Web Uygulama Zafiyetlerinde Önem Dereceleri

Selçuk Miynat - 24 Ekim 2017 -

Zafiyet Önem Dereceleri (Vulnerability Severities) nelerdir? Netsparker tespit ettiği zafiyetleri önem derecelerine göre sınıflandırıyor. Kritik, Yüksek, Orta, Düşük ve Bilgilendirici düzeyde sınıflandırılan zaatiyetler hangileridir?

Web Uygulama Zafiyetlerinde Önem Dereceleri

Zafiyet Önem Dereceleri Nelerdir?

Netsparker web uygulama güvenlik tarayıcısı, web sitelerinde, web uygulamalarında ve web servislerinde çok çeşitli zafiyetleri taramaktadır.

Her bir zafiyet farklı bir etkiye sahiptir: bir kısmı daha az öncelikli olurken, bazıları acil olarak ele alınması gerekmektedir. Örnek verecek olursak; bir SQL Injection zafiyeti, Internal IP Address Disclosure zafiyetine göre öncelikli olarak tanımlanmalıdır.

Size hangi zafiyetin öncelikli olarak yamalanmasına karar vermenize yardımcı olmak için, Netsparker zafiyetleri taramalarında ve raporlarında kategorize etmektedir.

Bu makale aşağıdaki zafiyet tiplerini tanımlamaktadır:

  • Kritik Düzey
  • Yüksek Düzey
  • Orta Düzey
  • Düşük Düzey

Ek olarak, bilgilendirici uyarılar bulunmaktadır. Daha fazla bilgi için, web zafiyet kontrollerinin tam listesine göz atabilirsiniz.

İçerikler:

Kritik Düzeydeki Web Zafiyetleri

Bu bölümde Kritik düzeydeki web zafiyetlerinin nasıl tanımlandığı ve tespit edildiği açıklanmaktadır.

Kritik Düzey Zafiyet Örneği

Aşağıda Netsparker web uygulaması güvenlik tarayıcısı tarafından raporlanmış bir Kritik düzey zafiyetin görüntüsü bulunmaktadır.

Kritik Düzeydeki Web Uygulama Zafiyeti

Kritik Düzeydeki Web Uygulama Zafiyetlerinin Etkileri

Kritik düzeydeki zafiyetlerin etkileri aşağıdaki gibidir:

  • Bu zafiyetler saldırganın web sitenizin ve web sunucunuzun bütün kontrolünü ele geçirmesine izin verir. Bu zafiyetin kullanılması sonucu saldırgan aşağıdaki şekilde kötü niyetli hareket edebilir(fakat bunlarla sınırlı değil):
    • Bilgilerin çalınması ( örn: kullanıcı bilgileri )
    • Kullanıcılarınızın hassas bilgileriyle onları kandırma (örn: kredi kartı detayları)
    • Web sitenizi silme
  • Kritik seviyedeki zafiyetin kötüye kullanılmasıyla saldırgan web uygulama veritabanınıza erişebilir. Bu izin erişimi; kullanıcı ve admin bilgilerinin elde edilmesiyle birlikte, diğer kullanıcı hesaplarının değiştirilmesine veya silinmesine izin verebilir.
  • Bunun gibi zafiyetlerin kötüye kullanılmasıyla, saldırgan oturum açmış kullanıcı veya yönetici bilgilerine erişebilir, onların hesaplarının ele geçirilmesi ve değişiklik yapılmasına müsaade edilmesi, bu tip kullanıcıların yapabileceği tahribatlardandır.

Kritik Düzeydeki Zafiyetler için Önerilen Aksiyonlar

Kritik düzeydeki zafiyetler sitenizin saldırganlar tarafından her zaman ele geçirilebileceği anlamına gelmektedir. Bu tip zafiyetleri acil olarak yamalamak için en önemli öncelik sırasını vermelisiniz. Bir kez yamaladıktan sonra, zafiyetin giderildiğinden emin olmak için web sitenizi tekrar taratınız.

Yüksek Düzeydeki Web Uygulama Zafiyetleri

Bu bölümde Yüksek düzey web uygulama zafiyetlerinin nasıl tanımlandığı ve tespit edildiği açıklanmaktadır.

Yüksek Düzey Zafiyet Örneği

Aşağıda Netsparker tarafından raporlanmış bir Yüksek düzey zafiyetin görüntüsü bulunmaktadır.

