OWASP (Açık Web Uygulama Güvenliği Projesi) adlı topluluk, hacker olarak adlandırılan kötü niyetli kişilere karşı mücadele etmek için kurulmuştur. OWASP, en büyük güvenlik açıklarını inceleyerek belirli kriterlere göre sıralar. Bu çalışmada, en tehlikeli açıklar incelenmiştir. "Injection" adı verilen bu açıklıklar genellikle kullanıcı tarafından sağlanan ve denetlenmeyen verilerden kaynaklanır. Saldırganlar sistemlere beklenmedik veriler gönderebilir ve yetkisi olmayan verilere izinsiz erişebilir. "Broken Authentication" olarak bilinen açıklık ise genellikle kimlik doğrulama, oturum açma gibi işlevlerin yanlış kullanılması sonucunda ortaya çıkar. Saldırganlar genellikle bu tür saldırılar için "Brute Force" yöntemini kullanırlar. "Sensitive Data Exposure" açıklığı, şifrelenmemiş veya eski varsayılan şifreleme algoritmalarının kullanıldığı verilerin ortaya çıkmasına neden olur. "XML External Entities" açığı, eski veya yanlış yapılandırılmış XML dosyalarından kaynaklanır. "Broken Access Control" açığı, kullanıcı haklarının yeterince kontrol edilmemesi sonucunda ortaya çıkar. "Security Misconfiguration" açığı, hizmet yapılandırmasının yanlış veya eksik olmasından kaynaklanır. "Cross Site Scripting" açığı kullanıcı tarafından sağlanan verilerin tam olarak denetlenmeden veya belirli bir filtreden geçirilmeden yanıt olarak gönderilmesiyle oluşur. "Insecure Deserialization" açığı uzaktan kod çalıştırılmasına neden olabilir. "Using Components with Known Vulnerabilities" açığı, kullanılan bileşenlerin eski sürümleri veya bilinen güvenlik açıkları olan sürümleri nedeniyle ortaya çıkar. "Insufficient Logging and Monitoring" açığı ise izleme yapılandırmalarıyla birlikte saldırganların daha fazla saldırı gerçekleştirmesine, sistemde daha uzun süre kalmasına ve verilere istedikleri gibi müdahale etmesine olanak tanır.
Eser Adı (dc.title) | En Riskli 10 OWASP Zafiyetleri İncelemesi |
Eser Sahibi (dc.contributor.author) | Doğukan Aslan |
Yayıncı (dc.publisher) | İzmir Katip Çelebi Üniversitesi Fen Bilimleri Enstitüsü |
Esere Katkı Sağlayan (dc.contributor.other) | Femin Yalçın Küçükbayrak |
Tür (dc.type) | Diğer |
Açıklama (dc.description) | Tezsiz Yüksek Lisans Bitirme Projesi |
Özet (dc.description.abstract) | OWASP (Açık Web Uygulama Güvenliği Projesi) adlı topluluk, hacker olarak adlandırılan kötü niyetli kişilere karşı mücadele etmek için kurulmuştur. OWASP, en büyük güvenlik açıklarını inceleyerek belirli kriterlere göre sıralar. Bu çalışmada, en tehlikeli açıklar incelenmiştir. "Injection" adı verilen bu açıklıklar genellikle kullanıcı tarafından sağlanan ve denetlenmeyen verilerden kaynaklanır. Saldırganlar sistemlere beklenmedik veriler gönderebilir ve yetkisi olmayan verilere izinsiz erişebilir. "Broken Authentication" olarak bilinen açıklık ise genellikle kimlik doğrulama, oturum açma gibi işlevlerin yanlış kullanılması sonucunda ortaya çıkar. Saldırganlar genellikle bu tür saldırılar için "Brute Force" yöntemini kullanırlar. "Sensitive Data Exposure" açıklığı, şifrelenmemiş veya eski varsayılan şifreleme algoritmalarının kullanıldığı verilerin ortaya çıkmasına neden olur. "XML External Entities" açığı, eski veya yanlış yapılandırılmış XML dosyalarından kaynaklanır. "Broken Access Control" açığı, kullanıcı haklarının yeterince kontrol edilmemesi sonucunda ortaya çıkar. "Security Misconfiguration" açığı, hizmet yapılandırmasının yanlış veya eksik olmasından kaynaklanır. "Cross Site Scripting" açığı kullanıcı tarafından sağlanan verilerin tam olarak denetlenmeden veya belirli bir filtreden geçirilmeden yanıt olarak gönderilmesiyle oluşur. "Insecure Deserialization" açığı uzaktan kod çalıştırılmasına neden olabilir. "Using Components with Known Vulnerabilities" açığı, kullanılan bileşenlerin eski sürümleri veya bilinen güvenlik açıkları olan sürümleri nedeniyle ortaya çıkar. "Insufficient Logging and Monitoring" açığı ise izleme yapılandırmalarıyla birlikte saldırganların daha fazla saldırı gerçekleştirmesine, sistemde daha uzun süre kalmasına ve verilere istedikleri gibi müdahale etmesine olanak tanır. |
Kayıt Giriş Tarihi (dc.date.accessioned) | 2024-07-04 |
Açık Erişim Tarihi (dc.date.available) | 2024-07-04 |
Yayın Tarihi (dc.date.issued) | 2024 |
Tek Biçim Adres (dc.identifier.uri) | https://hdl.handle.net/11469/4096 |
Yayın Dili (dc.language.iso) | tr |
Konu Başlıkları (dc.subject) | OWASP |
Haklar (dc.rights) | Open access |