Ana Karargâh Neler Yapıyoruz?

Dijital Pazarlama

Arama Motoru Optimizasyonu İçerik pazarlama stratejileri Sosyal medya yönetimi ve danışmanlığı E-posta pazarlama kampanyaları Google Ads ve sosyal medya reklamcılığı Dijital gerilla marketing

Web Hizmetleri

E-ticaret siteleri Portfolyo siteleri Kurumsal web siteleri Landing page'ler Özel Web Projeleri Web tabanlı mobil uygulamalar Teknik destek ve geliştirme Hız optimizasyonu ve İyileştirme

Yapay Zeka ve Veri Senkanisazyon

AI İçerik Üretimi Akıllı Chatbot Geliştirme Ai Analitik Hizmetleri Otomatik Veri Sınıflandırma Veri toplama hizmetleri

Barındırma ve Diğerleri

Alan Adı Hizmetleri Barındırma Hizmetleri SSL Hizmetleri E-posta Hizmetleri
Hikayemizin Perde Arkası Beyin Kıvılcımları Bağlantıya Geçin

Web Uygulamalarında Sıkça Göz Ardı Edilen Güvenlik Açıkları ve Çözümleri

Yazar: Leoliva Yayınlama Tarihi: 7 Ekim 2024

Merhaba, dijital güvenliğin gizli kahramanları! Bugün, web uygulamalarının karanlık köşelerinde gizlenen ve sıklıkla göz ardı edilen güvenlik açıklarını ele alacağız. Bu açıklar, sanki birer hayalet gibi, çoğu zaman fark edilmeden sistemlerimizde dolaşır durur. Ama endişelenmeyin! Bu gizli tehditleri ortaya çıkaracak ve onlarla başa çıkmanın yollarını keşfedeceğiz. Hazırsanız, web güvenliğinin derinliklerine dalıyoruz!

1. Yetersiz Şifreleme: Veri Güvenliğinin Achilles Topuğu

Sorun: Hassas verilerin yetersiz şifrelenmesi veya hiç şifrelenmemesi.

Çözüm: Güçlü şifreleme algoritmaları kullanın ve verileri hem hareket halindeyken hem de durağan haldeyken şifreleyin.


// Node.js örneği: AES şifreleme kullanımı
const crypto = require('crypto');

const algorithm = 'aes-256-cbc';
const key = crypto.randomBytes(32);
const iv = crypto.randomBytes(16);

function encrypt(text) {
  let cipher = crypto.createCipheriv(algorithm, Buffer.from(key), iv);
  let encrypted = cipher.update(text);
  encrypted = Buffer.concat([encrypted, cipher.final()]);
  return { iv: iv.toString('hex'), encryptedData: encrypted.toString('hex') };
}

function decrypt(text) {
  let iv = Buffer.from(text.iv, 'hex');
  let encryptedText = Buffer.from(text.encryptedData, 'hex');
  let decipher = crypto.createDecipheriv(algorithm, Buffer.from(key), iv);
  let decrypted = decipher.update(encryptedText);
  decrypted = Buffer.concat([decrypted, decipher.final()]);
  return decrypted.toString();
}

// Kullanım
var hw = encrypt("Gizli mesaj")
console.log(hw)
console.log(decrypt(hw))

2. CSRF (Cross-Site Request Forgery): Gizli Saldırı Sanatı

Sorun: Kullanıcının bilgisi dışında, onun kimlik bilgileriyle yetkisiz işlemler yapılması.

Çözüm: CSRF token'ları kullanın ve Origin başlıklarını kontrol edin.


// Express.js örneği: CSRF koruması
const express = require('express');
const csrf = require('csurf');
const bodyParser = require('body-parser');

const app = express();

// CSRF koruması için middleware
const csrfProtection = csrf({ cookie: true });

app.use(bodyParser.urlencoded({ extended: false }));
app.use(csrfProtection);

app.get('/form', (req, res) => {
  // CSRF token'ı forma ekle
  res.send(`
    <form action="/process" method="POST">
      <input type="hidden" name="_csrf" value="${req.csrfToken()}">
      <input type="text" name="data">
      <button type="submit">Gönder</button>
    </form>
  `);
});

app.post('/process', (req, res) => {
  res.send('Veri güvenli bir şekilde işlendi!');
});

app.listen(3000);

3. Yetersiz Hata Yönetimi: Bilgi Sızıntısının Gizli Kaynağı

Sorun: Ayrıntılı hata mesajlarının kullanıcıya gösterilmesi, saldırganlara sistem hakkında bilgi verebilir.

Çözüm: Özel hata yönetimi mekanizmaları kullanın ve hassas bilgileri loglardan ayıklayın.


// Express.js örneği: Özel hata yönetimi
app.use((err, req, res, next) => {
  console.error(err.stack); // Sunucu tarafında loglama

  // Kullanıcıya genel bir hata mesajı göster
  res.status(500).json({
    error: 'Bir hata oluştu. Lütfen daha sonra tekrar deneyin.'
  });
});

// Hassas veri loglama örneği
const sensitiveKeys = ['password', 'creditCard'];

function sanitizeLog(obj) {
  const sanitized = {...obj};
  sensitiveKeys.forEach(key => {
    if (sanitized[key]) sanitized[key] = '[REDACTED]';
  });
  return sanitized;
}

console.log(sanitizeLog({username: 'user', password: '123456'}));
// Çıktı: {username: 'user', password: '[REDACTED]'}

4. Güvensiz Doğrudan Nesne Referansları: Yetkilendirme Bypass'ının Gizli Yolu

Sorun: Kullanıcının erişim yetkisi olmayan nesnelere doğrudan erişim sağlayabilmesi.

Çözüm: Dolaylı referanslar kullanın ve her erişimde yetkilendirme kontrolü yapın.


// Express.js örneği: Güvenli nesne referansı
const documents = {
  'abc123': { id: 'abc123', ownerId: 'user1', content: 'Gizli belge 1' },
  'def456': { id: 'def456', ownerId: 'user2', content: 'Gizli belge 2' }
};

app.get('/document/:docId', (req, res) => {
  const userId = req.user.id; // Kullanıcı kimliği (authentication middleware'den geldiği varsayılıyor)
  const docId = req.params.docId;

  const document = documents[docId];

  if (!document) {
    return res.status(404).json({ error: 'Belge bulunamadı' });
  }

  if (document.ownerId !== userId) {
    return res.status(403).json({ error: 'Bu belgeye erişim yetkiniz yok' });
  }

  res.json({ content: document.content });
});

5. XML Harici Varlık (XXE) Saldırıları: XML'in Gizli Tehdidi

Sorun: XML işleme sırasında harici varlıkların çözümlenmesi, hassas dosyalara erişim veya DoS saldırılarına yol açabilir.

Çözüm: XML parser'ında harici varlık çözümlemeyi devre dışı bırakın.


// Node.js örneği: Güvenli XML parsing
const libxmljs = require('libxmljs');

const xmlString = `
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]>
<root>
  <data>&xxe;</data>
</root>
`;

// Güvenli parsing
const safeParser = new libxmljs.SaxParser();
safeParser.parseString(xmlString, {
  noent: false,
  nonet: true
});

// Veya daha basit bir çözüm için:
const safeDoc = libxmljs.parseXml(xmlString, { noent: true });
console.log(safeDoc.toString());

Güvenliğin Gizli Kahramanları Olun!

İşte böyle, web güvenliğinin gizli şampiyonları! Gördüğünüz gibi, sıkça göz ardı edilen bu güvenlik açıkları, aslında büyük tehditlere dönüşebilir. Ancak doğru yaklaşımlar ve dikkatli bir gözle, bu tehditleri bertaraf edebiliriz. İşte unutmamanız gereken altın kurallar:

  • Hassas verileri her zaman güçlü şifreleme ile koruyun
  • CSRF token'ları kullanarak yetkisiz işlemleri engelleyin
  • Hata mesajlarınızı özenle yönetin ve hassas bilgileri gizleyin
  • Nesne referanslarını dolaylı yapın ve her erişimde yetkilendirme kontrolü yapın
  • XML işlemlerinde harici varlık çözümlemeyi devre dışı bırakın

Unutmayın, web güvenliği sürekli evrim geçiren bir alandır. Her zaman tetikte olun, yeni tehditleri takip edin ve uygulamalarınızı düzenli olarak güvenlik açısından gözden geçirin.

Artık bu gizli tehditlere karşı donanımlısınız. Gidin ve web uygulamalarınızı daha güvenli hale getirin! Kim bilir, belki de bir gün birisi size "Bu uygulama nasıl bu kadar güvenli olabiliyor?" diye soracak. Ve o zaman, gururla gülümseyip "Evet, bu gizli güvenlik açıklarına karşı alınan önlemlerin sihri!" diyebileceksiniz.

Kodlarınız güvenli, uygulamalarınız korunaklı olsun! Güvenlik açıklarına karşı her zaman uyanık kalın!

← Önceki Yazı Sonraki Yazı →