YAZILIM GÜVENLİĞİ POLİTİKASI 1/6. Doküman No : Yayınlandığı Tarih: Revizyon No: 00



Benzer belgeler
Web Uygulama Güvenliği Kontrol Listesi 2010

Web Güvenliği Topluluğu webguvenligi.org Web Uygulama Güvenliği Kontrol Listesi 2012

Tanımı Problemi 46 Şüpheci Yaklaşım 47 Tamsayı Taşması (Integer Overflow) 47 Tamsayı Taşması Java Uygulaması 48

Yazılım-donanım destek birimi bulunmalıdır.

ÖZ DEĞERLENDİRME SORU LİSTESİ

ORTA DOĞU TEKNİK ÜNİVERSİTESİ BİLGİ İŞLEM DAİRE BAŞKANLIĞI. Güvenlik ve Virüsler. ODTÜ BİDB İbrahim Çalışır, Ozan Tuğluk, Cengiz Acartürk

Web Application Penetration Test Report

Selective Framebusting

WEB SUNUCU GÜVENLİĞİ: Web Siteleri Neden Hacklenir?

BioAffix Ones Technology nin tescilli markasıdır.

PAROLA POLİTİKASI İÇİNDEKİLER

ProFTPD FTP Sunucusu. Devrim GÜNDÜZ. TR.NET Sistem Destek Uzmanı.

BioAffix Ones Technology nin tescilli markasıdır.

EKLER EK 12UY0106-5/A4-1:

BioAffix Ones Technology nin tescilli markasıdır.

Linux Temelli Zararlı Yazılımların Bulaşma Teknikleri, Engellenmesi ve Temizlenmesi

Yazılım Geliştirme Sürecinde OWASP Projeleri

Bilgi Güvenliği Eğitim/Öğretimi

BioAffix Ones Technology nin tescilli markasıdır.

Medula Eczane Stok Bilgileri Web Servisleri Kullanım Kılavuzu

Kets DocPlace LOGO Entegrasyonu

Ortamınızda A.D. veya LDAP sistemi var ise aşağıdaki linkten KoruMail LDAP-AD isimli dokümanı inceleyebilirsiniz.

Siber Suçlarla Mücadele Şube Müdürlüğümüz, ilimiz Derince ilçesinde bulunan İl Emniyet Müdürlüğü yerleşkesinde faaliyet göstermektedir.

T.C. TARIM ve KÖYİŞLERİ BAKANLIĞI BİLGİ VE İLETİŞİM SİSTEMLERİ KULLANIMININ DÜZENLENMESİNE İLİŞKİN YÖNERGE BİRİNCİ BÖLÜM GENEL HÜKÜMLER

Kaspersky Open Space Security: Release 2. İşletmeniz için birinci sınıf bir BT güvenliği çözümü

Google Play Zararlısı İnceleme Raporu

DSİ kapsamında oluşturulan dağınık durumdaki verilerinin düzenlenmesi, yeniden tasarlanarak tek bir coğrafi veri tabanı ortamında toplanması,

Coslat Monitor (Raporcu)

SIRA NO SORUMLU BİRİM FAALİYET SORUMLU DURUM AÇIKLAMA

BİLGİ GÜVENLİĞİ. Temel Kavramlar

ERİŞİM ENGELLEME DOS VE DDOS:

State Yönetimi. Bir web sayfası ile sunucu arasındaki etkileşim ;

TÜBİTAK UEKAE ULUSAL ELEKTRONİK ve KRİPTOLOJİ ARAŞTIRMA ENSTİTÜSÜ

VERİ GÜVENLİĞİ. Web Uygulamaları Güvenliği. Özer Çelik Matematik-Bilgisayar Bölümü

MODSECURITY DENETİM KAYITLARINI ANLAMAK. Gökhan Alkan,

Kerberos Kimlik Denetimi Altyapısı

Web Uygulama Saldırıları ve Klasik Çözümlerin Yetersizliği

ÇÖZÜM BİLGİSAYAR KOLAY RANDEVU RANDEVU WEB SERVİSLERİ YAZILIM FİRMALARI ENTEGRASYON KILAVUZU Sürüm: 1.0

MİLLİ EĞİTİM BAKANLIĞI YENİ EPOSTA SİSTEMİ HAKKINDA MEB

FINDIK Herkese Açık Filtre

Linux Sunucuları için Güvenlik İpuçları. Korhan Gürler, Burç Yıldırım

BİLGİ GÜVENLİĞİ VE BİLGİ İŞLEM PROSEDÜRÜ

Bilgi Güvenliği Denetim Sürecinde Özgür Yazılımlar. Fatih Özavcı Bilgi Güvenliği Danışmanı

KURUM AĞLARINI ÖNEMLĠ ZARARLI YAZILIM SALDIRILARINDAN KORUMA. Osman PAMUK

Bilgisayar Güvenliği Etik ve Gizlilik

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Bilgi Güvenliği ve Ağ Yönetim Uzmanı Görev Tanımı

Kurumsal Bilgi Güvenliği ve Siber Güvenlik

Web Servis-Web Sitesi Bağlantısı

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Sistem Yönetim Uzmanı Görev Tanımı

GÖZETMEN İLE BAŞVURU FORMU DOLDURMA TALİMATI

Kurumsal Ağlarda Web Sistem Güvenliği

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Sistem Yönetim Uzman Yardımcısı Görev Tanımı

Oturum Öncesi Tanımlı Oturum Kimliği Çerezi Açığı Gökhan

Ülkemizdeki Üniversite Web Sayfalarının Siber Güvenlik Açısından Hızlı Bir Değerlendirmesi

Blog ve WordPress Kavramları 2. WordPress.com a Nasıl Üye Olabilirim? 10. Nelere İhtiyacımız Var? 18

Bölüm 10: PHP ile Veritabanı Uygulamaları

ELEKTRONİK İMZALI BAŞVURU ARAYÜZÜ TALİMATI

Güvenlik Java ve Web Uygulama Güvenliği

Ağ Yönetiminin Fonksiyonel Mimarisi

Kurulum Dökümanı. v

Bilgisayar Ağları ve Ağ Güvenliği DR. ÖĞR. ÜYESİ KENAN GENÇOL HİTİT ÜNİVERSİTESİ ELEKTRİK-ELEKTRONİK MÜH.

VET ON KULLANIM KLAVUZU

AHTAPOT Merkezi Güvenlik Duvarı Yönetim Sistemi Kontrol Paneli

İNTERNET EXPLORER AYARLARI 1. Başlat-Ayarlar-Denetim Masası menüsünden "İnternet Özellikleri" (Seçenekleri)'ni seçiniz. Resim. 1

T.C.SOSYAL GÜVENLİK KURUMU. Genel Sağlık Sigortası Medula Optik E-rapor Web Servisleri Kullanım Kılavuzu

NicProxy Registrar WHMCS Modül Kurulumu Versiyon 1.0

BİDB Enformatik Servisleri. Nisan 2005

Veritabanı. Ders 2 VERİTABANI

Bilgi Güvenliği Farkındalık Eğitimi

Gizlilik ve Güvenlik GİZLİLİK VE GÜVENLİK POLİTİKASI

Kurulum 14 FTP ye Bağlanmak ve Dosyaları Atmak 14 Veritabanı Oluşturulması ve Bağlanıp Kurulumun Tamamlanması 15

K12 Uzantılı E Posta Kullanım Ve Kurulum Klavuzu

Programlama Kılavuzu. IPV Serisi IP Santralleri IPV10 IPV20 IPV50

T.C.SOSYAL GÜVENLİK KURUMU. Genel Sağlık Sigortası Medula Optik E-reçete Web Servisleri Kullanım Kılavuzu

Asp.Net Veritabanı İşlemleri

TÜBİTAK ULAKBİM ELEKTRONİK İMZA ENTEGRASYONU HİZMET ALIMI TEKNİK ŞARTNAMESİ

DTÜ BİLGİ İŞLEM DAİRE

Eczane İlaç Satış Onay Bildirimi Web Servislerinin Kullanım Kılavuzu

YÖNETİM SAYFALARI İÇERİĞİ

Yeni Nesil Ağ Güvenliği

BANKACILIK DÜZENLEME VE DENETLEME KURUMU (Bilgi Yönetimi Dairesi)

Veritabanı Uygulamaları Tasarımı

WEB UYGULAMASINA YÖNELİK DENETLEMELERDE LİNK KEŞFETME TEKNİKLERİ VE ARAÇLARI. Deniz Çevik, <denizcev at gmail dot com>, webguvenligi.

T.C.SOSYAL GÜVENLİK KURUMU. Genel Sağlık Sigortası Medula Optik E-rapor Web Servisleri Kullanım Kılavuzu

Siber Güvenlik Risklerinin Tanımlanması / Siber Güvenlik Yönetişimi

ESİS Projesi. Kaynaklar Bakanlığı

PHP 1. Hafta 2.Sunum

Türkiye Barolar Birliği internet sitesi

BİLGİ GÜVENLİĞİ. Bu bolümde;

ONDOKUZ MAYIS ÜNİVERSİTESİ WEB SAYFASI HAZIRLAMA YÖNERGESİ

Zope Uygulama Sunucusu

SÜRE BAŞLAMA TARİHİ : 19/12/2018 BİTİŞ TARİHİ : 20/02/2019 KURS SÜRESİ : 144 Saat KURS NO :

3. SORUMLULAR: Üniversitemizin tüm e-posta hizmetleri için gereken yazılım, donanım ve hizmetler Bilgi İşlem Daire

Bankacılıkta Admin Riskleri ve Bellekte Avcılık

Üst Düzey Programlama

Sertan Kolat

5651 Sayılı Kanun Hakkında Kanunla ilgili detay bilgiler

Turquaz. Açık kodlu muhasebe yazılımı Turquaz Proje Grubu

YAZILIM GÜVENLİK TESTLERİ. H A L D U N T E R A M A N h a l d u n t e r a m a g m a i l. c o m

Transkript:

1/6 1. AMAÇ: Bu doküman İstanbul Üniversitesinde geliştirilmiş ve geliştirilmekte olan tüm uygulamalarında yazılımın her türlü güvenliğinin sağlanması amacıyla tüm yazılım geliştiriciler, veri tabanı ve sistem yöneticileri tarafından uyulması gereken kuralları ve kontrol edilmesi gereken adımları tanımlamak üzere hazırlanmıştır. 2. KAPSAM: Bu politika, İstanbul Üniversitesi BİDB tarafından geliştirilen uygulamaların (örneğin web sayfaları, masaüstü uygulamaları, web otomasyonları v.b.) geliştirilmesi, bakım ve desteğinin sağlanması gibi faaliyetleri yürüten tüm akademik ve idari personelin uyması gereken kuralları kapsamaktadır. 3. SORUMLULAR: Üniversitemizin farklı birimlerinde yürütülen internet uygulamaları, bilgi sistemleri alanına giren her konuda akademik ve idari birimlerin gereksinim duyduğu her türlü alt yapı, donanım ve yazılım hizmetleri Bilgi İşlem Daire Başkanlığı tarafından yürütülmektedir. 4. UYGULAMALAR: İstanbul Üniversitesinde kullanıma açılan yazılım ürünlerinin ( uygulamaların ) aşağıda sıralanan kategoriler altında yer alan kontrol adımlarının doğrulanmasının sağlanması gerekmektedir. Aksi takdirde uygulamaların güvenliğine dair somut göstergelere sahip olunamayacaktır. Bu kategoriler 9 başlık altında toplanmıştır: Veri Koruması Hata Yönetimi ve Kayıt Tutma Erişim Kontrolü Kimlik Sınama Oturum Yönetimi Kriptoloji İletişim Güvenliği Girdi Denetimi Çıktı Kodlama 4.1. Veri Koruması Uygulamaların kayıt altına aldığı veya kullandığı her türlü bilginin yetkisiz erişime kapalı olması gerekmektedir. Bu amaç doğrultusunda aşağıdaki adımlar kontrol edilmelidir. 4.1.1. Web, uygulama ve veritabanı sunucularının sistem bileşenleri hakkındaki kritik bilgiler (sunucu adı ve sürümü, kullanılan program sürümü v.b.) gizlenmelidir. 4.1.2. Uygulama çatısı, veritabanı, uygulama sunucusu ve web sunucusu gibi kullanılan yazılımların güvenlik yamaları en üst seviyede olmalıdır. 1

2/6 4.1.3. ASP.NET, PHP, STRUTS gibi kullanılan uygulama çatılarının güvenlik özellikleri aktif hale getirilmelidir. 4.1.4. Kullanılan parolalar ve parolamı unuttum kontrol soru ve cevapları gibi diğer hassas veriler açık metin olarak saklanmamalıdır. 4.1.5. Uygulamalar, geliştirme ortamından prodüksiyon ortamına aktarılırken gereksiz olan dosyalar (örneğin test kodlar, demo programlar, yedek dosyalar) silinmeli, şayet gerek yoksa kaynak kod aktarılmamalı ve de aktarılacak olan kaynak kodlardaki yorum satırları silinmelidir. Aktarım esnasında dosyalarda istenmeyen bir değişikliğin olmaması garanti edilmelidir. 4.2. Hata Yönetimi ve Kayıt Tutma Uygulamalar hata aldığında veya beklenmedik bir durum ile karşılaşıldığında, çalışma zamanında üretilen hata mesajlarında teknik detayların ve hatalara ait günlük kayıtlarının hiçbir şekilde son kullanıcıya açılmaması gerekmektedir. 4.2.1. Uygulamada oluşan hatalar ve uygulama sunucusu ön tanımlı hata mesajları kullanıcıya detaylı olarak gösterilmemelidir. 4.2.2. Uygulama üzerinden yapılan kritik işlemler hem uygulama seviyesinde hem de sunucu seviyesinde kayıt altına alınmalıdır. 4.3. Erişim Kontrolü Uygulamaların yayın yaptığı içerik, dizinler, sunucuların arayüzleri vb. hiçbir kaynak, kontrol dışı erişilebilir olmamalıdır. 4.3.1. Uygulamaların üzerinde koştukları sunucular, servis verdikleri dizinlerin içeriklerini listelememelidir. 4.3.2. Arama motorları tarafından görüntülenmemesi istenen dizinler varsa, bunlar için robots.txt ile önlem alınmalıdır. Yalnız, sayfa içerisinde köprülenmeyen bağlantıların / dizinlerin (örneğin yönetim sayfası) güvenlik sorunu oluşturmaması adına robots.txt dosyasına eklenmemesi gerekmektedir. 4.3.3. Gerekmedikçe POST/GET dışındaki HTTP metotlarına izin verilmemelidir. 4.3.4. Ana sistem için gereksiz olan dosyalara (örneğin yedekleme, arşiv, test, geliştirme için kullanılan dosyalar) erişim engellenmeli ve sistemdeki gereksiz uygulamalar (örneğin ön tanımlı sunucu sayfaları, demo uygulamalar) kaldırılmalılar. 4.3.5. Flash uygulamalarında crossdomain.xml ve SilverLight uygulamalarında clientaccesspolicy.xml yapılandırma dosyalarında uygulanan politikaların güvenli olup olmadığı kontrol edilmelidir. 4.3.6. Kritik işlemlerde CSRF saldırılarına karşı "token" veya "CAPTCHA" gibi güvenlik önlemleri alınmalıdır. 2

3/6 4.3.7. GET ve POST isteklerindeki HTTP parametreleri değiştirilerek üçüncü şahısların bilgilerine yetkisiz olarak erişilmemelidir. 4.3.8. Uygulamayı çalıştıran sistem kullanıcısının, hizmet verilen dizin dışındaki yetkileri kaldırılmalıdır. 4.3.9. Veritabanı kullanıcısının sadece uygulamanın kullandığı veritabanı kaynaklarına erişim hakkı olmalıdır. 4.3.10. Veritabanı kullanıcısının veritabanına sadece uygulama sunucu IP adresinden bağlantı hakkı olmalıdır. 4.3.11. Race-Condition'lara engel olmak için kritik kaynaklara, objelere, metotlara senkronizasyon sağlanarak eş zamanlı erişime izin verilmemelidir. 4.3.12. Sunucu üzerinde bulunan ve web tabanlı istatistik sağlayan uygulamalara erişim herkese açık olmamalıdır. 4.3.13. Kısıtlı erişim gerektiren bütün URL'lere, fonksiyonlara, obje referanslarına, servislere, uygulama verilerine, kullanıcı bilgilerine, güvenlik yapılandırma dosyalarına erişim denetlenmelidir. 4.3.14. Yetki hakkının artık gerekmediği durumlarda (örneğin şirketi terk etme, projede rol değiştirme gibi) en kısa sürede ilgili haklar iptal edilmelidir. 4.3.15. Yönetim paneli gibi kritik dizinlerin isimleri kolay tahmin edilebilir olmamalıdır (admin, yonetici, administrator, yonetim, panel v.b.). 4.4. Kimlik Sınama Erişime açılan her kaynak kimlik denetimine tabi tutulma yöntemini de kullanmak zorundadır. 4.4.1. Ön tanımlı kullanıcı hesapları sistemden, veritabanından ve uygulamadan kaldırılmalıdır. 4.4.2. Umumi olmayan bütün kaynaklara ve sayfalara erişim için sunucu tarafında kimlik doğrulaması yapılmalıdır. 4.4.3. Kullanıcı adı ve parola ile kimlik doğrulamasının yapıldığı kontroller tek tip hata mesajı vermek suretiyle kullanıcı adları listeleme saldırılarına engel olmalıdırlar. Örnek bir hata mesajı "Girdiginiz kullanıcı adı ve/veya parola yanlıştır." seklinde olabilir. 4.4.4. Bütün başarılı ve başarısız login işlemleri ve kaynaklara erişim denemeleri kayıt altına alınmalıdır. 4.4.5. Parola güncelleme işlemleri için eski parola her zaman sorulmalıdır. 4.4.6. Parola unuttum formları, gizli soru ve benzeri ek argümanlarla desteklenmelidir. 4.4.7. Parola unuttum işlemlerinden sonra kullanıcıya gönderilen eposta, kullanıcı adı ve parola bilgisi içermemelidir. Bunun yerine sınırlı yaşam süresi bulunan bir link gönderilip, o link üzerinden açılan sayfadan parola değiştirme işlemi gerçekleştirilmelidir. 3

4/6 4.4.8. DoS saldırısı barındıracak veya şifre deneme-yanılma gibi kaba kuvvet saldırılarına açık tüm formlara CAPTCHA veya farklı anti-otomasyon güvenlik kontrolleri uygulanmalıdır. 4.4.9. SOAP, Restful, XML-RPC gibi teknolojilerle geliştirilmiş web servislerine erişimlerde kimlik doğrulama kontrolü uygulanmalıdır. 4.5. Oturum Yönetimi Kimlik doğrulama sonrası açılan ve bir erişim izninin süresini tanımlayan oturumun yönetilmesinde aşağıdaki kontrol adımlarına uyulacaktır. 4.5.1. Hassas bilgiler içeren web sayfalarının tarayıcılarda belleğe alınmaması için autocomplete, cachecontrol, pragma gibi gerekli HTTP/HTML başlıkları kullanılmalıdır. 4.5.2. Oturum yönetimi için kullanılan ve uygulamayı kullanan bütün kullanıcılar için tekil olması gereken değerlerin (session id, token v.b.) güçlü bir rastgele veri üretecinden temin edildiği ve tahmin edilemez derecede karmaşık olduğu kontrol edilmelidir. 4.5.3. Oturum bilgisi zaman aşımına uğrayacak şekilde yapılandırılmalıdır. 4.5.4. Uygulamalarda başarılı kimlik doğrulama ve tekrarlayan kimlik doğrulama (re-authentication) neticesinde her zaman yeni bir oturum bilgisi oluşturulmalıdır. Çıkış işleminden sonra da var olan oturum bilgisi geçersizleştirilmelidir. 4.5.5. Oturum bilgisini iceren cerezlerin (COOKIE) domain ve yol (path) bilgileri ilgili site için en uygun şekilde sınırlandırılmalıdır. 4.5.6. Kullanılan çerez değerleri için httponly parametresi tanımlı olmalıdır. Buna ek olarak, HTTPS protokolü kullanılan bağlantılarda kullanılan çerez değerleri için secure parametresi tanımlı olmalıdır. 4.5.7. Başarılı login işlemleri sonrası kullanıcı HTTP 302 ile dahili sayfalara yönlendirilmelidir. 4.5.8. Başarılı kimlik doğrulaması sonucu erişilen uygulamalarda sistemden tekrar çıkmak (logout) için gerekli linkler sağlanmalıdır. 4.5.9. Uygulama domain isimlerine ait hassas bilgilerin google/bing gibi arama motorları tarafından indekslenmediği kontrol edilmelidir. 4.6. Kriptoloji Güvenliğin tahsis edilmesinde ileri kriptografiden yararlanılmak zorundadır. Aşağıdaki metodlar ve kullanım talimatları yerine getirilmelidir. 4.6.1. Güvenli web trafiği için (SSL) güçlü şifreleme algoritmaları kullanılmalıdır, güvensiz algoritmalar inaktif hale getirilmelidir. 4.6.2. SSL sunucusunun "renegotiation" özelliği kapatılarak sunucu servis dışı bırakma ve MITM saldırılarına karşı korunaklı hale getirilmelidir. 4

5/6 4.6.3. Zayıf parolaların kullanımına izin verilmemelidir. 4.6.4. Parola hash değerleri oluşturulurken tuz (salt) veriside kullanılmalıdır. 4.6.5. Kullanıcılara (zarf, sözlü, e-posta yoluyla) dağıtılan başlangıç parolalar, kullanıcılar uygulamaya ilk giriş yaptıklarında değiştirilmeye zorlanmalıdır. 4.7. İletişim Güvenliği 4.7.1. Uygulama ile son kullanıcı arasında aktarılan kullanıcı adı, parola, kredi kartı no, adres gibi hassas veriler HTTPS protokolü üzerinden aktarılmalıdır. 4.8. Girdi Denetimi Uygulamalarda kullanıcılara arayüz üzerinden girişi yaptırılan veya sistemin yapısı gereği parametre geçilebilen her türlü bilgi girişi aşağıdaki listede yer alan kontrollerden geçirilmelidir. 4.8.1. Kullanıcıdan gelen tüm girdiler sunucu tarafında pozitif veri kontrolünden geçmelidir. Girdiler veri kontrolünden geçmeden önce "canonicalization" işlemine tabi tutulmalıdırlar. 4.8.2. Güvensiz kaynaklardan veri alarak aritmetik işlem yapan uygulamalar, gerekli tam sayı üst sınır ve alt sınır kontrollerini gerçekleştirmelidirler. 4.8.3. Karşıdan dosya yükleme işlemlerinde yüklenilen dosya üzerinde isim, boyut, tip ve içerik kontrolü yapılmalıdır. 4.8.4. Kullanıcı parametrelerini kullanarak farklı sitelere yönlendirme yapan uygulamalarda ilgili parametrelere pozitif girdi denetimi uygulanmalı ve bu sayede olta saldırılarına engel olunmalıdır. 4.8.5. Kullanıcıdan gelen CR/LF karakterleri uygulama tarafında oldukları gibi HTTP cevap başlıklarında kullanılmamalıdır. 4.8.6. Uygulama hizmete girmeden önce sızma testleri yapılmalıdır. 4.8.7. Genelde uygulamaların arama özelliğini kötüye kullanarak veritabanı üzerinde çok detaylı arama yaptırarak işlemciyi meşgul eden SQL genel arama karakter (%,* v.b.) saldırılarına karşı arama süresini kısıtlamak suretiyle önlem alınmalıdır. 4.9. Çıktı Kodlama Uygulamaların ürettiği her türlü yanıt nesnesi ( HTML veya Düz Metin) aşağıdaki listede yer alan kontrollerden geçirilmelidir. 4.9.1. Kullanıcıdan gelen veriler işletim sistemi komut satırına girmeden kontrol edilmeli ve düzgünleştirme işleminden (escape) geçirilmelidir. 4.9.2. SQL enjeksiyonuna karşı prepared statement/parameterized query/bind variables/pozitif veri kontrolü yöntemlerinden biri veya birkaçı kullanılmalıdır. 5

6/6 4.9.3. XSS saldırılarına karşı bütün kullanıcı girdileri dışarı aktarılmadan önce sunucu tarafında özel karakter kodlama (output encoding) işleminden geçirilmelidir. Güvenlik seviyesini artırmak için bu işlem kullanıcı girdilerinin tip, uzunluk, içerik denetlemesi yapılarak desteklenebilir. 4.9.4. Kullanıcıdan gelen ve dosya erişim işlemlerinde kullanılan girdiler normalizasyon işlemine tabi tutulmalıdır. 4.9.5. Kullanıcıdan veri alarak LDAP'a bağlanan uygulamalar, gerekli girdi kontrollerini gerçekleştirmeli ve bu girdileri LDAP düzgünleştirme işleminden (escape) geçirmelidir. 4.9.6. Güvensiz kaynaklardan veri alarak XPath sorguları yapan uygulamalar, gerekli girdi kontrollerini gerçekleştirmeli ve bu girdileri XPath düzgünleştirme işleminden (escape) geçirmelidir. 4.9.7. Uygulamalar, uygun olan her sayfada çerçeve engelleyici önlemleri (frame busting) almalıdırlar. 4.9.8. Web servisleri için kullanılan çatıların klasik XML saldırılarına (örneğin cok büyük XML verileri, çok sık tekrarlanan XML tag'leri) ve parametre manipülasyonları na karşı korunaklı olmaları sağlanmalıdır. 5. REFERANS DOKÜMANLAR: 1. OWASP : Open Web Application Security Project, http://www.owasp.org 2. http://www.webguvenligi.org/docs/web_uygulama_guvenligi_kontrol_listesi_2010.pdf 6. İLGİLİ DOKÜMANLAR: E-posta Kullanım Politikası Yurtlar Ağ Kullanım Politikası Lisanslı Antivirüs Yazılımı Kullanım Talimatnamesi Parola Kullanım Politikası İstanbul Üniversitesi Yerel Alan Ağında 5651 Sayılı Kanun Uyarınca Uyulması Gereken Kurallar 6

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim