Tanıtım
Web uygulaması saldırıları, en popüler siber saldırı yöntemlerinden biridir.Araştırmamıza göre, toplam saldırı sayısının %17’si, web uygulamalarının korunmasındaki güvenlik açıklarından ve zayıflıklardan yararlanılmasından kaynaklandı. Saldırganlar, güvenliği ihlal edilmiş siteleri çeşitli amaçlarla kullanabilir: kötü amaçlı yazılım dağıtmak, gizli verileri çalmak, bilgilere sızmak, dolandırıcılık veya bir şirketin dahili altyapısına sızmak. Yukarıdakilerin tümü, kuruluşların işleyişine ve itibarına doğrudan bir tehdittir, bu nedenle web uygulamalarının korunması ve geliştirilmesinde zayıf noktalar bırakmaması gerekir. Çok sayıda güvenlik analizi sonucu kullanarak ana web uygulaması güvenlik açıklarını ve tehditlerini vurgulamaya çalıştık. Araştırma metodolojisi raporun sonunda bulunabilir.

Özet
Tehditler hakkında:
Web uygulamalarının büyük çoğunluğunda (%98), saldırganlar kullanıcılara saldırma yeteneğine sahiptir. Bu tür saldırılar, kötü amaçlı yazılımları yayabilir, kötü amaçlı sitelere yönlendirebilir veya sosyal mühendislik tekniklerini kullanarak verileri çalabilir.
Web uygulamalarının %91’inde önemli veri sızıntıları meydana geldi. Kullanıcı kimlikleri en sık ifşa edildi (vakaların %84’ünde). Uygulamaların üçte ikisi kişisel verilerin ifşasına maruz kaldı ve yaklaşık yarısı kullanıcı kimlik bilgileri sızdırıldı.
Web uygulamalarının %84’ünde yetkisiz erişim olasılığı not edilmiştir. Aynı zamanda, vakaların %5’inde site üzerinde tam kontrol elde edildi.
Güvenlik açıkları hakkında:
Web uygulamalarındaki en tehlikeli güvenlik açıkları , kullanıcıları yetkilendirme ve kimlik doğrulama mekanizmalarındaki eksikliklerdi. Bu güvenlik açıkları, hassas bilgilere ve uygulama işlevlerine yetkisiz erişime izin verir.
Yetkilendirme kusurları, oAuth protokolündeki güvenlik açıklarıyla da ilişkilendirilmiştir. oAuth kullanarak yetkilendirmenin uygulanmasındaki güvenlik açıkları, saldırganlar tarafından oturum ve kullanıcı kimlik bilgilerini ele geçirmek ve ardından uygulamaya yetkisiz erişime yol açmak için kullanılabilir.
Web uygulaması başına ortalama güvenlik açığı sayısı, 2019’a kıyasla üçte bir oranında azaldı. Ortalama olarak, site başına ikisi yüksek riskli 15 güvenlik açığı vardır.
%15, yüksek riskli güvenlik açıklarının, tanımlanan toplam güvenlik açığı sayısı içindeki oranıdır. Sitelerin üçte ikisi bu tür güvenlik açıkları içeriyor.
Güvenlik açıklarının %72’si web uygulama kodundaki hatalarla ilgiliydi.

2020–2021’de Web uygulamalarının %48’i düşük veya aşırı düşük güvenlik düzeyine sahipti ve bu gösterge 2019’a kıyasla iyileşmedi.

Web uygulaması güvenlik açıkları
Şekil 1. Maksimum güvenlik açığı risk derecesine bağlı olarak güvenlik açığı bulunan web uygulamalarının payları
Yüksek önem derecesine sahip zafiyetler içeren web uygulamalarının payı 2020’de %66 ve 2021’de %62 ile 2019’a göre çok daha yüksek.

