Fırat Ürper

Çalışma Notlarım

Siber Güvenlik

Web Güvenliği Denetimi, Tehdit Türleri Ve Düzeltmeleri

By admin//

*****WEB SİTESİ GÜVENLİK DENETİMİ NASIL YAPILIR?*****

Bir web sitesini korumak için yapılabilecek bir çok işlem bulunmaktadır. Bilgisayar korsanları, çevrimiçi sistemleri ihlal etmek için sürekli olarak yeni ve güçlü teknikler geliştiriyorlar. IBM tarafından yapılan bir araştırmada, 2019’da bir ihlali tespit etmenin ortalama süresinin 206 gün olduğunu ortaya koydu. Bu da yeni gelişmiş saldırıların tespitinin zaman alan bir süreç olduğunu gösteriyor. Bu yazıda, bir web güvenlik denetimi hakkında bilmeniz gereken her şeyi ve bunu nasıl gerçekleştirebileceğinizi keşfedeceğiz. İçerik tablomuz şu şekildedir:

  1. Web Sitesi Güvenlik Denetimi nedir?
  2. Web Sitesi Güvenlik Denetimi Nasıl Yapılır?
  • Adım 1: Güvenlik Açıklarını Tarama
  • Adım 2: Güvenlik Açıklarından Yararlanma
  1. Web Sitesi Güvenlik Denetim Kontrol Listesi
  2. Son Söz

1. Web Sitesi Güvenlik Denetimi Nedir?: Bir web sitesi güvenlik denetimi, web sitenizi ve sunucusunu bilgisayar korsanlarının yararlanabileceği mevcut veya potansiyel zayıflıklar için taramak anlamına gelir. Temel yazılımından uzantılara, temalara, sunucu ayarlarına, SSL bağlantısına, yapılandırmalara kadar web sitenizin tüm altyapısını kapsar. Tüm boşluklar belirlendikten sonra, bir sonraki adım sızma testleri yapmaktır. İlk adımda tespit edilen güvenlik açıkları, bunlarla ilişkili riski değerlendirmek için hedeflenir. 

Web sitesi güvenlik denetimlerinin amacı, proaktif olarak web sitenizin mimarisindeki tutarsızlıkları aramak ve kötü niyetli bilgisayar korsanları fark etmeden önce bunları ortadan kaldırmaktır. Bilgisayar korsanları araç kutusundaki her numarayı kullanarak web sitenizin güvenliğini sürekli olarak zorlayacağından, sektör uzmanları her zaman düzenli güvenlik denetiminin önemi üzerinde durur.

Basitçe temel uygulamaları takip etmek ve geri kalan her şeyi kadere bırakmak çözüm değildir. Yöneticiler sürekli tetikte olmalı ve istismar kapsamının çok az olması veya hiç olmaması için titiz tarama ve testler gerçekleştirmelidir.

2. Web Sitesi Güvenlik Denetimi Nasıl Yapılır?: Güvenlik denetimleri için çevrimiçi güvenlik araçlarını kullanmanız veya profesyonel hizmetler almanız gerekmektedir. Güvenlik taraması için çevrimiçi olarak kullanılabilen birçok ücretsiz ve ücretli araç ve hizmet bulunmaktadır. Yukarıda açıklandığı gibi, web sitesi güvenlik denetimleri 2 adımdan oluşur. O halde bu adımları biraz daha ayrıntılı olarak ele alalım:

  1. Adım: Güvenlik Açıklarını Tarama: Bu ilk adımda, seçtiğiniz araç, web sitenizin güvenliğinin tüm yönlerini inceleyecektir. Güvenlik açıklarını, kötü amaçlı yazılımları, virüsleri ve gevşek güvenlik önlemlerini tespit etmek için veritabanınızı, dizinlerinizi, dosyalarınızı, temalarınızı, eklentilerinizi, web sunucunuzu vb. tarar. İşte kullanabileceğiniz araçların bir listesi şöyledir:
  •  Sucuri SiteCheck: Sucuri’nin (sitecheck.sucuri.net) SiteCheck’i aşağıdakileri kontrol edecek ücretsiz bir tarama aracıdır. 
  1. Kötü amaçlı yazılım, virüsler, kötü amaçlı kod ve virüslü dosya konumları için bu web sitesi tespitte bulunur.
  2. Web sitenizin PhisTank, Google vb. web sitesi güvenlik yetkilileri tarafından kara listeye alınıp alınmadığını kontrol ediniz.
  3. CMS sürümü, eklentiler veya uzantılar gibi tüm web sitesi bileşenlerinin güncel olup olmadığını öğreniniz.
  4. Ayrıca, mevcut herhangi bir yapılandırma veya başka güvenlik sorunu olup olmadığını da görecektir.

Sucuri, taramasına dayanarak, her bir boşluğun savunmasız olduğu tehdit türlerini ortaya koyuyor ve sertleştirme önerileri veriyor. Herhangi bir en iyi güvenlik uygulamasını kaçırmadığınızdan emin olmak istiyorsanız oldukça şık bir araçtır.

  • Qualys SSL Sunucu Testi: Qualys SSL sunucu testi, SSL/TLS sunucu bağlantınızı tarar ve herhangi bir yanlış yapılandırma veya güvenlik açığı olup olmadığını kontrol eder. Web sitenizi bu temelde derecelendirir ve size protokol desteği, şifre gücü, anahtar değişimi vb. düzeyini gösterir. Ücretsiz bir araçtır ve tek yapmanız gereken alan adınızı eklemek ve bir rapor almak için Gönder’e tıklamaktır. Web sitenizin standart iletişim protokolünü ve şifrelemeyi izlediğinden emin olmak istiyorsanız, bu araç size kesinlikle yardımcı olacaktır.
  • Intruder: Intruder, kurumsal düzeyde bulut tabanlı bir güvenlik açığı tarayıcısıdır. Hatalar, yapılandırma zayıflıkları ve eksik yamalar için tüm web uygulamanızı kontrol eder. Web sitenizin CMS’si (Content Management System – İçerik Yönetim Sistemi) de yaygın güvenlik sorunları için taranacaktır. Saldırgan, önce kritik boşlukları yamalayabilmeniz ve ardından daha az ciddi olanlara geçebilmeniz için bunlarla ilişkili riski değerlendirerek sorunları öncelik sırasına koyar. Ayrıca her bir tehdit için anlaşılması kolay düzeltici önlemler önerir ve sistemlerinizi proaktif olarak izler. Üstelik Slack veya Jira gibi uygulamalarla entegre edebilir ve sitenizdeki en son tehditlerden anlık olarak mesajlarla haberdar olabilirsiniz.

Yukarıdaki (Sucuri SiteCheck, Qualys SSL, Intruder)  araçlar, web sitenizin güvenlik duruşunun tatmin edici bir analizini vermelidir. Alternatifler istemeniz durumunda önermek istediğim üç araç daha var:

  • Web Cookies Scanner
  • SiteGuarding
  • Observatory

2. Adım: Güvenlik Açıklarından Yararlanma: Artık web sitenizin güvenlik durumu ve barındırdığı sorunlar hakkında yeterli bilgiye sahip olduğunuza göre, Pentest (sızma testi) araçlarını kullanma ve her bir güvenlik açığının ciddiyetini değerlendirme zamanı geldi. Bunun için otonom taramalar yapmak amacıyla aşağıdaki araçları kullanabilirsiniz:

  • Pentest-Tools ile Web Sitesi Güvenlik Açığı Tarayıcısı: Bu web sitesi güvenlik açığı tarayıcısı, çok çeşitli tehditleri ve güvenlik sorunlarını kapsayan kapsamlı bir pakettir. Güvenlik bilgilerini topladığı ve uygulama testi, CMS testi, altyapı testi ve SSL testi yaptığı için uçtan uca bir web sitesi güvenlik denetim çözümü olduğunu söyleyebilirsiniz. Şirket 2 çözüm sunuyor: Hafif Tarama: Hafif sürüm, daha pasif bir güvenlik taraması gerçekleştirir ve HTTP tanımlama bilgilerinin güvenliği, sunucu yazılımı güvenlik açıkları, HTTP başlık yapılandırmaları, sunucu yapılandırmaları, SSL sertifikası, robots.txt dosyası vb. gibi hususları analiz eder. Tam Tarama: Bu, hafif tarama altındaki her şeyi ve yaygın web güvenlik tehditlerini (SQL enjeksiyonları, XSS, OS komut Enjeksiyonu), bilgilerin açığa çıkması sorunlarını, eski JavaScript kitaplıklarını ve daha fazlasını kontrol eden ek alanları kapsayan daha sağlam bir taramadır. Hafif taramada, sunucuya 20 HTTP isteği gönderilirken, Tam taramada 10.000’e kadar HTTPS isteği gönderilir ve kapsamlı testler yapılır.
  • w3af: w3af bir web uygulaması saldırısı ve denetim çerçevesidir. SQL enjeksiyonu, siteler arası komut dosyası çalıştırma, tahmin edilebilir kimlik bilgileri, işlenmeyen uygulama hataları, DNS sahtekarlığı ve PHP yanlış yapılandırmaları gibi 200’den fazla güvenlik açığını belirlemek için kullanabilirsiniz. Çeşitli HTTP isteklerine yük enjeksiyonu, web ve proxy sunucularını koda entegre etme, hızlı HTTP istekleri gönderme vb. teknikleri kullanarak sızma testleri gerçekleştiren açık kaynaklı bir araçtır.
  • MetaSploit: Metasploit, çoğu web güvenlik uzmanı tarafından kullanılan vazgeçilmez bir penetrasyon testi aracıdır. Metasploit’i çalıştırmak kolaydır, tek yapmanız gereken onu hedef web sitenize yönlendirmek, bir istismar seçmek, hangi yükü bırakacağınızı seçmek ve saldırınızı başlatmak. Her türlü istismarı kaydeden kapsamlı bir veritabanına sahiptir. Tüm zayıf yönlerinizi belirledikten sonra, bu araç aracılığıyla saldırılar başlatabilir ve mağazanızın risk profilini belirleyebilirsiniz. Metasploit, sunduğu ayrıntılı işlevsellik sayesinde en çok kullanılan pentest çerçevesidir. Bir komut satırı arabirimine sahiptir ve daha önce zahmetli olan en yoğun görevleri otomatikleştirir. Hem açık kaynaklı hem de ücretli hizmetleri vardır. Metasploit’e her yıl daha fazla özellik ekleniyor, bu nedenle web siteniz için bir web sitesi güvenlik denetimi yapmak istiyorsanız, bu araç şiddetle tavsiye edilir ve mutlaka kullanılması gerekir!

Yukarıdaki araçlar (Pentest Tools, w3af, Metasploit) denetim gereksiniminizi karşılayacaktır. Bunlara ek olarak tavsiye edebileceğimiz diğer araçlar; 1-nmap, 2-John the ripper, 3-Kali Linux

3. Web Sitesi Güvenlik Denetim Kontrol Listesi: Web güvenliği konusunda yeterli bilgiye sahip olduğunuzda, bu kontrol listesi web sitenizin şu anda nerede durduğunu değerlendirmenize yardımcı olacaktır:

Basic Security – Temel Güvenlik

  • Do you have SSL? – SSL’niz var mı?
  • Is your CMS Software up to date? – CMS Yazılımınız güncel mi?
  • Do you have automatic backups set up? – Otomatik yedekleme ayarınız var mı?
  • Have you limited web permissions based on roles? – Web izinlerini rollere göre sınırlandırdınız mı?
  • Get a WAF for your website – Web siteniz için bir WAF edinin.

Technical Security – Web siteniz için bir WAF edinin

  • Are you preventing SQL Injections? – SQL Enjeksiyonlarını engelliyor musunuz?
  • Measures against XSS Cross Site Scripting. – XSS Siteler Arası Komut Dosyasına Karşı Önlemler.
  • Are you protecting against DDoS Attacks? – DDoS Saldırılarına karşı korunuyor musunuz?
  • Set up automatic Malware scans. – Otomatik Kötü Amaçlı Yazılım taramalarını ayarlayın.
  • Check your server configuration files. – Sunucu yapılandırma dosyalarınızı kontrol edin.

Auditing – Denetim

  • Do you require CVV for all purchases? – Tüm satın alımlar için CVV’ye ihtiyacınız var mı?
  • Make sure your website isn’t backlisted. – Web sitenizin geri listelenmediğinden emin olun.
  • Can search engines index your web pages? – Arama motorları web sayfalarınızı indeksleyebilir mi?
  • Monitor traffic surges. – Trafik dalgalanmalarını izleyin.

4. Son Söz: Bir web sitesi güvenlik denetimi, web sitenizin güvenlik durumunun zirvesinde kalmanın ve elinizden gelenin en iyisini yaptığınızdan emin olmanın ve sızma tehditlerini en aza indirmenin harika bir yoludur. En iyi yanı, çevrimiçi olarak bulabileceğiniz ve web sitesi sahiplerine üçüncü taraflardan çok az yardım alarak özerk bir şekilde denetim gerçekleştirme yeteneği sağlayan birçok ücretsiz tarama aracının olmasıdır.

****WEB GÜVENLİĞİ TEHDİT TÜRLERİ VE DÜZELTMELERİ****

Web Güvenliği tehditleri, bilgisayar sistemlerini ve çevrimiçi ağları hedef alan her türlü bilgisayar korsanlığı saldırısıdır. Amaç, hassas bilgileri ele geçirmek, verileri yok etmek veya para çalmaktır. Verizon tarafından yürütülen araştırmalara göre, çevrimiçi saldırılar büyük ölçüde finansal olarak motive ediliyor. Diğer popüler nedenler arasında casusluk, rekabet, kimlik hırsızlığı vb gibi sebepler bulunur. Siber saldırılar ve veri ihlalleri her geçen yıl artmaktadır. Dünyanın dört bir yanındaki kuruluşlar artık saldırı önleme ve hasar kontrolü için milyarlar harcıyor. Bu yazıda, işletmelerin bugünlerde karşılaştığı en yaygın web güvenlik tehdidi türleri hakkında konuşacağız ve bunlardan nasıl korunacağına dair ipuçları vereceğiz. Konuya ilişkin içerik tablosunda yer alacak başlıklar şu şekildedir:

A- En Yaygın 7 Web Güvenliği Tehdidi Türü

  1. MitM Saldırıları
  2. Kimlik Avı Saldırıları
  3. SQL Enjeksiyonu
  4. Kaba Kuvvet Saldırıları
  5. Siteler Arası Komut Dosyası Çalıştırma (XSS) Saldırıları
  6. Kötü amaçlı yazılım saldırıları
  7. DDoS saldırıları

B- Son Söz

En Yaygın 7 Web Güvenliği Tehdidi Türü

1. Ortadaki Adam (MitM) Saldırısı: Bir MitM saldırısında, saldırganlar bir etkileşim sırasında kendilerini kullanıcı ile bir uygulama arasına yerleştirecek ve ikisinden birinin kimliğine bürünecektir. İşte birkaç MitM saldırısı türü şöyledir:

1.1 Kablosuz Dinleme: Bilgisayar korsanları, bir işletmeninkine benzer bir Wi-Fi bağlantısı kurabilir ve meşru görünmesini sağlayabilir. Bir kullanıcı sahte Wi-Fi’ye bağlandığında, saldırgan kullanıcının çevrimiçi etkinliğini denetleyebilir ve izleyebilir. Oturum açma kimlik bilgileri, ödeme kartı bilgileri vb bu şekilde kolayca çalınabilir. Bu nedenle, halka açık Wi-Fi’leri kullanmaktan her zaman kaçınılmalıdır.

1.2 IP Sahtekarlığı: İnternetteki her web sitesi ve cihazın bir IP adresi vardır. Bilgisayar korsanı, IP sahtekarlığı yaparak sizi bilinen ve güvenilir bir kaynakla iletişim kurduğunuza ikna eder. Temel olarak, saldırgan bir hedef varlığa kendi IP paketleri yerine güvenilir bir varlığın IP paketini gönderir. Bunların dışında DNS spoofing, SSL hijacking, HTTP spoofing de MitM saldırılarıdır. Bu durumun önüne geçmek için şöyle yapabiliriz:

  • Güçlü şifreleme ve dijital sertifikalar aracılığıyla çevrimiçi iletişiminizi koruyun.
  • Güçlü yönlendirici oturum açma kimlik bilgileri oluşturun ve bunları düzenli olarak değiştirin.
  • Web siteniz için yalnızca HTTPS kullanın, yani bir SSL sertifikası temin edin.
  • Doğru varlıkla iletişim kurduğunuzdan emin olmak için RSA gibi ortak anahtar tabanlı kimlik doğrulama kullanılmalıdır.

2. Kimlik Avı Saldırıları: Bir kimlik avı saldırısı yoluyla, bilgisayar korsanları kurbanlara sahte iletişim göndererek, bunun meşru bir kaynaktan geliyormuş gibi görünmesini sağlar. Saldırı genellikle e-posta veya metin mesajları yoluyla gerçekleşir. Amaç, kredi/banka kartı bilgileri ve oturum açma kimlik bilgileri gibi hassas bilgileri çalmak veya kurbanın cihazına kötü amaçlı yazılım yüklemektir. Örneğin, bilgisayar korsanı, kurbanın sık sık etkileşimde bulunduğu (bir banka veya şirket gibi) güvenilir bir varlık gibi davranacak ve ondan bir bağlantıya tıklamasını veya ekleri indirmesini isteyen bir mesaj veya e-posta gönderecektir. Bağlantı, kullanıcıyı sahte bir web sitesine yönlendirecek ve burada oturum açma kimlik bilgilerini girmesi istenecek ve ek tipik olarak kurbanın cihazına bulaşacak bir tür kötü amaçlı yazılım içerecektir. Kimlik avı saldırıları çeşitli türlerde olabilir:

  • Yemleme kancası
  • Aldatıcı kimlik avı
  • Tarım
  • balina avcılığı
  • Kötü İkiz Kimlik Avı
  • Klon Kimlik Avı

3. SQL Enjeksiyonu: SQL enjeksiyonu, bir bilgisayar korsanının bir uygulamanın veritabanına gönderdiği SQL sorgularına müdahale ettiği bir web güvenlik tehdididir. SQL ifadeleri, bir web uygulamasının arkasındaki veritabanı sunucusunu kontrol eder. Bilgisayar korsanları, bu ifadelerde güvenlik açıkları bulur ve veritabanına erişim elde etmek için uygulamanın güvenlik önlemlerinin etrafından dolanır. Örneğin, bilgisayar korsanı, web sitesinin bir gönderim sayfasındaki giriş alanlarına SQL komutları girer. Enjeksiyon başarılı olursa, web uygulamasının veri tabanı tehlikeye girer. Bilgisayar korsanları, kişisel verilerinizi, müşteri bilgilerinizi, fikri mülkiyetinizi, ticari sırlarınızı vb. alabilecektir. Ayrıca sunucularımızdaki verileri silebilir veya değiştirebilirler. SQL enjeksiyonları çoğunlukla dinamik SQL, PHP ve ASP kullanan web sitelerinde başarılıdır. 

SQL enjeksiyonlarını önlemenin kesin bir yolu, tüm girdileri doğrulamak ve parametreli sorgulara bağlı kalmaktır. Tüm girdiler taranmalı ve dezenfekte edilmelidir. Uygulama kodu kullanmadan önce kötü amaçlı kod girişleri kaldırılmalıdır. Enjeksiyon saldırılarını önlemek için özel olarak tasarlandığından, bir Web Uygulaması Güvenlik Duvarı dağıtmak da yararlıdır.

4. Kaba Kuvvet Saldırıları: Bir kaba kuvvet saldırısı, kurbanın bir web sitesi için kullanıcı adını, şifresini veya PIN’ini kırmayı amaçlar. Bilgisayar korsanları, doğru olanı bulana ve kullanıcının hesabına erişebilene kadar farklı parola ve kullanıcı adı kombinasyonlarını deneyerek bir isabet ve deneme yöntemi kullanır. Parolalar tipik olarak en az 8 karakter ve büyük & küçük harf, sayı ve sembol karışımı içerdiğinden, bu ilk başta pratik gelmeyebilir. Matematiği yaparsanız, bir şifreyi  ele geçirmek için denenmesi gereken milyondan fazla kombinasyon olduğunu göreceksiniz. Bu nedenle bilgisayar korsanları bunu manuel olarak yapmazlar, bunun yerine bir komut dosyası/kod veya bir bilgisayar programı/bot çalıştırırlar. Bu programlar, doğru olanı bulana kadar kombinasyonları denemeye devam edecek. