OWASP Top 10 Eğitimi

Giriş

• OWASP'ın genel bakış, amacı ve web güvenliği açısından önemi\.
• OWASP Top 10 listesi açıklaması
  • A01:2021-Kırık Erişim Kontrolü beşinci sırada yer alan kategoriden bir üst sıraya yükseldi. Kırık erişim kontrolüne yönelik testler, uygulamaların %94'ünde gerçekleştirildi. Kırık Erişim Kontrolü'ne eşleştirilen 34 Ortak Zayıflık Numaralandırması (CWE), uygulamalarda en fazla tekrarlayan kategori oldu\.
  • A02:2021-Kriptografik Hatalar #2. sıraya bir adım yükselerek eski ismi olan Hassas Veri Yayınlaması'ndan farklı olarak, daha genel bir belirti yerine kriptografiyle ilgili hatalara odaklandı\. Kriptografik hataların, hassas verilerin açıklığa çıkmasına veya sistemlerin ele geçirilmesine neden olabileceği tekrar vurgulandı\.
  • A03:2021-Enjeksiyon üçüncü sıraya indi. %94'ün üzerindeki uygulama, enjeksiyon türlerine yönelik testlere tabi tutuldu ve bu kategoriye eşitlenen 33 CWE, uygulamalarda ikinci en çok tekrarlayan kategori oldu\. Bu versiyonda Cross-site Scripting bu kategorinin bir parçası oldu\.
  • A04:2021-Güvensiz Tasarım 2021 için yeni bir kategori, tasarım hatalarıyla ilgili risklere odaklandı. Endüstri olarak gerçekten "sağ tarafa" hareket etmek istiyorsak, tehdit modellemesini, güvenli tasarım desenlerini ve prensiplerini, referans mimarilerini daha fazla kullanmamız gerekiyor\.
  • A05:2021-Güvenlik Yanlış Yapılandırması önceki sürümde #6. sıradan bir üst sıraya yükseldi. %90'ın üzerinde uygulama, yanlış yapılandırma türlerine yönelik testlere tabi tutuldu\. Yüksek düzeyde yapılandırılabilir yazılımın artmasıyla, bu kategorinin yükselmesi sürpriz olmasa da normal bir durum\. Eski XML External Entities (XXE) kategorisi artık bu kategoriye dahil edildi\.
  • A06:2021-Güçsüz ve Eski Bileşenler önce Using Components with Known Vulnerabilities ismiyle biliniyordu ve Top 10 topluluk anketi #2 sırada yer alırken, veri analizi yoluyla da Top 10'a girdi\. Bu kategori 2017'de #9. sıradaydı ve test edilmesinin zorluğu ve riskin değerlendirilmesinin güçlüğü nedeniyle bilinen bir sorundur\. Bu kategoride herhangi bir Ortak Güvenlik Açığı ve Maruziyet (CVE) eşleştirilmemiş olup, dahil edilen CWE'ler için varsayılan sömürü ve etki ağırlıkları 5.0 olarak hesaplandı\.
  • A07:2021-Kimlik Doğrulama Hataları eski ismi Broken Authentication olup, ikinci sıradan bir adım geriye düştü ve şimdi kimlik doğrulaması hatalarına daha çok odaklanan CWE'ler dahil edildi\. Bu kategori Top 10'un önemli bir parçası olmaya devam etmektedir ancak standart çerçevelerin kullanılabilirliği, bu sorunla mücadelede yardımcı oluyor gibi görünüyor\.
  • A08:2021-Yazılım ve Veri Bütünlük Hataları 2021 için yeni bir kategori, yazılım güncellemeleri, kritik veriler ve CI/CD hattı gibi konularla ilgili varsayımların doğrulanmadan yapılması odak noktasıdır\. Bu kategorideki 10 CWE'ye eşitlenen Ortak Güvenlik Açığı ve Maruziyet/Ortak Güvenlik Açığı Puanlama Sistemi (CVE/CVSS) verilerinden en yüksek ağırlıklı etkilerden biri oldu\. 2017'deki Güvensiz Deserileştirme şimdi bu daha geniş kategorinin bir parçası oldu\.
  • A09:2021-Güvenlik Kaydı ve İzleme Hataları önce Insufficient Logging & Monitoring ismiyle biliniyordu ve endüstri anketinden (#3) yer alarak önceki #10. sıradan bir üst sıraya yükseldi\. Bu kategori daha fazla hata türüne genişletildi, test edilmesi zor olup CVE/CVSS verilerinde iyi temsil edilmemektedir\. Ancak bu kategorideki hatalar, görünürlük, olay uyarıları ve kaza incelemelerini doğrudan etkileyebilir\.
  • A10:2021-Sunucu Taraflı İstek Sahteciliği (SSRF) Top 10 topluluk anketinden (#1) yer alarak eklendi\. Veri, nispeten düşük bir incident hızına sahip olmasına rağmen, ortalamadan yüksek test kapsamına, sömürü ve etki potansiyeli değerlerine sahiptir\. Bu kategori, güvenlik topluluğu üyelerinin veride gösterilmesine rağmen bu konunun önemli olduğunu bize anlatan bir senaryo temsil ediyor\.

Kırık Erişim Kontrolü

• Kırık erişim kontrollerinin pratik örnekleri
• Güvenli erişim kontrolleri ve en iyi uygulamalar\.

Kriptografik Hatalar

• Zayıf şifreleme algoritmaları veya hatalı anahtar yönetimi gibi kriptografik hataların detaylı analizi\.
• Güçlü kriptografik mekanizmalar, güvenli protokoller (SSL/TLS) ve web güvenliğine modern kriptografinin örnekleri gibi konuların önemi\.

Enjeksiyon Saldırıları

• SQL, NoSQL, OS ve LDAP enjeksiyonlarının detaylı çözümlemesi\.
• Hazır ifadeler, parametreleme sorguları ve girişlerin kaçışını kullanarak önleme teknikleri\.

Güvensiz Tasarım

• Hatalı giriş doğrulaması gibi zafiyetlere yol açabilecek tasarım hatalarının incelenmesi\.
• Güvenli mimari ve tasarım prensipleri için stratejiler\.

Güvenlik Yanlış Yapılandırması

• Gerçek dünya örnekle yanlış yapılandırmalar\.
• Yapılandırma yönetimi ve otomasyon araçlarını içeren yanlış yapılandırmanın önlenmesi için adımlar\.

Güçsüz ve Eski Bileşenler

• Güçsüz kütüphaneler ve çerçevelerin kullanımının risklerini belirleme\.
• Bağımlılık yönetimi ve güncellemeler için en iyi uygulamalar\.

Kimlik Doğrulama Hataları

• Ortak kimlik doğrulama sorunları\.
• Çok faktörlü kimlik doğrulaması ve uygun oturum yönetimi gibi güvenli kimlik doğrulama stratejileri\.

Yazılım ve Veri Bütünlük Hataları

• Güvenilir olmayan yazılım güncellemeleri ve veri bozulması gibi sorunlar üzerine odaklanma\.
• Güvenli güncelleme mekanizmaları ve veri bütünlük denetimleri\.

Güvenlik Kaydı ve İzleme Hataları

• Güvenlik açısından kritik bilgilerin kaydedilmesi ve şüpheli etkinlikler için izlemenin önemi\.
• Breach'leri erken tespit etmek için doğru günlük tutma ve gerçek zamanlı izleme araçları ve uygulamaları\.

Sunucu Taraflı İstek Sahteciliği (SSRF)

• Saldırganların SSRF açıklarını kullanarak iç sistemlere erişim sağlama yöntemleri\.
• Doğru giriş doğrulaması ve güvenlik duvarı yapılandırmaları gibi önleme taktikleri\.

En İyi Uygulamalar ve Güvenli Kodlama

• Güvenli kodlamayı sağlayacak en iyi uygulamalar hakkında kapsamlı bir tartışma\.
• Zafiyet tespiti için araçlar\.

Özet ve Sonraki Adımlar