OWASP İlk 10, En Kritik 10 Web Uygulaması, Güvenlik Zayıflıkları. Bu çeviri, OWASP Türkiye ile koordineli olarak, ULAK-CSIRT Web Güvenliği Çalışma Grubu tarafından gerçekleştirilmiştir. Tümüyle yeniden yazılmış bu basım, en önemli web uygulaması zayıflıklarını, bunlara karşı nasıl tedbir alınacağını ve daha fazla bilgiye erişmek için bağlantıları içermektedir. OWASP İlk 10 2007’nin birincil amacı; geliştiricileri, tasarımcıları, yazılım mimarlarını ve kurumları en çok rastlanılan web uygulaması güvenlik zayıflıklarının önemi konusunda eğitmektir. İlk 10, bu zayıflıklara karşı korunmanın basit yöntemlerini içermektedir, “Güvenli kodlama” güvenlik programına başlamanız için mükemmel bir noktadır. Bu doküman bir standart değil, her şeyden önce bir eğitim dokümanıdır. Lütfen bu dokümanı bizimle iletişime geçmeden bir politika ya da standart olarak benimsemeyin.
Eğer bir güvenli kodlama politikasına ya da standardına ihtiyacınız varsa, OWASP tarafından yürütülmekte olan güvenli kodlama politikaları ve standartları belirleme projeleri bulunmaktadır. Lütfen bunlara katılın ya da bu çalışmaları maddi olarak destekleyin. OWASP İlk 10, En Kritik 10 Web Uygulaması, Güvenlik Zayıflıkları adlı e-kitabı edinmek için tıklayınız.
Ağ güvenlik politikası, kısaca bilgisayar ağının güvenliğini ilgilendiren her türlü bileşenin yönetimi ile ilgili stratejinin resmi şekilde yazılı olarak ifade edilmesidir. Bu bildiride güvenlik politikalarının kurumlar için önemi belirtilmekte ve bilgisayar ağlarında uygulanması için gereken çalışmalara değinilmektedir. Ege Üniversitesi’nin 2001-2002 döneminde gerçekleştirdiği ağ güvenlik duvarı (firewall) ve virus duvarı (viruswall) projesi ile gerçekleştirdiği güvenlik politikasına da göndermede bulunulmaktadır. Bilginin ve kaynakların paylaşılması gereksinimi sonucunda kurumlar, bilgisayarlarını çeşitli yollardan birbirine bağlayarak kendi bilgisayar ağlarını kurmuşlar ve sonra dış dünyayla iletişim kurabilmek için bilgisayar ağlarını İnternet’e uyarlamışlardır. Eskiden kilitli odalarla sağlanan güvenlik kavramı, bilgisayar ağları ve İnternet gibi ortamların gündeme gelmesiyle boyut değiştirmiştir. İnternet yasalarla denetlenemeyen bir sanal dünyadır.
P2P, paylaşıma getirdiği hız, güvenilirlilik ve verim açısından çok yararlı bir protokoldür. Yalnız bu protokolün aşırı ve kontrolsüz kullanımında, oluşan bağlantılar ağ sistemlerinde yoğunluluk ve ona bağlı yavaşlamaya yol açmakta, band genişliğinin olması gerekenden fazla kullanılmasına yol açmaktadır. Paylaşılan dosyaların çoğunluğunun telif hakkına tabi olması ve bu tip bir paylaşımın hukuka uygun olmaması da ciddi bir sorundur. Bu nedenlerden dolayı, P2P protokolünü ve bu protokolü kullananları kontrol altında tutmamız gerekmektedir. Bu çalışma, ULAKNET ağının daha verimli olarak kullanılması için yaptığımız araştırmaların özetidir. P2P protokolü, tespiti ve kısıtlanma yöntemleri detaylı olarak ele alınmış ve çözüm önerileri verilmiştir.
Açık anahtarlı şifreleme bilimi açık (public key) ve ̈özel (private key) anahtar çifti temeline dayanan bir sistemdir. Asimetrik şifreleme (asymmetric encryption) ve sayısal imzalama (digital signature) uygulamaları başlıca açık anahtarlı ̧sifre bilimi uygulamalarıdır. Şifreleme, iletilerin gizliliğini (confidentiality) sağlar. Kullanılan anahtara göre iki türlü şifreleme vardır: şifrelemede ve de şifrelemede aynı anahtarı kullanan simetrik şifreleme, ve şifreleme ile de şifrelemede farkı anahtarları kullanan asimetrik şifreleme. Asimetrik şifreleme, gizliliği gereken bir iletinin (e-posta v.b.) şifrelenip gönderilmesinden ziyade bu gizlilik gerektiren iletinin simetrik şifrelenmesinde kullanılacak olan simetrik anahtarın güvenli bir şekilde iletişim partnerleri arasında aktarılmasında kullanılır.
Web altyapısına artan sayıda saldırı girişimi yaşanmaktadır, bu nedenle web ve web uygulaması güvenliği her geçen gün daha hayati hale gelmektedir. Nüfuz veya saldırı yaşanmadan saldırıları saptayacak ve saldırıya açıklıkları engelleyecek güvenlik düzeneklerine ihtiyaç duyulmaktadır. Bu çalışmada, güvenliği daha iyi sağlamak için değişik tekniklerin birlikte çalıştığı bir Kurumsal Web Güvenlik Altyapısı modeli tanımlanmıştır. Bu modelde, ağ farkındalığı ve eğitim konularına yoğunlaşılmıştır. Üniversite ağları gibi büyük kurumsal ağlarda, farklı web sistemleri, bunları yöneten ve üzerindeki yazılımları hazırlayan farklı ekipler bulunmaktadır.