Yüksek Düzeydeki Web Uygulama Zafiyeti

Yüksek Düzeydeki Zafiyetlerin Etkileri

  • Saldırgan, uygulamanızın kaynak kodunu görüntüleyerek başka bir çeşit zafiyet ve potansiyel olarak veri tabanı şifrenizi bulabilir.
  • Bu tip zafiyetleri kötüye kullanarak, saldırgan sisteminize ait bilgileri görebilir ve bu bilgiler diğer zafiyetleri bulmaya veya exploit etmeye, web sitenizin kontrolünün ele geçirilmesine, hassas kullanıcı ve yönetici bilgilerinin erişimine yardım edebilir.

Yüksek Düzeydeki Zafiyetler için Önerilen Aksiyonlar

Yüksek düzeydeki zafiyetler web sitenizin ele geçirilebileceği ve hackerların kritik seviyede zafiyet bulabileceği anlamına gelmektedir. Bu tip zafiyetleri en kısa zamanda yamamanız gerekmektedir.

Bir kez yamaladıktan sonra, zafiyetin giderildiğinden emin olmak için web sitenizi tekrar taratınız.

Orta Düzeydeki Web Uygulama Zafiyetleri

Bu bölümde Orta düzeydeki web uygulama zafiyetlerinin nasıl tanımlandığı ve tespit edildiği açıklanmaktadır.

Orta Düzey Zafiyet Örneği

Aşağıda Netsparker tarafından raporlanmış bir Orta Düzey zafiyetin görüntüsü bulunmaktadır.

Orta Düzeydeki Web Uygulama Zafiyeti

Orta Düzeydeki Zafiyetlerin Etkileri

  • Saldırgan hassas içerikleri görüntülemek için oturum açmış bir kullanıcı hesabına erişebilir.
  • Bu tip zafiyetlerin kötüye kullanılmasıyla, diğer zafiyetleri kötüye kullanmak için gerekli bilgilere erişebilir veya sisteminize dair daha fazla bilgi edinebilir ve böylelikle saldırı yelpazesini şekillendirebilir.

Orta Düzeydeki Zafiyetler için Önerilen Aksiyonlar

Çoğu zaman Orta düzeydeki zafiyetlerin etkisi direkt olmadığından, öncelikle Kritik ve Yüksek seviyeli zafiyetleri yamamalısınız. Bununla birlikte, Orta düzeydeki zafiyetler de mümkün olan müsait zamanda ele alınmalıdır.

Düşük Düzeydeki Web Uygulama Zafiyetleri

Bu bölümde Düşük düzeydeki web zafiyetlerinin nasıl tanımlandığı ve tespit edildiği açıklanmaktadır.

Düşük Düzey Zafiyet Örneği

Aşağıda Netsparker tarafından raporlanmış bir Düşük düzey zafiyetin görüntüsü bulunmaktadır.

Düşük Düzeydeki Web Uygulama Zafiyeti

Düşük Düzeydeki Zafiyetlerin Etkileri

Eğer web sitenizde Düşük düzeyde bir zafiyet bulunuyorsa, çok endişeye kapılmayın. Bu tip zafiyetler kötüye kullanılamaz ve önemli bir etki yapamazlar.

Düşük Düzeydeki Zafiyetler için Önerilen Aksiyonlar

Eğer zamanınız ve bütçeniz müsait ise, Düşük seviyeli zafiyetleri incelemeniz ve fixlemeniz iyi olur.

Bilgilendirici Uyarılar

Bu bölümde bilgilendirici uyarıların nasıl tanımlandığı ve kullanıldığı açıklanmaktadır.

Bilgilendirici Düzeydeki Web Uygulama Zafiyeti

Bilgilendirici Uyarıların Etkileri

Biz bu uyarıları zafiyet olarak nitelendirmiyoruz. Bunlar sadece web site sahibini bilgilendirmek amacıyla rapor edilmektedir.

Bilgilendirici Uyarılar için Önerilen Aksiyonlar

Herhangi bir aksiyon veya fixleme işlemi gerekmemektedir. Bazen web uygulamanız ile alakalı bilgileri bilmek iyidir. Örnek olarak : NTLM Authorization Required, Database Detected (MySQL), Robots.txt Detected, phpMyAdmin Detected or Out-of-date Version (jQuery).