13 Sep, 2021

Owasp Top 10

[:tr]Owasp Kim?

Açık Web Uygulama Güvenliği Projesi (OWASP), web uygulama güvenliği alanında ücretsiz olarak kullanılabilen makaleler, metodolojiler, belgeler, araçlar ve teknolojiler üreten çevrimiçi bir topluluktur. Owasp gönüllülük esasıyla her üç (3) ila dört (4) yıllık periyotlar ile en güncel on (10) web aplikasyon zafiyetlerini yayınlamaktadır.

Şimdilik taslak olmasına rağmen güzel ve ilgi çekici Top 10 listesi yayınladı. Bu listeye göre teknik insanların daha da teknik olması gerekeceğini, siber güvenlik kavramlarının yavaş yavaş değişeceğinin göstergesi olacağını görmekteyiz.

Şimdi gelin yayınlanan 2017 top 10 listesi ile 2021 top 10 listesini karşılaştıralım.

Listeleri karşılaştırdığımızda;

  • 2017 listesinde 5. Sırada olan Broken Access Control (Bozuk Erişim Kontrolü) 2021 listesinde 1. Sıraya yükseldiğini görmekteyiz. Broken Access Control özetle, yetkisi olmayan kullanıcın birtakım işlemler yapabilmesine olanak sağlayan tehlikeli bir zafiyet ve saldırı çeşididir.
  • 3. Sırada olan Sensitive Data Exposure (Hassas Verilere Maruz Kalma) 2021 listesinde 2. Sıraya yükseldiğini görmekteyiz. Fakat dikkat edilmesi gereken bir nokta var ki oda var olan zafiyet ismi yerine Cryptographic Failures ( Şifreleme Hataları) olarak isimlendirilmiştir. Odak noktası kriptografiyle (veya bunların eksikliğiyle) ilgili hatalardır. Bu genellikle hassas verilerin açığa çıkmasına neden olur.

Konuyu daha da açmak ve neden zafiyet ismi değiştiğini soracak olursanız;

For example, parolalar, kredi kartı numaraları, sağlık kayıtları, kişisel bilgiler ve ticari sırlar, özellikle bu veriler gizlilik yasaları, AB’nin Genel Veri Koruma Yönetmeliği (GDPR) veya yönetmeliklerin getirdiği sorumluluklar. Finansal veri koruması kapsamındaysa ekstra koruma gerektirir. PCI Veri Güvenliği Standardı (PCI DSS) vb. durumların önem kazanmasıdır.

Tüm bu veriler için aşağıdaki gibi soruların cevap bulmasını sağlayacak bir zafiyet çeşidi olarak artık hayatımıza girmiş bulunmaktadır.

  • Herhangi bir veri açık metin olarak aktarılıyor mu? Bu, HTTP, SMTP ve FTP gibi protokollerle ilgilidir. Harici internet trafiği tehlikelidir. Yük dengeleyiciler, web sunucuları veya arka uç sistemler arasındaki tüm dahili trafiği doğrulamak gerekecektir.
  • Varsayılan olarak veya daha eski kodda kullanılan eski veya zayıf şifreleme algoritmaları var mı? Bunlara bakılması gerekecektir.
  • Varsayılan şifreleme anahtarları kullanımda mı, zayıf şifreleme anahtarları oluşturuldu mu veya yeniden kullanılıyor mu, uygun anahtar yönetimi var mı?
  • Şifreleme uygulanmıyor mu? Örneğin, herhangi bir web tarayıcısı güvenlik yönergesi veya başlığı eksik mi?
  • Web tarayıcısı (ör. uygulama, posta istemcisi) alınan sunucu sertifikasının geçerli olup olmadığını doğrulayabiliyor mu?
  • 2017 listesinde 4. Sırada olan XML External Entities (Xml Harici Varlıklar) ve 2017 listesinde 6. Sırada bulunan Security Misconfiguration (Güvenlik Yanlış Yapılandırması) 2021 listesinde 5. Sırada tek bir Security Misconfiguration başlık çatısı altına girdiğini görmekteyiz.
  • 2017 listesinde 7. Sırada olan Cross Site Scripting (Siteler Arası Komut Dosyası Oluşturma) ve 2017 listesinde 1. Sırada bulunan Injection (Enjeksiyon) 2021 listesinde 3. Sırada tek bir Injection başlık çatısı altına girdiğini görmekteyiz.

Tüm başlıkları açıklamak yerine, 2021 Owasp Top 10 listesinin bizce en vurucu noktasına dikkat çekmek gerekirse, 4. Zafiyet olarak karşımıza gelen Insecure Design (Güvensiz Tasarım) ilgi odağımız haline gelmektedir.

Peki, Neden?

Çünkü, siber güvenliğin en temel unsurlarından biridir. Temeli sağlam olmayan bina bir gün çöker. Bina örneğindeki gibi kurumlar daha en başında güvenlik mimarilerini doğru kurgulamaz ise günün birinde veri sızıntıları, çalışan sistemlerin durdurularak ekonomik anlamda zarara uğraması vb. durumları yaşamaya mahkûm olacaktır.

Bizlerin de felsefesinde var olan sürdürebilirlik kavramı burada devreye girmektedir. Kurgunuzun en başında çok iyi bir güvenlik mimarisi tasarlasınız da teknolojinin gelişme hızına bağlı olarak yapmış olduğunuz mimariler hızlı bir şekilde eskiyecektir. Dolayısı ile siber saldırı potansiyeline dönüşecektir. Bu sebeple güvenli tasarımların sürdürülebilir olması gereklidir. Sürdürülebilir olabilmesi için de kurum içi ve outsource olarak MSSP kurguları planlanmalı ve hayata geçirilmelidir.

KVKK, ISO 27001, Bilgi ve İletişim Güvenliği Rehberi, ISO 27701, Bilgi Güvenliği, Siber Güvenlik ve Bilgi Teknolojileri konularında destek ve teklif almak için lütfen

[:en]Who is Owasp?

The Open Web Application Security Project (OWASP) is an online community that produces freely available articles, methodologies, documentation, tools, and technologies in the field of web application security. Owasp voluntarily publishes the latest ten (10) web application vulnerabilities every three (3) to four (4) years.

Although it is a draft for now, it has published a beautiful and interesting Top 10 list. According to this list, we see that technical people will need to be even more technical, and it will be an indication that the concepts of cyber security will gradually change.

Now let’s compare the 2017 top 10 list with the 2021 top 10 list.

When we compare the lists;

• We see that Broken Access Control, which was in the 5th rank in the 2017 list, rose to the 1st rank in the 2021 list. In summary, Broken Access Control is a dangerous type of vulnerability and attack that allows an unauthorized user to perform certain actions.

• We see that it has risen to the 2nd rank in the Sensitive Data Exposure 2021 list, which is in the 3rd rank. But there is a point to be noted that the room is named Cryptographic Failures instead of the existing vulnerability name. The focus is on cryptography (or lack thereof) errors. This often results in the exposure of sensitive data.

If you open the subject further and ask why the name of the vulnerability has changed;

For example, passwords, credit card numbers, health records, personal information and trade secrets, in particular these data privacy laws, EU’s General Data Protection Regulation (GDPR) or regulatory responsibilities. If it is covered by financial data protection, it requires extra protection. PCI Data Security Standard (PCI DSS), etc. situations become important.

For all these data, it has now entered our lives as a type of vulnerability that will provide answers to questions such as the following.

• Is any data transmitted in clear text? This relates to protocols such as HTTP, SMTP, and FTP. External internet traffic is dangerous. It will be necessary to verify all internal traffic between load balancers, web servers or backend systems.

• Are there old or weak encryption algorithms used by default or in older code? These will need to be looked into.

• Are default encryption keys in use, are weak encryption keys generated or reused, and is there appropriate key management?

• No encryption applied? For example, are any web browser security guidelines or headers missing?

• Can the web browser (eg application, mail client) verify whether the received server certificate is valid?

• We see that XML External Entities (Xml External Entities) ranked 4th in the 2017 list and Security Misconfiguration, which is 6th in the 2017 list, are under a single Security Misconfiguration heading at the 5th position in the 2021 list.

• We see that Cross Site Scripting, which is at the 7th place in the 2017 list, and Injection, which is at the 1st place in the 2017 list, are under a single Injection title, at the 3rd place in the 2021 list.

Instead of explaining all the titles, to draw attention to the most striking point of the 2021 Owasp Top 10 list in our opinion, Insecure Design, which is the 4th Vulnerability, is becoming our focus of attention.

So why?

Because it is one of the most basic elements of cyber security. The building, whose foundation is not strong, collapses one day. As in the example of the building, if the institutions do not construct their security architectures correctly from the very beginning, data leaks, economic damage by stopping the working systems etc. situations will be doomed.

The concept of sustainability, which is also in our philosophy, comes into play here. Even if you design a very good security architecture at the very beginning of your editing, the architectures you have built will quickly become obsolete depending on the speed of development of technology. Therefore, it will turn into a potential for cyber attack. For this reason, safe designs must be sustainable. In order to be sustainable, MSSP constructs should be planned and implemented as in-house and outsource.

 

KVKK, ISO 27001, Bilgi ve İletişim Güvenliği Rehberi, ISO 27701, Bilgi Güvenliği, Siber Güvenlik ve Bilgi Teknolojileri konularında destek ve teklif almak için lütfen

[:]

About Content:
Share on Social Media:
Facebook
Twitter
LinkedIn
Telegram