En basit dil olan ASP ile site çalışması yapmak zorunda kalınca (http://etogm2.meb.gov.tr) biraz güvenlik konusuna eğileyim dedim.
 
Aslında kullanılan dilden çok, sunucu ve veritabanında zayıflıklar var. XP tabanlı bir sunucu hem performanslı değil hem de göçmesi an meselesi. MySQL ve MSSQL dışındaki metin tabanlı (XML, txt, csv) ve MDB ile de veritabanı çözümü, kabaran veritabanının yavaşlaması ve indirilmesinin kolay olması gibi sorunlara neden oluyor.
 
Kod kısmında ise upload (dosya gönderme), şifrelenmemiş post (veri gönderme, en azından MD5 olmalı), SQL ve JavaScript kod çalıştırılmasını engelleme gibi konularda basit önlemler ile "web uygulamaları" güvenli hale getirilebiliyor. Captcha http://en.wikipedia.org/wiki/Captcha ve resim uploadlarında kod çalışmasını engelleme diğer önlemler. XSS http://en.wikipedia.org/wiki/Cross_site_scripting ile de sitenizin ele geçmemesi için önlemler almalısınız.
 
Linux+PHP+MyQL en çok kullanılan web sunucu alt yapısı(en çok saldırılan da tabii www.zone-h.org). Win200x+ASPNET+MSSQL ise ikinci planda, bildiğiniz gibi. Eğitim siteleri çok amatörce olduğundan en çok edu siteleri kullanılıyor.
 
Piyasada web güvenliği ile ilgili Türkçe bir iki tane kitap var. Kevin Mitnick’in "Aldatma Sanatı" kitabı ve .. hatırlamıyorum. Kevin http://www.muratyildirimoglu.com/makaleler/kevinmitnick.htm aslında kitabında şu program ile hack yapılır diye hiç bir şeyden bahsetmiyor. Onun yerine şirkette çalışan cahil ve habersiz çalışanı kullanarak sunucuyu ele geçiriyor. Şimdilerde de eposta ve sohbet aracılığı ile insanlar kandırılarak bilgisayarları ele geçiriliyor. Vandalizm ile dosyalar çalınıyor, siliniyor, değiştiriyor. Varolmayan "süper kullanıcı" yetkili kullanıcı açılıyor, eposta adreslerine erişiliyor… Oturum ve cerezler çalınıyor…
 
Şirket veya kişi için önemli olan paylaşılmamış "bilgi" paylaşıma açılıyor. Bilişim ile ilgili suçların cezaları için bakınız: http://www.iem.gov.tr/iem/?m=4&s=51
 
Hazır forum sitesi kodlarının açıkları www.google.com da rahatlıkla edinilebiliyor. Versiyonuna göre hangi açığı var ise saldırı yapılır. Kullanıcıların bilgisayarlarına ve hesaplarına çok basit şifre belirlemeleri de ekmeklerine yağ sürüyor. Kısa şifreler (123, 111, 1010, 1q2w gibi), sözlükte rahatca bulunabilen kelimeler (admin, root, guest gibi), klavyedeki yanyana tuşlara (qwe, asd …) basmak gibi… Gizli soruların kolayca tahmin edilebilmeleri de var tabi. Bazen de bazı bankaların yaptığı gibi "güvenlik" aşırı önemsenerek kullanıcının bıkmasına neden olabilir.
 
Antivirus ve güvenlik duvarları insanların kendilerinin yaptığı önem vermediği hareketler ile kırılıyor. Mesela msn messenger’da gelen mesajın hemen onaylanmaması gerekir. Dosya uzantıları görünür halde olmalıdır. İşletim sistemi ve antivirus güncel olmalıdır. Şifreler basit ve her yerde ve hesapta tekrarlanarak kullanılmamalıdır. İnternette asla görmediğiniz ama samimiyet kurduğunuz her insana inanmamalısınız, özellikle PAROLA konusunda…
 
Şirket veya kamu binasındaki ağda snif (koklanan) bilgilere karşı önlemler alınmalıdır. Her kullanıcı istediği yerden istediği sunucuy erişmemelidir. Bankacılık işlemleri her bilgisayardan yapılmamalıdır. Bilgisayarda farkedilmeden kurulmuş "Keylogger ve trojan" olabileceği unutulmamalıdır. Flash bellekleri virus taramasından geçirerek kullanmalıdır.
 
Emule ‘de ise bir iki tane daha kaynak buldum:
 
  • McGraw-Hill – HackNotes Web Security Pocket Reference.pdf
  • OReilly Web Security & Commerce.pdf
  • Web.Security.&.Commerce.pdf
  • Programming- design(ebook – CHM) MS PRESS – Writing Secure Code.chm
  • Hacking The Code – Asp Net Web Application Security Cookbook (2004).chm
  • Microsoft.Press.The.Security.Development.Lifecycle.Jun.2006.chm
  • Writing Secure Code, 2nd Edition (2003).chm
  • Wrox.ASP.NET.2.0.MVP.Hacks.and.Tips.May.2006.chm

Son yıllarda siteler daha etkileşimli ve kullanıcının özelleştirebileceği hale geldiği için "güvenlik" daha da önemli hale geliyor. Hangi dil ve yardımcı aracı kullanırsanız kullanın kötü niyetli kişilerin birkaç adımda sizden faydalanmalarına engel olun.

Linkler:

Reklamlar