Şekil 2. Değişken önem derecesine sahip güvenlik açıklarına sahip web uygulamalarının yüzdesi
Şekil 3. Değişken önem derecesine sahip güvenlik açıklarının yüzdesi
Şekil 4. Risk derecesine bağlı olarak web uygulaması başına ortalama güvenlik açığı sayısı
Son iki yılda, toplam güvenlik açığı sayısı arasında, son derece olumsuz sonuçlara yol açabilecek yüksek riskli güvenlik açıklarının oranında hafif bir azalma oldu. Aynı zamanda, orta riskli güvenlik açıklarının payı 23 puan azalırken, düşük riskli güvenlik açıklarının payı iki katından fazla arttı. Ayrıca, uygulama başına ortalama yüksek ve orta riskli güvenlik açıklarının sayısı 2019’a göre sırasıyla 1,7 ve 2,5 kat azaldı ve bu da güvenli geliştirme yaklaşımlarının yayıldığını gösterebilir.

En yaygın güvenlik açıkları
Şekil 5. Güvenlik açıklarının OWASP İlk 10 – 2021 kategorisine göre dağılımı (uygulamaların yüzdesi)
Erişim denetimi ihlalleriyle ilgili güvenlik açıkları, 2019’a kıyasla yüzde 63’lük bir artışla son iki yılda en alakalı hale geldi. Bu güvenlik açıkları hakkında daha fazla bilgiyi aşağıda bulabilirsiniz .

Web uygulamalarının güvenlik analizi sonuçları, bunların %83’ünün güvenlik mekanizmalarının yanlış yapılandırılmasıyla (güvenlik yanlış yapılandırması) ilişkili güvenlik açıklarına sahip olduğunu gösterdi. İncelenen uygulamaların %48’inde, kullanıcının tarayıcısının güvenli veri aktarımı için HTTPS protokolünü kullanmasını gerektiren Strict-Transport-Security (CWE-523) başlığının eksik olduğu bulundu. Yapılandırılmış bir başlığın varlığı, gizli veriler de dahil olmak üzere güvenli veri iletimi sağlar ve bu da ortadaki adam saldırılarını önler. Uygulamaların %34’ünde X-Content-Type-Options (CWE-16) başlığı yanlış yapılandırılmış ve bu da onları siteler arası komut dosyası çalıştırma gibi içerik sızdırma saldırılarına karşı savunmasız hale getiriyor.

Yetkilendirme Mekanizmasının Dezavantajları
Şekil 6. Bozuk Erişim Denetimi Güvenlik Açıkları
2020-2021 yıllarında incelenen tüm web uygulamalarında Broken Access Control sınıfına ait zafiyetler tespit edilmiştir. Bir web uygulamasında bu tür güvenlik açıklarının varlığı, gizli bilgilere yetkisiz erişime, verilerin değiştirilmesine veya silinmesine ve ayrıca kişisel hesaba veya uygulama işlevine yetkisiz erişime yol açabilir. Erişim denetimi zayıflıklarıyla ilişkili güvenlik açıklarından yararlanmanın olası sonuçları göz önüne alındığında, bu tür güvenlik açıkları, derhal düzeltici eylem gerektirir.

Güvenlik analizi projelerinden birinde, yetkili bir kullanıcının (CWE-285) yanlış uygulanan bir yetki kontrolü, benzersiz şirket TIN değerleri üzerinde yineleme yaparak diğer kullanıcıların ad, telefon numarası ve e-posta adresi gibi verilerini görüntülemesine izin verdi. savunmasız bir senaryoya yönelik bir istekte.

Yetkilendirmenin dezavantajlarından bahsetmişken, araştırılan bazı projelerde kullanılan oAuth 2.0 yetkilendirme protokolünden bahsetmek gerekir. Bu protokol, geleneksel oturum açma ve parola yetkilendirme yöntemlerine kıyasla kolaylık sağlaması nedeniyle yaygınlaşmıştır. oAuth tek bir hesap kullanır ve tamamen güvenlidir. Kullanıcının kimlik bilgilerini doğrudan üçüncü taraf bir uygulamaya vermesi gerekmez ve web uygulaması geliştiricilerinin oturum açma ve parola kullanılmadığından kimlik bilgilerinin güvenliği konusunda endişelenmeleri gerekmez.

Ancak, oAuth protokolünün yanlış yapılandırılması, örneğin kullanıcı oturumlarıyla ilişkili benzersiz erişim belirteçlerinin iletimi sırasında, kullanıcıların kişisel bilgilerinin çalınmasına ve oturum verilerinin ele geçirilmesine yol açabilir. Birkaç projede uzmanlar, güvenli olmayan bir siteye (CWE-601) yeniden yönlendirerek kullanıcılara saldırma yeteneğini keşfettiler. Saldırgan, kullanıcıya özel hazırlanmış bir bağlantı gönderebilir, tıkladığında, kullanıcı saldırgan tarafından kontrol edilen bir kaynağa yönlendirilir ve savunmasız sitedeki kullanıcının oturum belirteci URL’ye iletilir. Böylece, bir saldırgan bir belirteç elde edebilecek ve bunu kullanıcının kişisel hesabına erişmek için kullanabilecektir.

Şekil 7. Yüksek riskli güvenlik açıklarının dağılımı
Yüksek riskli güvenlik açıkları arasında, birinci ve ikinci sıraları yanlış kullanıcı yetkilendirmesi ve bir kullanıcı anahtarı kullanarak yetkilendirme atlaması; ilk üç yanlış kimlik doğrulamasını kapatır.

OWASP İlk 10’da yer almayan yaygın güvenlik açıkları
Şekil 8. OWASP İlk 10’da yer almayan yaygın güvenlik açıkları (projelerin oranı)
Dahil edilmeyen güvenlik açıkları arasındaOWASP İlk 10 – 2021Açık Web Uygulaması Güvenlik Projesi (OWASP) İlk 10, web uygulamalarındaki ana güvenlik sorunlarını açıklayan açık bir belgedir., en yaygın güvenlik açığı, saldırganların uygulamaya DoS saldırıları gerçekleştirmesine olanak tanıyan bilgi işlem kaynaklarının kontrolsüz kullanımıdır (CWE-400). Uygulamalardan birini analiz etme sürecinde uzmanlar, çok sayıda büyük PDF raporu oluşturmak için istekler göndererek böyle bir güvenlik açığından yararlanmayı başardılar. Bu da, tüketilen kaynak miktarının artmasına ve uygulamaya erişimde gecikmelere neden oldu.

?????? ??????? ???????? ?????????? ???????????? ???????? ??????? ????????????? ??????? (CWE-754), ????? ???-?????????? ????????? ?????????, ???????? ??????? ?? ???????? ??? ???? ????????????. ? ????? ?? ????????????? ?????????? ??? ?????????? ??????? ? ????????? ???????? ??????? ???????????. ??? ????? ??? ??????????? ?????? ? ???????? ????????? ???????? ??????? ? ?????????? ??????? — ???????? ???????? ????????? ???????? ?????????? ?????? ??? ?? ???? ?????. ??? ?? ?????????? ????? ???? ???????????? ??? ???????? ???????? ??????????? ????? ? ??????????? ????????? ?? ????? ?????? ????????? ??????????: ? ??????? HTTP-??????? ???????? ???? ???????? ???????? ???? ???????? ?? ???? ? ??????????? .pdf ? ???? ??????? ?????? ??????????? ?????.

Hata ayıklama uygulama kodunun ifşa edilmesindeki güvenlik açığı (CWE-215), OWASP İlk 10 listesinde olmayan ilk üç güvenlik açığından biridir.

Web uygulaması güvenlik seviyesi
Örneğimiz, endüstriyel sektördeki kuruluşlarda kullanılan 16 web uygulamasını içeriyordu. Bunlardan 13’ü verimli ve normal çalışan uygulamalar, geri kalanlar ise test edilmiş ve geliştirme ve hata ayıklama aşamasındaydı.

Tüm test uygulamalarında yüksek önem düzeyine sahip güvenlik açıkları belirlendi. Üretken uygulamaların %4JUdGzvrMFDWrUUwY3toJATSeNwjn54LkCnKBPRzDuhzi5vSepHfUckJNxRL2gjkNrSqtCoRUrEDAgRwsQvVCjZbRyFTLRNyDmT1a1boZVnın %19’unda bir saldırgan LAN’a saldırabilir ve bir web uygulaması aracılığıyla altyapıya girebilir ve %31’inde sunucu üzerinde OS komutları çalıştırabilir. Endüstriyel web uygulamaları, kod yerleştirme güvenlik açıklarının yanı sıra güvenli olmayan ve eski bileşenlerin kullanımının neden olduğu güvenlik açıkları ile karakterize edildi ve bu tür güvenlik açıkları uygulamaların sırasıyla %81 ve %44’ünde bulundu. Bir bütün olarak endüstriyel şirketlerin web uygulamalarının güvenlik durumu olumlu bir eğilim gösteriyor: Son derece düşük güvenlik seviyesine sahip uygulamaların payı 2019’a kıyasla üç kattan fazla azaldı.

Test sistemleri genellikle yüksek düzeyde güvenlikle övünemez. Çoğu zaman, en küçük ayrıntısına kadar çalışılmazlar ve iyileştirme sürecinde sistemde yapılan çeşitli değişiklikler birçok güvenlik açığına neden olabilir.

Güvenlik düzeyi analizi, 6’sı üretken olmak üzere devlet kurumlarına ait 11 web sitesiyle ilgili olarak yapılmıştır. Devlet kurumlarının üretken uygulamalarının %67’si, önceki yılların göstergelerinden çok farklı olmayan uzmanlardan düşük güvenlik düzeyi değerlendirmesi aldı. Erişim denetimi kusurlarıyla ilişkili en yaygın güvenlik açıkları – bunlar devlet kurumlarının tüm uygulamalarında belirlendi. Uygulamaların %70’inde bu tür güvenlik açıkları uygulamaya yetkisiz erişime ve önemli bilgilerin sızmasına neden olabiliyordu ve en yaygın olanı kişisel verilerin sızma olasılığıydı.

Bir web uygulamasının güvenlik seviyesi, uzmanlar tarafından güvenlik analizi sonuçlarına göre belirlenir ve doğrudan, içinde dolaşan veriler dikkate alınarak, söz konusu sistem üzerindeki olası bir etkinin tehlike derecesine bağlıdır.

BT endüstrisindeki web uygulamalarının güvenlik durumu, 2019’a kıyasla olumsuz bir eğilim gösterdi: incelenen üretken uygulamaların yaklaşık yarısı düşük veya aşırı düşük güvenlik düzeyine sahipti. Ayrıca, çoğu uygulama kod yerleştirme güvenlik açıklarına maruz kaldı. Web uygulamalarının %29’unda bu güvenlik açıkları, LAN kaynaklarına saldırı gibi tehlikeli sonuçlara yol açabilir. BT alanı, BT şirketlerinin 15 uygulamasıyla temsil edildi – 11 üretken ve 4 test.

Çevrimiçi ticaret sitelerinin güvenlik düzeyinde bir artış olduğunu not ediyoruz: düşük güvenlik düzeyine sahip tek bir uygulama kaydedilmedi. Bu, geliştiriciler tarafından web uygulamalarının korunmasına yönelik daha saygılı bir tutumun ve çevrimiçi ticaretin popülaritesindeki büyümenin sonucudur. Çevrimiçi ticaret uygulamalarına yönelik en tipik tehditler, oAuth protokolünün yanlış uygulanması ve gizli verilerin sızdırılması dahil olmak üzere, yanlış yapılandırılmış güvenlik araçlarının neden olduğu müşterilere yönelik saldırılardır. Her uygulama kullanıcı kimliklerine erişebildi ve uygulamaların %44’ü kişisel verilere erişebildi. Çevrimiçi ticaret dokuz web uygulamasıyla temsil edildi; bunlardan sekizi üretkendi.

Finansal kuruluşlar alanı, dört üretken ve bir test olmak üzere beş web uygulamasıyla temsil edildi. İncelenen tüm uygulamaların karakteristik bir özelliği, güvensiz tasarımla, özellikle iş mantığındaki hatalarla ilişkili güvenlik açıklarının varlığıydı. Bu sayede tüm uygulamalarda işlevselliğe ve içeriğe yetkisiz erişimin gösterilmesi mümkün olmuştur. Bu kadar çok web uygulamasına dayanarak, tüm endüstrinin güvenlik düzeyi hakkında objektif bir değerlendirme yapmak mümkün değildir. Ancak mevcut web uygulamalarının çalışmaları, genel olarak, finansal kuruluşların uygulamalarının güvenlik seviyesinin oldukça yüksek kaldığını ve önceki yılların göstergelerine karşılık geldiğini göstermiştir.

