Web Uygulama Güvenliği Kontrol Listesi 2010



Benzer belgeler
Web Güvenliği Topluluğu webguvenligi.org Web Uygulama Güvenliği Kontrol Listesi 2012

YAZILIM GÜVENLİĞİ POLİTİKASI 1/6. Doküman No : Yayınlandığı Tarih: Revizyon No: 00

Tanımı Problemi 46 Şüpheci Yaklaşım 47 Tamsayı Taşması (Integer Overflow) 47 Tamsayı Taşması Java Uygulaması 48

WEB SUNUCU GÜVENLİĞİ: Web Siteleri Neden Hacklenir?

BioAffix Ones Technology nin tescilli markasıdır.

Web Application Penetration Test Report

BioAffix Ones Technology nin tescilli markasıdır.

ProFTPD FTP Sunucusu. Devrim GÜNDÜZ. TR.NET Sistem Destek Uzmanı.

BioAffix Ones Technology nin tescilli markasıdır.

BioAffix Ones Technology nin tescilli markasıdır.

Yazılım-donanım destek birimi bulunmalıdır.

Medula Eczane Stok Bilgileri Web Servisleri Kullanım Kılavuzu

EKLER EK 12UY0106-5/A4-1:

ÖZ DEĞERLENDİRME SORU LİSTESİ

Selective Framebusting

VERİ GÜVENLİĞİ. Web Uygulamaları Güvenliği. Özer Çelik Matematik-Bilgisayar Bölümü

ORTA DOĞU TEKNİK ÜNİVERSİTESİ BİLGİ İŞLEM DAİRE BAŞKANLIĞI. Güvenlik ve Virüsler. ODTÜ BİDB İbrahim Çalışır, Ozan Tuğluk, Cengiz Acartürk

KURUM AĞLARINI ÖNEMLĠ ZARARLI YAZILIM SALDIRILARINDAN KORUMA. Osman PAMUK

Oracle da Güvenlik. Kerem ERZURUMLU A

Web Uygulama Saldırıları ve Klasik Çözümlerin Yetersizliği

Özgür Yazılımlar ile Kablosuz Ağ Denetimi

Linux Temelli Zararlı Yazılımların Bulaşma Teknikleri, Engellenmesi ve Temizlenmesi

Güvenlik Java ve Web Uygulama Güvenliği

ÖRÜN (WEB) GÜVENLİĞİ. Hazırlayan: Arda Balkanay

Zope Uygulama Sunucusu

Oturum Öncesi Tanımlı Oturum Kimliği Çerezi Açığı Gökhan

Linux Sunucuları için Güvenlik İpuçları. Korhan Gürler, Burç Yıldırım

Ortamınızda A.D. veya LDAP sistemi var ise aşağıdaki linkten KoruMail LDAP-AD isimli dokümanı inceleyebilirsiniz.

Bilgi Güvenliği Farkındalık Eğitimi

Bankacılıkta Admin Riskleri ve Bellekte Avcılık

Coslat Monitor (Raporcu)

BİLGİ GÜVENLİĞİ. Temel Kavramlar

Kerberos Kimlik Denetimi Altyapısı

Güvenli Doküman Senkronizasyonu

Web Servis-Web Sitesi Bağlantısı

Yazılım Geliştirme Sürecinde OWASP Projeleri

1 Temel Kavramlar. Veritabanı 1

AĞ ve SİSTEM GÜVENLİĞİ

Kets DocPlace LOGO Entegrasyonu

Bilgisayar Güvenliği Etik ve Gizlilik

Berqnet Sürüm Notları Sürüm 4.1.0

Kurumsal Bilgi Güvenliği ve Siber Güvenlik

Ufuk Üniversitesi Kütüphanesi Kütüphane Kaynaklarına Erişim Bilgileri

Sızma Testlerinde İleri Düzey Teknikler. Ozan UÇAR

LIBPXY SERVİSİNİN KULLANIMI

FINDIK Herkese Açık Filtre

ERİŞİM ENGELLEME DOS VE DDOS:

WEB UYGULAMA GÜVENLİĞİ HAKKINDA. Mesut Güngör İzmir Yüksek Teknoloji Enstitüsü Bilgi İşlem Daire Başkanlığı

2008 Yılı Kritik Güvenlik Açıkları

3. Analytic Workspace Manager ile Oracle OLAP Küpü Tasarımı

Bilgi Güvenliği Eğitim/Öğretimi

WebInstaller. 1. Kurulum Đçin Gereksinimler

AntiKor Güvenlik Sunucumu nereye yerleştirmeliyim?

