Neler Yeni

OWASP | Sensitive Data Exposure

Katılım
22 Nis 2020
Mesajlar
86
Tepkime puanı
23
Puanları
150
Owasp
Bir web sitesini yönetirken, en kritik güvenlik riskleri ve güvenlik açıklarının üstünde kalmak önemlidir. OWASP Top 10, 2020de web sitelerine yönelik en büyük tehditlere karşı farkındalık getirmek için harika bir başlangıç #8203; #8203;noktasıdır.
4078indir_1_800x282.jpg

OWASP nedir?
OWASP, web uygulaması güvenliği alanında makaleler, metodolojiler, belgeler, araçlar ve teknolojiler üreten çevrimiçi bir topluluk olan Open Web Application Security Projecti temsil eder.
OWASP Top 10 nedir?
OWASP Top 10, en yaygın 10 uygulama güvenlik açığının listesidir. Aynı zamanda risklerini, etkilerini ve karşı önlemlerini de gösterir. Her üç ila dört yılda bir güncellenen, en son OWASP güvenlik açıkları listesi 2018de yayınlandı.
2020deki en iyi 10 OWASP güvenlik açığı:
1-Injection
2-Broken Authentication
3-Sensitive Data Exposure
4822indir_800x450.jpg

4-XML External Entities (XXE)
5-Broken Access control
6-Security misconfigurations
7-Cross Site Scripting (XSS)
8-Insecure Deserialization
9-Using Components with known vulnerabilities
10-Insufficient logging and monitoring
Sensitive Data Exposure
1_800x251-1.jpg

Genellikle daha zayıf sİstemlerİ etkileyen OWASP Top 10 güvenlik açığı olan Hassas Veri Maruziyeti kritik hassas verileri riske atabilir. OWASP, yazılım ve internet güvenliğini artırmak amacıyla kar amacı gütmeyen bir kuruluştur.
Hassas veriler nedir
2_800x450-1.jpg

Kanun’da hassas veri tanımı yapılmıştır. Buna göre kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, biyometrik verisi veya haklarında verilen ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri özel nitelikli kişisel veri sınıfına girmektedir. Bu verilerin, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikte veriler olmaları dikkate alınmakta, bu sebeple bu tür veriler hassas veri olarak kabul edilmektedir.
Hassas verilere örnekler:
3_800x516-1.jpg

Kişisel veriler: adlar veya kimlik numaraları, fiziksel, fizyolojik, genetik, zihinsel, ekonomik, kültürel veya sosyal özellikler gibi tanımlayıcılar, ayrıca GPS veya cep telefonlarından konum verilerini içerir
Gizli veriler : ticari sırlar, soruşturmalar, fikri mülkiyet haklarıyla korunan veriler Güvenlik: şifreler, finansal bilgiler, ulusal güvenlik, askeri bilgiler ...
Hassas veya kişisel verilerle birleştirilebilen farklı veri kümelerinin kombinasyonu
Biyolojik veriler : hayatta kalmalarının konum verilerinin korunmasına bağlı olduğu nesli tükenmekte olan (bitki veya hayvan) türler (biyoçeşitlilik topluluğu)
Kişisel ve hassas meta veriler
4_800x429-1.jpg

Hassas verileri tutarken ve bunlarla uğraşırken, araştırma süreci boyunca veri toplama, işleme, kullanma ve saklamaya özellikle dikkat edilmesi gerektiğini unutmayın. Özellikle, yaşayan bir kişinin doğrudan veya dolaylı olarak tanımlanabileceği kişisel verileri içeren araştırma verileri dikkatle ele alınmalıdır. Bu hem metinsel veriler hem de görüntü ve ses verileri ile ilgilidir. Doğrudan verilere örnek olarak birinin adı ve adresi verilebilir, ancak aynı zamanda bir fotoğraf veya röportaj da olabilir. Dolaylı bir gerçek, örneğin, birinin işverendir. Kişisel veriler için veri toplama, işleme ve saklama konusunda tamamen bilgilendirilmiş onay verilmelidir.
Hassas veri maruziyeti neden bu kadar yaygın?
Son birkaç yıldır, hassas veri maruziyeti dünyadaki en yaygın saldırılardan biri olmuştur
Hedef mağaza veri ihlali kredi / banka kartı bilgilerini ve en fazla 110 milyon kişilerin iletişim bilgilerini açığa Şükran etrafında meydana geldi.
Hassas verilerin şifrelenmemesi, bu saldırıların hala bu kadar yaygın olmasının ana nedenidir. Şifreli veriler bile zayıf olması nedeniyle bozulabilir:
Anahtar oluşturma süreci
Anahtar yönetim süreci
Algoritma kullanımı
Protokol kullanımı
Şifre kullanımı
Parola karma depolama teknikleri
Bu güvenlik açığından yararlanmak genellikle çok zordur; ancak başarılı bir saldırının sonuçları korkunçtur. Daha fazla bilgi edinmek isterseniz, Güvenlik İhlallerinin Etkileri üzerine bir blog yazısı yazdık .
5_800x446-1.jpg

Bununla birlikte, kimlik doğrulaması gerektiren sayfaların arkasında önbelleğe alınmasını önlemek için yeterli üstbilgi eksikliği veya girişlerde HTTPS eksikliği gibi bazı bulgular otomatik olarak taranabilir
HASSAS VERİ MARUZİYETİ ÖRNEKLERİ
Örnek 1
- Kredi kartı şifrelemesi
Bir uygulama, otomatik veritabanı şifrelemesi kullanarak bir veritabanındaki kredi kartı numaralarını şifreler. Bununla birlikte, bu, alındığında bu verilerin otomatik olarak şifresini çözdüğü ve bir SQL enjeksiyon kusurunun kredi kartı numaralarını düz metin olarak almasına izin verdiği anlamına gelir.
Risk
Sistem, kredi kartı numaralarını ortak bir anahtar kullanarak şifrelemeli ve yalnızca arka uç uygulamalarının özel anahtarla bunların şifresini çözmesine izin vermelidir.
2. Örnek: Kimliği doğrulanmış tüm sayfalar için SSL kullanılmıyor
6_800x450-2.jpg

SSl nedir ?
SSL nedir? SSL, 1990larda Netscape tarafından orijinal olarak oluşturulan bir şifreleme teknolojisi olan Güvenli Yuva Katmanı anlamına gelir. SSL, web sunucunuz ve ziyaretçilerinizin web tarayıcısı arasında gizli bilgilerin gizlice dinlenmesi, veri tahrifatı ve mesaj sahteciliği olmadan iletilmesini sağlayan şifreli bir bağlantı oluşturur .
Bir web sitesinde SSLyi etkinleştirmek için, sizi tanımlayan ve web sunucunuza yükleyen bir SSL Sertifikası almanız gerekir. Bir web tarayıcısı SSL sertifikası kullanırken genellikle bir asma kilit simgesi görüntüler , ancak yeşil bir adres çubuğu da görüntüleyebilir.
7_800x337-1.jpg

Bir SSL Sertifikası yükledikten sonra , URLyi http: // yerine https: // olarak değiştirerek bir siteye güvenli bir şekilde erişebilirsiniz. SSL düzgün bir şekilde dağıtılırsa, web tarayıcısı ile web sunucusu arasında (iletişim veya kredi kartı bilgileri olsun) iletilen bilgiler şifrelenir ve yalnızca web sitesinin sahibi olan kuruluş tarafından görülür.
Milyonlarca çevrimiçi işletme, web sitelerini güvence altına almak ve müşterilerinin onlara güvenmelerini sağlamak için SSL sertifikaları kullanmaktadır. SSL protokolünü kullanmak için bir web sunucusu bir SSL sertifikası kullanılmasını gerektirir. SSL sertifikaları, Sertifika Yetkilileri (CA) tarafından sağlanır .
Risk
8_800x422-1.jpg

Saldırgan, ağ trafiğini (açık bir kablosuz ağ gibi) izler ve kullanıcının oturum çerezini çalar. Saldırgan daha sonra bu çerezi tekrar oynatır ve kullanıcının özel verilerine erişerek kullanıcının oturumunu ele geçirir.
Örnek 3: Şifre veritabanı, herkesin şifrelerini saklamak için salt veri karmaları kullanır
Salt, verinin kendine özel bir değeridir, örn. bir kullanıcının kullanıcı adı (eğer aynı kullanıcı adı tekrar kullanılamıyorsa). Salting ise, bir veriyi hashlerken bu Salt değerini verinin başına ya da sonuna ekleyerek hash oluşturma işlemini bu şekilde gerçekleştirmektir. Aşağıdaki şekilde daha net olarak anlatabiliriz:
9_800x282-1.jpg

SaltedHash = hashfunc(password+salt)
ya da
SaltedHash = hashfunc(hashfunc(password)+salt)
Daha belirgin hale getirmek için, ilk verdiğim örneğe bakarsak, kullanıcı adının “medsa” şifrenin de “Cyberwarrior” olduğu yerde “Cyberwarriormedsa” değerinin hashini almalıyız (ya da “Cyberwarrior” hashini aldıktan sonra, o değerin sonuna “medsa” ekleyerek tekrar hash almalıyız
Risk
Bir dosya yükleme hatası, bir saldırganın şifre dosyasını almasına izin verir. salt karmaların tümü, önceden hesaplanmış karmaların gökkuşağı tablosuyla gösterilebilir.
Nasıl Önlenir ?
8987data-center-AdobeStock_203168528-750x435_800x463.jpg

Bu tür saldırıları önlemek için, aşağıdaki gibi güvenlik önlemlerinin etkili bir şekilde uygulanmasına ihtiyaç vardır:
Verileri şifreleyin ve erişilebilirliği tanımlayın: Verilerin, depolanan veya geçiş formundaki bilgilerin şifrelenmesi çok önemlidir. Açık metin biçimindeki tüm veriler saldırganlar için doğrudan bir davettir. Ek koruma gerektiren verileri tanımlayın ve yalnızca anahtar tabanlı şifrelemeyi uygulayarak erişilebilirliği yalnızca bir grup meşru kullanıcıya sınırlayın.
11_800x532-1.jpg

Güvenli kimlik doğrulama ağ geçitleri: Tarayıcı ve web sunucusu arasında iletilen tüm verilerin şifrelenmesini ve gizli kalmasını sağlamak için SSL veya TSL gibi gelişmiş standart güvenlik teknolojisini kullanın. HTTPS oturumlarının uygulanması güvenli bir iletişim protokolü sağlar.
Parola saldırılarını önleme: Zayıf parolalar nedeniyle penetrasyon en yaygın güvenlik ihlali türüdür. Parola karma işlevi algoritması uygulayarak güçlü bir parola kullandığınızdan emin olun. Parolayı zaman zaman değiştirmeye devam edin ve farklı platformlar için aynı parolayı kullanmayın.
Düzenli risk değerlendirmesi yapın: Risk seviyeleri ve yükümlülükleri, iş süreçlerinin değişmesiyle değişebilir. Herhangi bir potansiyel tehdide karşı koymak için güvenlik sistemini periyodik olarak izlemek ve güncellemek gerekir.
Bir yedekleme planınız olsun: Hırsızlık durumunda, herhangi bir yedekleme olmaması nedeniyle maksimum kayıp meydana gelir. Hassas verilerin korumalı ve güvenli bir şekilde yedeklenmesi, bu kayıpların azaltılmasına yardımcı olabilir.
 

Konuyu görüntüleyen kullanıcılar

Üst