Şekil 9. Farklı güvenlik seviyelerine sahip uygulamaların paylaşımı (incelenen tüm web uygulamalarının payı)
Web Uygulaması Tehditleri
Şekil 10. Yaygın web uygulaması tehditleri (web uygulamalarının yüzdesi)
İncelenen uygulamaların %84’ünde yöneticiler dahil olmak üzere kullanıcıların kişisel hesaplarına yetkisiz erişim tehditleri tespit edildi. Web uygulamalarının %72’sinde, bir saldırgan, diğer kullanıcıların kişisel hesaplarını görüntüleme veya bir abonelik deneme süresinin süresini değiştirme gibi, kendisi için olmaması gereken işlevlere veya içeriğe erişebilir.

En tehlikelisi, kuruluşun yerel bilgisayar ağlarına yapılan saldırılar ve sunucuda işletim sistemi komutlarının yürütülmesidir. Saldırganların bu tür eylemleri, önemli verilerin ifşa edilmesine, uygulama kaynak kodlarına erişim sağlanmasına ve en önemlisi yerel ağ kaynaklarına erişim sağlanmasına ve diğer altyapı düğümlerine yönelik bir saldırı geliştirilmesine yol açabilir.

En tehlikeli tehditler

Web uygulamalarının %17’sinde LAN kaynaklarına yönelik saldırıların mümkün olduğu tespit edildi. Aynı sayıda uygulama, sunucuda işletim sistemi komutlarının yürütülmesine yol açabilecek güvenlik açıkları içeriyordu.

Kullanıcılara yönelik saldırılar
Şekil 11. Kullanıcılara saldırılara izin veren güvenlik açıkları
2017’den bu yana, kullanıcılara yönelik saldırılar sorunu, mevcut web uygulaması tehditleri listesinin başında yer aldı. Web uygulamalarının kullanıcılarına yapılan her ikinci saldırı, siteler arası komut dosyası çalıştırma (XSS; CWE-79) kullanılarak gerçekleştirilebilir – bu, bir saldırgan tarafından hazırlanan rastgele kodun kullanıcının tarayıcısında yürütülebildiği bir saldırı türü. Saldırganlar, XSS yürüterek web uygulaması istemcilerini kimlik avı sitelerine yönlendirebilir, kötü amaçlı yazılımları kullanıcı cihazlarına indirebilir ve diğer kullanıcıların kimliğine bürünebilir.

Siteler arası komut dosyası oluşturma üç tür olabilir:

Depolanmış XSS (Depolanmış) – kötü amaçlı kod, uygulama sayfasına önceden yerleştirilmiştir.
Reflected XSS (Reflected) – bir saldırıyı başarılı bir şekilde gerçekleştirmek için, bir saldırganın kullanıcıyı özel hazırlanmış bir bağlantıya tıklaması gerekir.
DOM tabanlı XSS ??- web uygulama sayfası kodunun gönderilen verileri işlemesi ve alınan veri kümesini dil komutları olarak çalıştırmaya çalışması durumunda.
Ayrıca, X-Frame-Options başlığının yanlış ayarlanması veya olmaması (CWE-16), kullanıcılara yönelik saldırıların nedeni haline geldi. Bu başlık, bir çerçeve içindeyse sayfanın görüntülenmesine izin vermekten veya onu reddetmekten sorumludur. Bu başlığın olmaması veya yanlış yapılandırılması, saldırganların tıklama saldırıları gerçekleştirmesine izin verir. İlkeleri, savunmasız bir uygulamanın bir çerçeveye yüklenmesi ve ardından bir düğme veya başka bir öğe olarak gizlenmesi veya kullanıcıya gösterilmemesi (şeffaf iframe) gerçeğine dayanır. Bu öğe tıklandığında, kullanıcı, saldırıya açık site bağlamında saldırganın amaçladığı eylemi gerçekleştirir.

Bu tür saldırılara karşı korunmak için, kullanıcıdan gelen ve ardından tarayıcıda görüntülenen tüm verileri önceden işlemenizi öneririz. Bir HTML sayfasını biçimlendirmek için potansiyel olarak kullanılabilecek karakterler, biçimlendirilmemiş karakterlerle değiştirilmelidir. Ayrıca HTTP başlıklarını ayarlarken ve kullanırken daha sorumlu olmanızı öneririz.uygulama seviyesi güvenlik duvarlarısiteler arası komut dosyası çalıştırmaya karşı korumak için.

Önemli verilerin sızdırılması
Şekil 12. Açıklanan gizli bilgiler (uygulamaların yüzdesi)
Hassas veri sızıntıları, incelenen web uygulamaları için ikinci en önemli güvenlik tehdididir. Güvenlik analizinin sonuçları, web uygulamalarının dörtte üçünden fazlasının kullanıcı kimliklerinin ifşasına maruz kaldığını gösterdi. Kişisel veriler, uygulamaların %60’ında ve kullanıcı kimlik bilgileri %47’sinde açığa çıktı; bu, 2019’a göre 13 ve 16 puan daha fazladır. Kişisel veriler ve kimlik bilgileri, verilerle kanıtlandığı gibi, saldırganlar için arzu edilen hedeflerdir.2021’deki mevcut siber tehditlerin nihai analizi.

Gizli bilgilerin ifşa edilmesi tehdidi, genellikle yetersiz yetkilendirme ve yetersiz kimlik doğrulama güvenlik açıklarıyla ilişkilendirilir.

Sitelerden birini araştırırken, uzmanlar bir web uygulamasının (CWE-359) kullanıcıları hakkında gizli bilgilere erişti. Bu, uygulama kullanıcılarının listesini görüntülemek için savunmasız bir form nedeniyle mümkün oldu. Belirli bir HTTP isteği ile tüm kullanıcıların adları, e-posta adresleri, kimlikleri ve parola karmaları alındı. Alınan bilgilerden 400’e yakın kullanıcının şifrelerini kurtarmak mümkün oldu. Bu bilgiler, saldırganlar tarafından uygulamada uygun ayrıcalıklarla yetkilendirmek için kullanılabilir.

Uygulamaya yetkisiz erişim
Web uygulamalarının %84’ünde uygulamaya yetkisiz erişim tespit edildi. Uygulamaya yetkisiz erişim, kimlik doğrulama güvenlik açıkları, sınırsız oturum ömrü, sızıntılar veya kaba kuvvete karşı koruma eksikliği nedeniyle mümkün hale geliyor – uygulamalardan birinde uzmanlar, uygulamanın kullanıcıların kaba kuvvet olmayan basit şifreler belirlemesine izin verdiğini buldu. Kimlik bilgilerinin sayımının bir sonucu olarak, uzmanlar ilgili kullanıcının ayrıcalıklarıyla uygulamaya erişmeyi, ayrıca promosyon kodlarını numaralandırmayı ve diğer kullanıcılara ait promosyon kodlarını almayı başardılar.

Şu anda, tek bir parola kullanmak, gerekli güvenlik düzeyini sağlamak için genellikle yeterli değildir. Web hizmetlerini siber saldırılardan korumak için kuruluşların çok faktörlü veya iki faktörlü kimlik doğrulama kullanmasını öneririz. Bununla birlikte, bu süreçler de güvenlik açıklarına tabidir, bu nedenle uygulamalarını dikkatlice düşünmelisiniz. Web uygulamalarından birinin güvenliğini inceleyen uzmanlar, sunucuya bir onay kodu göndermek için bir HTTP isteğini yakalayarak iki faktörlü kimlik doğrulamanın (CWE-287) yeterince etkili olmadığını belirlediler. Yakalanan isteğe bağlı olarak, farklı kod değerlerine sahip HTTP istekleri oluşturmak için bir şablon oluşturuldu. Ayrıca bu istekler birkaç saniye içinde uygulama sunucusuna gönderildi. Tüm geçersiz istekler sunucu tarafından reddedildi, ancak doğru onay kodunu girdikten sonra, diğer tüm yanlış kodlar uygulama tarafından doğru olarak kabul edildi. Sayfa yenilendikten sonra iki faktörlü kimlik doğrulama kodu istek formu kayboldu ve kullanıcının kişisel hesabına erişim açıldı.

Uygulamaya yetkisiz erişim, gizli bilgilerin sızmasına, verilerin değiştirilmesine veya silinmesine, kullanıcılara yönelik saldırılara ve kuruluşun altyapısına sızmaya neden olabilir.

Kara kutu ve beyaz kutu analiz sonuçlarının karşılaştırılması
2020-2021’de, müşteriler arasında en popüler olanı kara kutu veya gri kutu araştırmasıydı ve web uygulamalarının %79’u bu yöntemler kullanılarak analiz edildi. Kara kutu araştırması, adresinden başka herhangi bir kaynak verisi olmadan bir web uygulamasının güvenliğini analiz etme ve değerlendirme çalışmalarının yürütülmesinden oluşur. Gri kutu yöntemi esasen kara kutu yöntemine benzer, ancak araştırmacıların sistem giriş noktaları hakkında bilgi sahibi olmaları ve tipik bir ayrıcalıklar kümesine sahip yetkili bir kullanıcı hesabına sahip olmaları dışında.

Şekil 13. Web uygulaması test metodolojisi (web uygulamalarının yüzdesi)
Uzmanlık deneyimi, birçok web sitesi güvenlik açığının kodlarındaki hatalarla ilgili olduğunu gösteriyor: son iki yılda, keşfedilen güvenlik açıklarının %72’si SQL enjeksiyonu, XSS, yanlış koşul ve istisna kontrolleri gibi güvenlik açığı bulunan web uygulaması koduyla ilgiliydi. Güvenlik açıklarının geri kalanı yanlış yönetimden kaynaklanıyordu ve uygulama ayarlarıyla düzeltilebilirler. Kodla ilgili güvenlik açıklarını önlemek için, kuruluşların web uygulaması yaşam döngüsüne güvenli bir geliştirme sürecini dahil etmelerini vekod analizörü kullan. Uygulama güvenlik açıklarının daha kapsamlı bir şekilde tanımlanması için beyaz kutu yöntemi kullanılır.

Beyaz kutu araştırması, müşteriye daha fazla analiz için kaynak kodu da dahil olmak üzere uygulama hakkında mevcut tüm verileri sağlamayı içerir.

Şekil 14. Test yöntemine göre web uygulaması başına ortalama güvenlik açığı sayısı (düz renk – siyah (gri) kutu, tarama – beyaz kutu)
Beyaz kutu yöntemiyle incelenen web uygulamaları aynı anda birkaç uzman tarafından analiz edilir; otomatik güvenlik analizine ek olarak, daha fazla zaman almasına rağmen yanlış pozitiflerin ortadan kaldırılmasını sağlayan ve tanımlanan güvenlik açıklarının alaka düzeyini garanti eden manuel kod doğrulaması gerçekleştirilir. Tüm bunlar, uygulamayı kapsamlı bir şekilde incelemenize ve tek bir kod satırını veya tek bir gizli kusuru kaçırmamanıza olanak tanır. Çalışma, beyaz kutu yönteminin, siyah veya gri kutu yönteminden iki kat daha fazla yüksek önem düzeyine sahip güvenlik açığı bulduğunu buldu.

Çözüm
Son iki yılın sonuçlarını özetlersek, web uygulamalarının güvenlik seviyesinin hala arzulanandan çok uzak olduğunu söyleyebiliriz, ancak ortalama yüksek ve orta önemdeki güvenlik açıklarının sayısında azalmada olumlu bir eğilim görüyoruz. güvenli geliştirme yaklaşımının yaygınlaştığını ve web uygulamalarının korunmasıyla daha ciddi bir ilişki olduğunu gösterebilecek uygulama başına. Yakın gelecekte site güvenlik seviyesinin artacağını ve tespit edilen güvenlik açıklarının ve başarılı saldırıların sayısının azalacağını umuyoruz.

Yüksek düzeyde bir güvenlik elde etmek zordur ve bu seviyeyi korumak daha az zaman alan bir süreç değildir. Bir web uygulamasını dikkatli ve güvenli bir şekilde tasarlamak, kaynak kodu analiz araçlarıyla geliştirmek, keşfedilen açıkları hızla düzeltmek ve çoğu işlemi otomatik hale getirmek, bizce yüksek düzeyde web uygulama güvenliğini sağlayacak kurallardır.

Ayrıca, güvenliği analiz ederken bir web uygulamasının üretken kopyalarını kullanmanızı öneririz. Test sistemleri genellikle tam olarak geliştirilmemiştir ve tam işlevsellik içermez ve çeşitli sistem değişiklikleri yeni güvenlik açıklarının ortaya çıkmasına neden olabilir.

Güvenlik analizine ek olarak, kuruluşların güvenlik ve kullanım konusunda proaktif bir yaklaşım benimsemesi gerekir.uygulama seviyesi güvenlik duvarları(web uygulaması güvenlik duvarı, WAF): bu, potansiyel güvenlik açıkları içerebilecek yeni uygulama özelliklerinin sürekli olarak tanıtılması nedeniyle riskleri azaltacaktır. Aynı zamanda, WAF, bilinen saldırıları tespit edip önlemeye ek olarak, sıfırıncı gün güvenlik açıklarından yararlanmayı belirlemeli, kullanıcılara yönelik saldırıları önlemeli, saldırı zincirlerini belirlemek ve kötü amaçlı yazılımları engellemek için olay kümelerini analiz etmeli ve karşılaştırmalıdır.

katılımcı portresi

Çalışma, son iki yılda analiz edilen 58 web uygulamasını içeriyordu.

Şekil 15. Çalışma katılımcılarının sektördeki temsili

İncelenen web uygulamalarının %74’ü verimli, %26’sı test aşamasındaydı.

Şekil 16. Web uygulama geliştirme araçları (uygulamaların payı)
araştırma metodolojisi
Bu rapor, 2020-2021’de kapsamlı bir güvenlik analizi ve kapsamlı kontroller yapılmış 58 web uygulamasının bir çalışmasının sonuçlarını içermektedir. Çalışma, mobil uygulamalar, uzaktan bankacılık sistemleri, sızma testi ve enstrümantal taramanın güvenlik analizi sonuçlarını içermemektedir (bu tür çalışmalar hakkında bilgi bulabilirsiniz).Web sitemizde). Örnek, sahipleri verilerin araştırma amacıyla kullanılmasına izin vermiş olan web uygulamalarının güvenlik analizinin sonuçlarını içeriyordu.

Güvenlik değerlendirmesi, yardımcı otomatik araçlar kullanılarak siyah, gri ve beyaz kutu yöntemleri kullanılarak manuel olarak gerçekleştirilmiştir.

Keşfedilen güvenlik açıkları, Ortak Zayıflık Numaralandırma (CWE) sistemine göre sınıflandırılır. Kolaylık sağlamak için, güvenlik açıklarıOWASP İlk 10 – 2021, güvenlik açıklarının sınıflandırılması oldukça ayrıntılı olduğundan ve incelediğimiz web uygulamalarında bu güvenlik açıklarının ne sıklıkla meydana geldiğini gösterir.

Bu rapor, yalnızca web uygulamalarının kodundaki ve yapılandırmasındaki hatalarla ilgili güvenlik açıklarını içerir. Diğer yaygın bilgi güvenliği sorunları (örneğin yazılım güncelleme yönetimindeki veya güvenli geliştirmedeki zayıflıklar) ele alınmadı. Güvenlik açıklarının önem derecesi, Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) sürüm 3.1’e göre değerlendirildi; bu değerlendirmeye dayanarak, yüksek, orta ve düşük risk seviyelerinin niteliksel değerlendirmeleri ayırt edildi.