Güvenlik Testi - Hassas Verilere Maruz Kalma

Çevrimiçi uygulamalar her geçen gün interneti doldurduğundan, tüm uygulamalar güvenli değildir. Çoğu web uygulaması, kredi kartı bilgileri / Banka hesabı bilgileri / kimlik doğrulama bilgileri gibi hassas kullanıcı verilerini gerektiği gibi korumaz. Bilgisayar korsanları, kredi kartı dolandırıcılığı, kimlik hırsızlığı veya diğer suçları işlemek için zayıf şekilde korunan verileri çalabilir.

Bu kusurun Tehdit Ajanlarını, Saldırı Vektörlerini, Güvenlik Zafiyetini, Teknik Etkisini ve İş Etkilerini basit bir şema yardımıyla anlayalım.

Misal

Yanlış güvenlik yapılandırmasının klasik örneklerinden bazıları verildiği gibidir -

  • Bir site, kimliği doğrulanmış tüm sayfalar için SSL kullanmaz. Bu, saldırganın ağ trafiğini izlemesine ve kullanıcının oturumunu ele geçirmek veya özel verilerine erişmek için kullanıcının oturum çerezini çalmasına olanak tanır.

  • Bir uygulama, kredi kartı numaralarını bir veritabanında şifrelenmiş bir biçimde depolar. Geri getirildikten sonra şifreleri çözülerek bilgisayar korsanının tüm hassas bilgileri açık bir metinde almak için bir SQL enjeksiyon saldırısı gerçekleştirmesine izin verilir. Bu, kredi kartı numaralarını bir ortak anahtar kullanarak şifreleyerek ve arka uç uygulamalarının bunları özel anahtarla çözmesine izin vererek önlenebilir.

Eller AÇIK

Step 1- WebGoat'ı başlatın ve "Güvenli Olmayan Depolama" Bölümüne gidin. Aynı anlık görüntü aşağıda gösterilmektedir.

Step 2- Kullanıcı adını ve şifreyi girin. Daha önce tartıştığımız farklı kodlama ve şifreleme metodolojilerini öğrenmenin zamanı geldi.

Önleyici Mekanizmalar

  • Hassas verilerin gereksiz yere saklanmaması ve artık gerek duyulmaması durumunda mümkün olan en kısa sürede kazınması tavsiye edilir.

  • Güçlü ve standart şifreleme algoritmalarının kullanıldığından ve uygun anahtar yönetiminin uygulandığından emin olmak önemlidir.

  • Parola gibi hassas verileri toplayan formlarda otomatik tamamlamayı devre dışı bırakarak ve hassas veriler içeren sayfalar için önbelleğe almayı devre dışı bırakarak da önlenebilir.