Blog ve WordPress Kavramları 2. WordPress.com a Nasıl Üye Olabilirim? 10. Nelere İhtiyacımız Var? 18

Sertan Kolat

ÇOK ÖNEMLİ GÜVENLİK VE YEDEKLEME UYARISI

Veritabanı Sızma Testleri Türk Standardları Enstitüsü Yazılım Test ve Belgelendirme Dairesi Başkanlığı

Bilgi ve Olay Yönetim Sistemi

Pac Dosyası İle Proxy Kullanmak

Apache Tomcat Güvenliği

Veritabanı. Ders 2 VERİTABANI

Script. Statik Sayfa. Dinamik Sayfa. Dinamik Web Sitelerinin Avantajları. İçerik Yönetim Sistemi. PHP Nedir? Avantajları.

SoSv2 Uygulaması ile Sql2005 Kurulumu

DSİ kapsamında oluşturulan dağınık durumdaki verilerinin düzenlenmesi, yeniden tasarlanarak tek bir coğrafi veri tabanı ortamında toplanması,

BANKACILIK DÜZENLEME VE DENETLEME KURUMU (Bilgi Yönetimi Dairesi)

HAVELSAN Siber Güvenlik Akademisi. Önlenemiyorsa Korunmak için Eğitim

Web Uygulama Güvenliğinde Doğru Bilinen Yanlışlar!

Bilgi ve Olay Yönetim Sistemi

Network Access Kontrol Ağ Erişim Kontrolü (NAC)

Veritabanı Yönetimi Bilgisayarların. Keşfi Hedefler. Veritabanı, Veri ve Bilgi. Veritabanı, Veri ve Bilgi. Veritabanı, Veri ve Bilgi

MODSECURITY DENETİM KAYITLARINI ANLAMAK. Gökhan Alkan,

VET ON KULLANIM KLAVUZU

Linux işletim sistemlerinde dosya hiyerarşisinde en üstte bulunan dizindir. Diğer bütün dizinler kök dizinin altında bulunur.

Kaspersky Open Space Security: Release 2. İşletmeniz için birinci sınıf bir BT güvenliği çözümü

BİLGİ GÜVENLİĞİ. İsmail BEZİRGANOĞLU İdari ve Mali İşler Müdürü Türkeli Devlet Hastanesi

HUAWEI Cihazlara Erişim Yöntemleri

Kurumsal Ağlarda Web Sistem Güvenliği

McAfee epolicy Orchestrator Pre-Installation Auditor 2.0.0

Tek Arayüz. Çok Fonksiyon. Kolay Kullanım. Komut Satırı ile Vedalaşın

MOODLE UZAKTAN ÖĞRETİM SİSTEMİ

CODEIGNITER SEMINERI KÜTÜPHANE YAZMA GÜVENLIK ÖNLEMLERI CODEIGNITER 2.0

Ders İ zlencesi. Ders Başlığı. Dersin amacı. Önceden sahip olunması gereken beceri ve bilgiler. Önceden alınması gereken ders veya dersler

Üst Düzey Programlama

PAROLA POLİTİKASI İÇİNDEKİLER

Online Protokol Üretim Projesi

Web Uygulamaları Güvenlik Denetimi. Fatih Özavcı

ARiL Veri Yönetim Platformu Gizlilik Politikası

PHP (II) Formlar. Dosya İşlemleri. 2002, Sanem SARIEL PHP Ders Notları 2 1. Formlar

AHTAPOT Merkezi Güvenlik Duvarı Yönetim Sistemi Kontrol Paneli

Kurumsal Kimlik Yönetimi ve Güçlü Kimlik Doğrulama. Yılmaz Çankaya

Kurumsal Güvenlik ve Web Filtreleme

SÜRE BAŞLAMA TARİHİ : 19/12/2018 BİTİŞ TARİHİ : 20/02/2019 KURS SÜRESİ : 144 Saat KURS NO :

İNTERNET PROGRAMCILIĞI HAFTA MYSQL - PHPMYADMIN. Hazırlayan Fatih BALAMAN. İçindekiler. Hedefler. Mysql Nedir.

Yedek Almak ve Yedekten Geri Dönmek

GÖZETMEN İLE BAŞVURU FORMU DOLDURMA TALİMATI

Bölüm 10: PHP ile Veritabanı Uygulamaları

Burp Suite ile Deneme - Yanılma Denetimi

Bunyamin Demir, <bunyamindemir at gmail dot com>, webguvenligi.org, 20/01/2011 ORACLE VERĠTABANI TRAFĠĞĠNĠN GÜVENLĠĞĠ

Transkript:

Web Uygulama Güvenliği Kontrol Listesi 2010 1 www.webguvenligi.org

Web uygulama güvenliği kontrol listesi 2010, OWASP-Türkiye ve Web Güvenliği Topluluğu tarafından güvenli web uygulamalarında aktif olması gereken denetim adımlarını içeren bir dokümantasyon projesidir. Projedeki her kontrole dört nitelik atanmıştır. Kategorilere ayrılmış kontrollerin uygulama sorumluları belirlenmiştir. Ayrıca eksikliklerinde sistemlere genel etkileri belirtilen kontroller doğru önceliklendirmek için risk seviyelerine sınıflandırılmışlardır. 1. Kategoriler a. Hata Yönetimi b. Girdi Denetimi c. Oturum Yönetimi d. Yetkilendirme e. Kayıt Tutma f. Kimlik Doğrulama g. Bağlantı Güvenliği h. Web Servisleri i. İş Mantığı j. Veri Güvenliği k. Yapılandırma Yönetimi 2. Sorumlular a. Sistem Yöneticisi: İşletim sistemi ve uygulama sunucusunu yöneten ilgili. b. Veritabanı Yöneticisi: Veritabanı sunucusunu yöneten ilgili. c. Geliştirici: Uygulamayı geliştiren ilgili. 3. Etkiler a. Bilgi Toplama b. SQL Enjeksiyonu c. XSS d. Bilgi Hırsızlığı e. Hizmet Dışı Bırakma f. Komut Çalıştırma 4. Seviyeler a. Acil (5) b. Kritik (4) c. Yüksek (3) d. Orta (2) e. Düşük (1) Not: Sıralama seviye bazlı yapılmıştır. 1

1. Uygulama ile son kullanıcı arasındaki kullanıcı adı, parola, kredi kartı no, adres gibi hassas veriler HTTPS protokolü üzerinden aktarılmalıdır. Kategori : Bağlantı Güvenliği Etki : Bilgi Hırsızlığı 2. Kullanılan parolalar ve parolamı unuttum kontrol soru cevapları gibi diğer hassas veriler açıkmetin olarak saklanmamalıdır. Kategori : Veri Güvenliği Etki : Bilgi Hırsızlığı 3. SQL enjeksiyonuna karşı prepared statement/parameterized query/bind variables/pozitif veri kontrolü yöntemlerinden biri veya bir kaçı kullanılmalıdır. Kategori : Girdi Denetimi Etki : SQL Enjeksiyonu 4. Kullanıcıdan gelen tüm girdilere sunucu tarafında pozitif veri kontrolü uygulanmalıdır. Kategori : Girdi Denetimi Etki : Hepsi 5. Kullanıcıdan gelen verilerin işletim sistemi komut satırına girmeden kontrol edilmesi ve düzgünleştirme işleminden (escape) geçirilmesi gerekmektedir. Kategori : Girdi Denetimi Etki : İşletim Sistemi Komut Enjeksiyonu 6. Kullanıcıdan gelen ve dosya erişim işlemlerinde kullanılan girdiler normalizasyon işlemine tabi tutulmalıdır. Kategori : Girdi Denetimi Etki : Dizin Gezinimi 7. GET veya POST isteklerindeki HTTP parametreleri değiştirilerek üçüncü şahısların bilgilerine yetkisiz olarak erişilmemelidir. Kategori : Yetkilendirme Etki : Bilgi Hırsızlığı, Hak Yükseltme 8. SOAP, Restful, XML-RPC gibi teknolojilerle geliştirilmiş web servislerine erişimlerde kimlik doğrulama kontrolü uygulanmalıdır. Kategori : Web Servisleri Etki : Bilgi Hırsızlığı, Sistem Yöneticisi 9. Kullanıcıdan veri alarak LDAP'a bağlanan uygulamalar, gerekli girdi kontrollerini gerçekleştirmeli ve bu girdileri LDAP düzgünleştirme işleminden (escape) geçirmelidirler. Kategori : Girdi Denetimi Etki : LDAP Enjeksiyonu 10. Güvensiz kaynaklardan veri alarak XPath sorguları yapan uygulamalar, gerekli girdi kontrollerini gerçekleştirmeli ve bu girdileri XPath düzgünleştirme işleminden (escape) geçirmelidirler. Kategori : Girdi Denetimi Etki : XPath Enjeksiyonu 2

11. Karşıdan dosya yükleme işlemlerinde yüklenilen dosya üzerinde isim, boyut, tip ve içerik kontrolü yapılmalıdır. Kategori : Girdi Denetimi Etki : XSS, Dosya Çalıştırma 12. DoS saldırısı barındıracak veya şifre deneme-yanılma gibi kaba kuvvet saldırılarına açık tüm formlara CAPTHCA veya farklı anti-otomasyon güvenlik kontrolleri uygulanmalıdır. Kategori : Girdi Denetimi Etki : Hizmet Dışı Bırakma, Kaba Kuvvet 13. Güvenli web trafiği için (SSL) güçlü şifreleme algoritmaları kullanılmalıdır, güçsüz algoritmalar inaktif hale getirilmelidir. Kategori : Bağlantı Güvenliği Etki : Bilgi Hırsızlığı 14. Uygulama çatısı/veritabanı/uygulama sunucusu/web sunucusu gibi kullanılan yazılımların güvenlik yamaları en üst seviyede olmalıdır. Kategori : Yapılandırma Yönetimi Etki : Hepsi 15. Kritik işlemlerde CSRF saldırılarına karşı güvenlik önlemleri alınmalıdır. Kategori : Oturum Yönetimi Etki : CSRF 16. Uygulama üzerinden yapılan hassas işlemler hem uygulama seviyesinde hem de sunucu seviyesinde kayıt altına alınmalıdır. Kategori : Kayıt Tutma Etki : Non repudiation, Sistem Yöneticisi 17. Kullanıcıdan gelen CR/LF karakterleri uygulama tarafında oldukları gibi HTTP cevap başlıklarında kullanılmamalıdır. Kategori : Girdi Denetimi Etki : HRS 18. Uygulamaların üzerinde koştukları sunucuları, servis verdikleri dizinlerin içeriklerini listelememelidir. Kategori : Yapılandırma Yönetimi Etki : Dizin Listeleme 19. Güvensiz kaynaklardan veri alarak aritimetik işlem yapan uygulamalar, gerekli tam sayı üst sınır ve alt sınır kontrollerini gerçekleştirmelidirler. Kategori : Girdi Denetimi Etki : Tamsayı Taşması 20. Web servisleri için kullanılan çatıların klasik XML saldırılarına karşı bağışık olup olmadıkları kontrol edilmelidir. Kategori : Web Servisleri Etki : Hizmet Dışı Bırakma 3

21. Uygulamalarda başarılı kimlik doğrulama ve çıkış işlemleri sonrası oturum bilgisinin değiştirilmesi gerekmektedir. Kategori : Oturum Yönetimi Etki : Session Fixation 22. Oturum yönetimi için kullanılan ve uygulamayı kullanan bütün kullanıcılar için tekil olması gereken değerlerin tahmin edilemez derecede karmaşık olduğu ve güçlü bir rastgele veri üretecinden temin edildiği kontrol edilmelidir. Kategori : Oturum Yönetimi Etki : Hak Yükseltme 23. Uygulamayı çalıştıran sistem kullanıcısının, hizmet verilen dizin dışındaki yetkileri kaldırılmalıdır. Kategori : Yetkilendirme Etki : Hepsi 24. ASP.NET, PHP, STRUTS gibi kullanılan uygulama çatılarının güvenlik özellikleri aktif hale getirilmelidir. Kategori : Yapılandırma Yönetimi Etki : Hepsi 25. Veritabanı kullanıcısının sadece uygulamanın kullandığı veritabanı kaynaklarına erişim hakkı olmalıdır. Kategori : Yetkilendirme Etki : Bilgi Hırsızlığı, Komut Çalıştırma Sorumlu : Veritabanı Yöneticisi 26. Hassas bilgiler içeren web sayfalarının tarayıcılarda belleğe alınmaması için autocomplete, cache-control, pragma gibi gerekli HTTP/HTML başlıkları kullanılmalıdır. Kategori : Yapılandırma Yönetimi Etki : Bilgi Hırsızlığı, Sistem Yöneticisi 27. Arama motorları tarafından görüntülenmemesi istenen dizinler varsa, bunlar için robots.txt ile önlem alınmalıdır. Kategori : Yapılandırma Yönetimi Etki : Bilgi Toplama 28. Yedekleme, arşiv, test, geliştirme için kullanılan gereksiz hiçbir dosya İnternet üzerinden erişilebilir dizinlerde bulunmamalıdır. Kategori : Yapılandırma Yönetimi Etki : Bilgi Toplama 29. Ön tanımlı kullanıcı hesapları sistemden veya uygulamadan kaldırılmalıdır. Kategori : Yapılandırma Yönetimi Etki : Hepsi, Sistem Ynt., Veritabanı Ynt. 4

30. Uygulama domain isimlerine ait hassas bilgilerin google/bing gibi arama motorları tarafından indexlenmediği kontrol edilmelidir. Kategori : İş Mantığı Etki : Bilgi Toplama 31. Parola güncelleme işlemleri için eski şifre her zaman sorulmalıdır. Kategori : Yetkilendirme Etki : Bilgi Hırsızlığı 32. Parola unuttum formları, gizli soru, doğum tarihi gibi birden fazla parametre ile desteklenmelidir. Kategori : İş Mantığı Etki : Hizmet Dışı Bırakma 33. Veritabanı kullanıcısının veritabanına sadece uygulama sunucu IP`sinden bağlantı hakkı olmalıdır. Kategori : Yetkilendirme Etki : Bilgi Hırsızlığı Sorumlu : Veritabanı Yöneticisi 34. Başarılı login işlemleri sonrası HTTP 302 ile kullanıcı dahili sayfalara yönlendirilmelidir. Kategori : Oturum Yönetimi Etki : Bilgi Hırsızlığı 35. Gerekmedikçe POST/GET dışındaki HTTP metotlarına izin verilmemelidir. Kategori : Yapılandırma Yönetimi Etki : XSS, Dosya Çalıştırma, Bilgi Toplama 36. Yönetim paneli, arayüzü gibi kritik dizinlerin isimleri kolay tahmin edilebilir olmamalıdır (admin, yonetici, administrator, yonetim, panel, etc...) Kategori : İş Mantığı Etki : Bilgi Toplama 37. Sunucu üzerinde bulunan ve web tabanlı istatistik sağlayan uygulamalara erişim herkese açık olmamalıdır. Kategori : Yetkilendirme Etki : Bilgi Toplama 38. Uygulamaların, uygun olan her sayfada çerçeve engelleyici önlemleri (frame busting) almaları gerekmektedir. Kategori : Girdi Denetimi Etki : ClickJacking / Leeching 39. HTTPS protokolü kullanılan bağlantılarda kullanılan COOKIE değerleri için Secure parametresinin tanımlı olduğu kontrol edilmelidir. Kategori : Oturum Yönetimi Etki : Bilgi Hırsızlığı, Sistem Yöneticisi 5

40. Uygulamada oluşan hatalar veya uygulama sunucu varsayılı hata mesajları kullanıcıya detaylı olarak gösterilmemelidir. Kategori : Hata Yönetimi Etki : Bilgi Toplama, Sistem Yöneticisi 41. Kullanılan COOKIE değerleri için HTTPOnly parametresinin tanımlı olduğu kontrol edilmelidir. Kategori : Oturum Yönetimi Etki : Bilgi Hırsızlığı, Sistem Yöneticisi 42. Flash uygulamalarında crossdomain.xml yapılandırma dosyası uygulanan politikanın güvenli olduğu kontrol edilmelidir. Kategori : Yapılandırma Yönetimi Etki : Bilgi Hırsızlığı 6

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim