.
HTTP Protokolü nedir?
HTTP Protokolüne örnek verirsek,
Bir siteye girdiniz, o sitenin sunucusu(HTTP) sizi sayfayı yönlendirirken HTTP, web sitenin client(istemcisi) ile bağdaşır. Client geri dönüş yaptığında siteye giriş yapmış oluruz, tabi bunlar saliselik olaylardır.
HTTP Cookie nedir?
Cookie (çerezler) diyebiliriz, HTTP kendi çerezlerini kendisi ile alakalı URL'lere yollar. Web site sahibi isterse bu çerezleri saklayabilir.
HTTP Session nedir?
HTTP ile alakalı bir sayfa da ziyaretçiyi tanımak için kullanılmaktadır. Hep gelen ziyaretçinin faaliyetlerini kontrol eder ve ona göre reklamlar verebilir.
Burp Suite nedir?
Burp Suite java yazılımı ile yazılmış bir siber güvenlik aracıdır. Burp Suite'de siber güvenlik uzmanları siber tehditleri araştırır ve bildirir. Sitede ki güvenlik açıklarını kapatabiliyor. Web site sahipleri de genelde "Burp Suite" tercih etmektedir.
Burp Suite tarafından bulunan bir Web sitesinin güvenlik açıklarını bulmaya yardım eder.
Web site zafiyetleri nelerdir?
Günümüzde neredeyse her gün web siteleri hacklenmektedir. Bunların çoğu güvenlik açıkların olması veya güvenlik duvarlarının zayıf olmasından kaynaklanıyor.
Web site zafiyetleri
DoS Zafiyetleri
Web Uygulma zafiyet
Command Injection
SQL Injection
Cross Site Scripting
Insecure Direct Object References (IDOR)
File Inclusion
Cross Site Request Forgery (CSRF)
DoS zafiyetleri nedir
DoS tek kişi tarafından hedefteki siteye saldırı yapma sonucu oluşur. Her sitenin bir kapasitesi vardır. Bu kapasite açıldığında site yavaşlayabilir hatta geçici süreliğine hizmet veremeyebilir. Dos'un amacı bilgi çalmak değil, hedef siteyi bir süreliğine kullanılmaz hale getirmektir. Burada site sahiplerinin yapabileceği tek şey, web sitelerin kapasitesini artırarak bu saldırılardan korunmaktır.
Web Uygulma Zafiyeti nedir?
Geleneksel yönteme göre daha avantajlı olan web Uygulmaları tüm dünyada da kullanılmaktadır. En büyük avantajı ise tüm tarayıcılarda web sitenin açılabilmesi ve hangi ülkede olursanız olun o site açılabilmektedir.Saldırgan eğer web Uygulma zafiyetini tespit eder ve saldırırsa sitenin kontrolü ona geçmiş olur.
Command Injection
HTTP'nin çok güvenli olmadığını belirtmiştim. Command Injection'da HTTP üzerinden gerçekleşmektedir. Web sitenin yazılımı güçlü değil ise bu saldırı başına gelme ihtimali vardır. Bu saldırdı sitenin çerezleri ile oynarsak kendi saldırı yazılımı yerleştirebilir ve kullanıcı bilgileri alabilmektedir.
SQL Injection
En popüler saldırı türlerinden biri olan Sql açığı, site oluştururken bir takım yazılım hataları sonucu ortaya çıkmaktadır. Sql açığı ile web sitenin adminin adı-soy adı, telefon numarası, e posta adresi, vb. Bilgilere ulaşılabilir ya da web siteyi ele geçirilebilir.
Cross Site Scripting
İsminden tanımıyan olabilir. Kendisinin kısaltılmış hali (XSS), şimdi çoğunlukla hatırladık bu zafiyeti, HTML ve JavaScript ile yazılmış olan web site de yazılımcı hatası çıkma sonucu XSS oluşur. Saldırgan XSS toolarını (kodlarını) kullanarak hedef sitenin verileri çalabilmektedir.
Insecure Direct Object References (IDOR)
Bu saldırı web sitenin url'sini kurcayarak bulunmaktadır. Genelde HTTP ile başlayan url'ler de sıkça görülmektedir. Saldırganlar bu saldırı ile kredi kartı bilgilerine kadar ulaşabilmektedir.
File Inclusion
Saldırganın kendi hazırladığı dosyayı web sitesine ekleme hakkını veren bir açıktır. Saldırgan kendi hazırladığı dosyada virüsler yer alabilir (malware, trojan, vb.) böylece siteye üye olanların kişisel bilgilerini çalabilmektedir.
Cross Site Request Forgery (CSRF)
Bu saldırı türü bir çeşit expolit (kurbanın kendi isteği dışı ile çalışma) saldırısıdır. Web site kodlanırken gözden kaçan bir hata sonucu oluşabilir bu açık, saldırgan bilgileri çalması için kurbanın cihazı kullanması ile alakalıdır. Keylogger gibi düşünebilirsiniz. Kurban kendi kredi kartını ne zaman yazarsa o zaman kredi kart şifresini almış oluruz. Eğer kredi kart şifresini hiç yazmaz ise yazana kadar bilemeyiz.
Son düzenleme:
)
