Büyük ölçekli bir web sitesinin güvenliğinin sağlanması için hangi parametrelere dikkat etmeli, nasıl önlemler alınmalıdır?

soruldu: 15 Haz '12, 10:54

mhkoca60's gravatar image

mhkoca60
1.8k264554
cevap kabul oranı: 15%

değiştirildi: 15 Haz '12, 10:59

%C3%B6zcanacar's gravatar image

özcanacar ♦♦
17.2k59183183


"Web sitesi güvenliği" içinde çok fazla şey barındıran bir kavram gibi görünüyor bana. Genel site geliştirilirken kullanılanları sıralamaya çalışırsam:

  • Kullanıcıdan gelen bir veri direk veritabanı işlemlerinde kullanılmaz (SQL Injection)
  • Cookie kullanımında domain ve path kısıtlanmalı, mümkünse sadece SSL ile kullanılmalıdır. (XSS)
  • Cookieler tarayıcıda tamamiyle görünebildiği için hayati veri barındırmamalıdır.
  • Üyeye özel işlem yapılırken kullanılacak veriler(örneği üye ID'si) session'da tutulabilir. Bu veriler kullanıcı tarafından değiştirilebilecek şekilde tutulursa, site üzerinde başkaları adına işlem yapmak mümkün olacaktır.
  • Upload yapılabilen dizinler, bir script çalıştırılmayacak şekilde ayarlanmalı.(Shell Injection)
  • Sunucu, bir siteden diğerine erişilmeyecek şekilde yapılandırılmalı. Böylece olası bir saldırıda saece bir sitenin zarar görmesi sağlanmaya çalışılabilir.
  • Hata sayfaları yeniden tasarlanmalı, hatayı tüm ayrıntılarıyla göstermek yerine sadece kısa bir açıklama göstermeli ve hata loglanmalıdır. Aksi halde hata sayfasında yer alan bilgilerle sunucuda bir açık bulunabilir.
  • Formlar flood ve brute force'a karşı denetlenmeli.

Bunlar direk site geliştirme aşamasında aklıma gelenler ancak sunucu ayarlarına ve ağ ayarlarına göre başka önlemler almak da gerekecektir.

permanent link

cevaplandı: 15 Haz '12, 14:17

baran's gravatar image

baran
2.1k81939
cevap kabul oranı: 30%

Site guvenligi ile ilgili bilgilerin bir kısmını baran verdi. Sunucu guvenligi ile ilgili ise oncelikle Juno ve bu mantıkla calısan saldırıların önlenmesi maksadı ile fiziksel firewall bulundurulmalı. Safemode açık bulundurulmalı ve hic bir kullanıcıya sudo kullanım yetkisi verilmemeli İptables veya apf gibi programsal firewall ler bulundurulmalı bunun yanı sıra apache ye gelebilicek connection saldırılarını önlemek maksadı ile mod evasive mod security gibi modul eklentileri kurulmalı Mysql erişimi dısarıya kapatılmalı eyer baska sunucu da sayfanızı bulunduruyorsanız mysql erişim izni sadece o sunucuya verilmeli. Hic bir kullanıcıya ssh erişim izni verilmemeli Sunucu belirli perionlarla update edilmeli. Ping erişimi dışarıya kapatılmalı. Şu an aklıma gelenler bunlar eyer bir sorun ile karsılasıyorsanız o soruna gore de care üretilebilir.

permanent link

cevaplandı: 15 Haz '12, 17:04

Johns's gravatar image

Johns
1245811
cevap kabul oranı: 0%

Web Güvenligi Toplulugunun (www.webguvenligi.org) hazirlamis oldugu uygulama güvenligi kontrol listesine de bir bakmanizi tavsiye ederim: https://code.google.com/p/wasclist/

permanent link

cevaplandı: 25 Eki '12, 13:51

eitatli's gravatar image

eitatli
13124
cevap kabul oranı: 33%

güvenli yazılım geliştirme süreçlerinde web uygulamalarının güvenlik açıklarını otomatik taramalar yaparak bulmaya çalışan yazılımlardan da faydalanılmalı...

bu araçların ücretsiz versiyonları da var.şu 2 örneğe bakabilirsiniz.

http://www.mavitunasecurity.com/communityedition

http://www.acunetix.com/cross-site-scripting/scanner.htm

bu araçlar binlerce güvenlik testini otomatik yapıyor. ve yaptığı işlemleri raporluyor. aynı zamanda öğrenme aracı olarak da düşünebilirsiniz. bir açık bulursa nasıl düzeltileceği ile ilgili açıklamalar da yazıyor...

alt text

Uygulamamızın test versiyonunu bu tarz araçlarla düzenli tarayarak yapılan ek geliştirmelerle de oluşmuş bir açık var mı yok mu daha emin olabilirsiniz

hatta sürekli entegrasyon (CI) desteği de var bu tarz araçların. şu yazı okumaya değer

http://www.troyhunt.com/2011/01/continuous-web-application-security.html

permanent link

cevaplandı: 25 Eki '12, 17:27

serdarb's gravatar image

serdarb
13124
cevap kabul oranı: 8%

Merhaba, geçenlerde websiteme saldırı oldu. Kimdir nedir bilmiyorum. Site göçtü anasayfaya abuk sabuk şeyler koydu birileri. Gerçi çnemli değil dizi izleme sitesi yapıyordum zarar ziyan yok çok şükür. Ertesi gün ancak farkettim chorme sayesinde. Sayfa açılmadı ve kırmızı ekran çıktı. Araştırdım google'a rapor gönderdim sitemi kontrol etsinler diye. Mesaj gönderdiler sitenizde zararlı yazılım var diyorlar. Şaşırdım çünkü başıma ilk kez geliyordu böyle bir şey. Neyse, araştırmaya başladım ve facebook'ta webkalkan yeni nesil web sitesi güvenliği adıyla bir sayfa buldum ve ilgili kişi Melik Bey'le görüştüm. Ücretsiz danışmanlık veriyormuş hatta bu konuda. Neyse işte konuştum onunla sağolsun daha önceden de Globalsignda çalışmış. Bilgiliydi vallahi. Bana önerdiği şeyler yeterli oldu mesela aşağıdaki sayfadan kontrol ettim sitemi. Sorunu bulduk ama o kadar çok sayfaya virüs bulşamıştı ki, uğraşmadık siteyi geri yükledim. Birkaç tane ücretli hizmeti de tavsiye etti ve ücretsiz sürekli tarama sağlayan bir hizmeti de önderdi. Hem ücretsiz -periyodik tarama-, hem de ücretli olanı kullanıyorum. Gerçekten çok düşük bütçelerle bile websitemin güvenliğini onun desteğiyle sağladığımı düşünüyorum. Keşke onun gibi insanlar çoğalsa. O zaman genel itibariyle çoğu kimse bilinçlenirdi. Siber güvenlik işi karışık ama bilgisiz olduğumuz da bir gerçek. Dediğim gibi ismi Melik ve web adresi de webkalkan.com. Büyük ihtimalle size de yardımcı olur.

permanent link

cevaplandı: 05 Şub, 09:42

RamazanCetin's gravatar image

RamazanCetin
0
cevap kabul oranı: 0%

Cevabınız
toggle preview

Bu soruyu takip et

E-Posta üzerinden:

Üyelik girişi yaptıktan sonra abonelik işlemlerini yapabilirsiniz

RSS üzerinden:

Cevaplar

Cevaplar ve Yorumlar

Yazı Formatlama

  • *italic* ya da _italic_
  • **bold** ya da __bold__
  • link:[text](http://url.com/ "başlık")
  • resim?![alt text](/path/img.jpg "başlık")
  • liste: 1. Foo 2. Bar
  • temel HTML etiketleri de kullanılabilir

Bu sorunun etiketleri:

×20

Soruldu: 15 Haz '12, 10:54

Görüntüleme: 4,820 kez

Son güncelleme: 05 Şub, 09:42

powered by BitNami OSQA