Web Siteleri ve Uygulamaların Güvenlik Açıkları ve Savunma Stratejileri
Günümüzde web sitesi kurmak artık çok kolay. Pek çok insanın fark etmediği şey, web sitelerinin hacklenmesinin de kolay olmasıdır. Her gün 3.000'den fazla web sitesi saldırıya uğruyor. Bunun nedeni, ücretsiz inşaatçıların web sitelerini kuran kişilerin güvenlik açığını anlamamasıdır. Bilgisayar korsanları, özellikle yeterince dikkatli olmayan kişilerin sahip olduğu siteleri hackleyecek robotlar da yarattı.
Bugün web sitelerinin en yaygın güvenlik açıklarına göz atacağız. Ayrıca size uygulayabileceğiniz savunma stratejilerini de sunacağız. Bu sayede 7 Slots gibi bir kumarhane de dahil olmak üzere istediğiniz bir web sitesini oluşturabilir ve güvenlik ihlallerinden endişe duymazsınız.
Bozuk Kimlik Doğrulaması
Web sitenizin bir kullanıcının kimliğini doğrulayacak bir sisteme sahip olması gerekir. Kullanıcı derken, hizmeti kullanmak için giriş yapan kişileri kastetmiyoruz. Yönetici kullanıcıyı kastediyoruz. Bozuk kimlik doğrulama sistemleri kırık bir kapı gibidir. Sanki bir kapı tokmağınız ya da sürgünüz var ama çalışmıyorlar.
Kimlik doğrulama çok büyük bir güvenlik alanıdır. Kendi kimlik doğrulama kodunuzu kullanıma sunmaya çalışmamalısınız. Bunu yaparsanız, şunlar olabilir:
- URL'niz bir bilgisayar korsanının kullanabileceği bir oturum kimliğini sızdırıyor olabilir.
- Şifreler şifrelenmemiş olabilir.
- Oturum tanımlaması çok öngörülebilir olabilir.
- Oturum ele geçirme mümkündür.
Bunu önlemek için kimlik doğrulama için bir çerçeve kullanmanız gerekir. Mesele şu ki, ne yaptığınızı bilmiyorsanız bunu kendiniz inşa etmemelisiniz. Çözüm saygın bir şirketten SSL satın almaktır. Bu bir sorun olmamalı. Alan adları ve barındırma hizmetleri satan tüm şirketler SSL sunmaktadır. Bu tür saldırılara karşı ilk savunmanız şirketin uyguladığı sistemdir. İyi haber şu ki SSL neredeyse her zaman ücretsizdir.
SQL Enjeksiyonu
Bilgisayar korsanlarının web sitenizin sistemine girip veritabanınıza erişmesinin en yaygın yolu. Bu veritabanına SQL denir. Bu bilgilere erişebilmeleri için yaptıkları şeye enjeksiyon saldırıları denir. Buraya kötü amaçlı kod veya ifadeler eklemeye çalışıyorlar. Bu kodlar bilgi toplar. Daha sonra sitenin veritabanını kontrol edebilecekler. Bunu başardıklarında artık bilgiyi değiştirebilirler. Ayrıca sistemin kendisini de yok edebilirler.
Bazı durumlarda web sitesini yok etmezler. Bunun yerine yalnızca müşteri adları, kredi kartı numaraları ve daha pek çok bilgiyi alıyorlar. Ayrıca ürünün fiyatını bilginiz olmadan değiştirebilirler. Bu sayede ürününüzü çok düşük bir fiyata satın alabilirler.
Bunun olmasını önlemek için SQL'inizdeki sorgularda ifadeler hazırlamanız gerekir. Burada olan şey, sisteminizin olağandışı kodları tespit edebilmesidir. Eğer kod hazırlanan ekstrenin bir parçası değilse sistem o kodu reddedecektir.
Kötü Güvenlik Yapılandırması
Bu, web sitesi sahiplerinin en sık karşılaştığı sorunlardan biridir. Bazen güvenlik sistemi doğru şekilde yapılandırılmamıştır. Ön kapısında olmak yerine arka tarafında güvenlik görevlisi bulunan bir mağazaya benziyor. Böyle bir durumda saldırganların sahada bir günü olacak. Yanlış yapılandırılmış güvenlik sistemlerinin birçok türü vardır, örneğin:
- Kullanılmayan sayfalar
- Korunmayan dosyalar
- Şifrelenmemiş sayfalar
- Düzeltme eki uygulanmamış dosya ve klasörler
- Varsayılan güvenlik sistemleri
Saldırganlar bu sorunların sizde olduğunu bilirlerse bunu web sitenize saldırmaya davet olarak algılayacaklardır. Bu sorunların dışında web sitenizde web sunucusu güvenliği, veritabanı tutarsızlıkları, ağ sorunları, kötü depolama çerçeveleri ve daha birçok sorun da olabilir.
Bunu önlemek için en azından SSL kullanmanız gerekir. Bu şekilde bağlantı güvenli olmadığı sürece hiçbir veri aktarımı gerçekleşemez. Yapabileceğiniz başka bir şey de uzaktan çalışmayı en aza indirmektir. Bunun önüne geçemiyorsanız yalnızca güvenli kanallardan uzaktan çalışma yapmalısınız. Bunu yapmak için SSL'nizin başarısız olması durumunda ikincil güvenlik protokollerini etkinleştirmeniz gerekir.
Bir web sitesi operatörü olarak düzenli dosya bütünlüğü kontrolleri de yapmalısınız. Nasıl yapılacağını biliyorsanız bunu kendi başınıza yapabilirsiniz, ancak bu zaman alıcıdır. Bu nedenle hosting sağlayıcınızın güvenlik sistemini kullanmak her zaman daha iyidir.
Yapabileceğiniz başka bir şey de düzenli olarak güvenlik kontrolü yaptırmak. Web sitenizi güvenlik açığı sorunlarına karşı tarayacak kullanabileceğiniz uygulamalar vardır. Bu yazılım programları, güvenlik ayarlarınızın etkinliğini ve belirli durumlarda nasıl davrandıklarını kontrol edecektir.
Bu tür sorunlardan kaçınmaya ne yardımcı olur?
Bir web sitesi işletiyorsanız güvenlik son derece önemlidir. Eğer teknik uzman değilseniz tek çareniz sisteminiz ile hackerlar arasında güvenlik duvarı oluşturacak yamaları kullanmak olacaktır. Ayrıca yazılımınızı yeni bir sürüm çıktığında yükselttiğinizden emin olmalısınız.
İyi haber şu ki, barındırma hizmetleri zaten tüm bunları hallediyor. Kendi sunucunuzdan bir web sitesi oluşturmak yerine web sitenizi bu şirketlerle oluşturmanız şiddetle tavsiye edilir. Ayrıca kullanmak istediğiniz herhangi bir eklentiyi incelemeye zaman ayırın. Bu eklentiler bilgisayar korsanları için mıknatıslardır. Eklentiyi bilgisayar korsanlığı için bir ağ geçidi olarak kullanıp kullanamayacaklarını kontrol edecekler. Eklentilerle ilgili incelemeleri okuyun ve bunların bilgisayar korsanlığı faaliyetlerine direnecek kadar güçlü olduğundan emin olun.