GENÇLİK FORUM

GENÇLERİN BULUŞMA NOKTASI...
 
AnasayfaGaleriSSSAramaÜye ListesiKullanıcı GruplarıKayıt OlGiriş yap

Paylaş | 
 

 Türkiyede En Çok Karşılaşılan Açıklar1

Önceki başlık Sonraki başlık Aşağa gitmek 
YazarMesaj
admin serdar
Admin
Admin
avatar

Erkek
Mesaj Sayısı : 612
Yaş : 25
Nerden : TÜRKİYE/SAKARYA
Personalized field :
Kayıt tarihi : 25/06/08

MesajKonu: Türkiyede En Çok Karşılaşılan Açıklar1   Çarş. Haz. 25, 2008 7:55 pm

INFOSECURE şirketi tarafından şirketlerde yapılan denetimler sonucu ortaya çıkan en önemli 10 güvenlik açığı aşağıdaki şekildedir;

Türkiye’deki Şirketlerde En Sık Rastlanan Güvenlik Açıkları :

1. Hatalı Kablosuz Ağ Yapılandırması
2. Hatalı Yapılandırılmış Sanal Özel Ağ (VPN) Sunucuları
3. Web UygulaYasak Kelime arında SQL Sorgularının Değiştirilebilmesi
4. Web UygulaYasak Kelime arında Başka Siteden Kod Çalıştırma
5. Kolay Tahmin Edilebilir Şifrelere Sahip Kullanıcı Hesapları


1. Hatalı Kablosuz Ağ Yapılandırması

Açıklama :

Günümüzde kullanımı oldukça artan kablosuz ağlar* birçok kurumun yerel ağının bir parçası olmuştur. Ancak kablosuz ağ erişim noktalarının* istemcilerin ve kablosuz ağ tasarımlarının yapılandırmasında güvenlik gereksinimleri gözönüne alınmamaktadır. İstemcilerin kimlik doğrulamasının yapılmaması* kriptolu erişim kullanılmaması* kablosuz ağların güvenlik duvarı aracılığıyla erişim denetimine tabi tutulmaması ve sinyal kalitesinde kısıtlama olmaması* saldırganların kablosuz ağlara sızmasını kolaylaştırmaktadır. Kablosuz ağlara sızabilen bir saldırgan* kurum yerel ağına girebilir* sunuculara erişim sağlayabilir* tüm ağ erişimlerini izleyebilir veya değiştirebilir.

Çözüm Önerileri :

Kablosuz ağ tasarımı yapılırken* kablosuz ağın Internet gibi güvensiz bir ağ olduğu göz önüne alınYasak Kelime ı* güvenlik duvarının DMZ bölümünden giriş yapılması sağlanYasak Kelime ı* tercihen sanal özel ağ (VPN) sistemleri kullanılYasak Kelime ı* sinyal kalitesinde kısıtlaYasak Kelime ara gidilmeli ve istemciler harici doğrulama sistemleri tarafından kimlik kontrolüne tabi tutulYasak Kelime ıdır. Kurum güvenlik politikası dahilinde* gezgin kullanıcıların sistemlerinde kurumda kullanılmamasına rağmen kablosuz ağ kartı bulunması engellenmeli ve istemci kurumda iken ağ kartının devre dışı olması sağlanYasak Kelime ıdır.


2. Hatalı Yapılandırılmış Sanal Özel Ağ (VPN) Sunucuları

Açıklama :

Sanal özel ağ (VPN) sunucuları güvensiz ağlar üzerinde güvenli iletişim tünelleri oluşturmak için kullanılmaktadır. Genel kullanım alanları arasında; kurum bölgeleri arası bağlantıları* çözüm ortakları ile iletişim* veya gezgin istemcilerin yerel ağa güvenli bağlanabilmesi sayılabilmektedir. Sıkça karşılaşılan sanal özel ağ güvenlik açıkları arasında* sanal özel ağ sunucularında harici kimlik doğrulama sistemleri kullanılmaması* sunucunun yerel ağda bulunması sonucu yerel ağa doğrudan erişim* istemciler ile Internet arasında iletişim izolasyonu olmaması ve zayıf kriptolama algoritYasak Kelime arının seçilmesi sayılabilmektedir. Güvenlik açığı barındıran sanal özel ağa sızabilen bir saldırgan* kurum ağına doğrudan erişim sağlayabilmekte ve yerel kullanıcı haklarına sahip olabilmektedir.

Çözüm Önerileri :

Sanal özel ağ sunucuları kendilerine ayrılmış bir DMZ bölümü ve güvenlik duvarı aracılığıyla yerel ağa bağlanYasak Kelime ıdır. Böylece güvenlik duvarına gelen iletişim kriptosuz olacak ve üzerinde erişim denetimi yapılabilecektir. Gezgin kullanıcıların bağlantısında ise sayısal sertifika veya tek seferlik şifre gibi kimlik doğrulama yöntemleri kullanılYasak Kelime ıdır. Kriptolama amaçlı kullanılacak algoritma mutlak suretle günümüzde kolayca kırılamayan algoritYasak Kelime ar (3DES* AES vb.) arasından seçilmelidir. Kullanılacak istemci yazılımları* Internet kullanımı ile sanal özel ağ kullanımı arasında izolasyon yapYasak Kelime ı ve istemcilerin Internet’te farklı kaynaklara erişimini kısıtlaYasak Kelime ıdır. Ayrıca uzak erişimlerde sahip olunan yetkiler* yerel ağda sahip olunan yetkilerden çok daha az olacak şekilde yapılandırılYasak Kelime ıdır.


3. Web UygulaYasak Kelime arında SQL Sorgularının Değiştirilebilmesi

Açıklama :

Web uygulaYasak Kelime arında bazı bilgilerin tutulabilmesi için SQL veritabanları kullanılmaktadır. Uygulama geliştiricileri* bazı durumlarda kullanıcılardan gelen verileri beklenen veri türü ile karşılaştırma***** SQL sorguları içinde kullanmaktadırlar. Genel olarak problemler* uygulama geliştiricinin SQL sorgularında anlam ifade edebilecek ‘ ; UNION gibi kötü niyetli karakterlere karşı bir önlem almadığı zaman ortaya çıkmaktadır. Bu durum kullanıcıya önceden planlanmamış uygulama düzeyinde erişim sağlayabilir. İçinde SQL sorgulama barındıran bir çok ürün SQL sorguları değiştirilebilmesine (SQL Injection) karşı savunmasızdır. Saldırganlar SQL sorgularını değiştirme tekniklerini web sitelerine ve uygulaYasak Kelime ara zarar vermek amaçlı kullanmaktadırlar. SQL enjeksiyon ile saldırgan tablo yaratabilir* değişiklikler yapabilir* veritabanı üzerinde erişim sağlayabilir veya veritabanı kullanıcısının hakları doğrultusunda sunucuda komut çalıştırabilir.

Çözüm Önerileri :

Uygulamanın tüm bileşenlerinde kullanılan değişkenler için kontroller oluşturulYasak Kelime ı ve değişkene atanması beklenen veri türü ile kullanıcı girdisi karşılaştırılYasak Kelime ıdır. Beklenen girdi türünden farklı karakterler saptanması durumunda* karakterler SQL sorgularında anlam ifade etmeyecek biçimde değiştirilmeli* silinmeli veya kullanıcıya uyarı mesajı döndürülmelidir. Tercihen uygulamanın tamamı için geçerli olacak* değişken türü ve atanabilecek girdi türünü parametre olarak alan ve kontrolleri yaptıktan sonra girdi kabul sonucu üreten sabit bir fonksiyon tercih edilmelidir.


4. Web UygulaYasak Kelime arında Başka Siteden Kod Çalıştırma

Açıklama :

Başka siteden kod çalıştırma (Cross-Site Scripting) açıkları* bir saldırganın hedef web sitesi aracılığıyla site ziyaretçilerinin sisteminde komut çalıştırabilmesine olanak tanımaktadır. Saldırı sonucu olarak site ziyaretçilerinin browser’larında bulunabilecek güvenlik açıklarının kullanılması* JavaScript/ActiveX ve VBScript komutlarının çalıştırılmasını mümkün kılmaktadır. Bu tür komutlar ile kullanıcıya ait site çerezleri alınabilir* kaydedilmiş şifreler çalınabilir veya browser’da bulunabilecek güvenlik açıkları ile kullanıcı sistemi ele geçirilebilir. Ayrıca elektronik ticaret veya bankacılık uygulaYasak Kelime arı için sahte giriş ekranları oluşturularak ziyaretçilerin yanıltılması ve sonucunda kullanıcıya ait önemli bilgilerin ele geçirilmesi mümkün olabilir.

Çözüm Önerileri :

Uygulamanın tüm bileşenlerinde kullanılan değişkenler için kontroller oluşturulYasak Kelime ı ve değişkene atanması beklenen veri türü ile kullanıcı girdisi karşılaştırılYasak Kelime ıdır. Beklenen girdi türünden farklı karakterler (örn. <>/;()) saptanması durumunda* karakterler anlam ifade etmeyecek biçimde değiştirilmeli* silinmeli veya kullanıcıya uyarı mesajı döndürülmelidir. Tercihen uygulamanın tamamı için geçerli olacak* değişken türü ve atanabilecek girdi türünü parametre olarak alan ve kontrolleri yaptıktan sonra girdi kabul sonucu üreten sabit bir fonksiyon tercih edilmelidir.


5. Kolay Tahmin Edilebilir Şifrelere Sahip Kullanıcı Hesapları

Açıklama :

Ağda bulunan istemci* sistem yöneticisi veya servislere özel kullanıcı hesaplarının kolay tahmin edilebilir şifrelere sahip olması* bir saldırganın kurum ağına yönelik kullanabileceği en basit saldırı yöntemidir. Özellikle yönlendirici yönetim şifreleri veya sunucu servislerine ait kullanıcı hesaplarının şifreleri kolayca tahmin edilebilmektedir. Web temelli uygulaYasak Kelime arın yaygınlaşması ile web temelli uygulaYasak Kelime ar da şifre seçim hatalarından etkilenmektedir. Bir saldırganın* yönetim hesaplarını veya geçerli bir kullanıcıya ait şifreleri ele geçirmesi durumunda* kurum ağına sınırsız erişim sağlanabilmekte ve istenen ağ sistemi kolayca ele geçirilebilmektedir.

Çözüm Önerileri :

Şifre seçimi* kalitesi ve yönetimi konusunda kurum politikası oluşturulYasak Kelime ıdır. Başta sistem yöneticileri olmak üzere kullanıcıların şifre seçim kriterlerine uyumu* dizin hizmetleri veya alan denetçileri ile sağlanYasak Kelime ı ve kullanıcıların daha zor tahmin edilebilir şifre seçimleri yapYasak Kelime arı sağlanYasak Kelime ıdır. Özel uygulama alanlarında (sanal özel ağ* ERP yazılımları* bankacılık uygulaYasak Kelime arı vb.) harici doğrulama sistemleri veya sayısal sertifikalar kullanılYasak Kelime ıdır. Web temelli uygulaYasak Kelime arın tasarımında* kullanıcı hesap yönetimi ve şifre seçimi konusunda* beklenen kriterlerin uygulanması zorlayıcı olYasak Kelime ıdır.
Sayfa başına dön Aşağa gitmek
Kullanıcı profilini gör http://genclik.0forum.biz,   www.aybisoft.com  bütün web siteler
 
Türkiyede En Çok Karşılaşılan Açıklar1
Önceki başlık Sonraki başlık Sayfa başına dön 
1 sayfadaki 1 sayfası
 Similar topics
-
» hulk Digerlerine Kahramanlara karşı

Bu forumun müsaadesi var:Bu forumdaki mesajlara cevap veremezsiniz
GENÇLİK FORUM :: PC Hakkında Herşey :: PC Hakkında Herşey-
Buraya geçin: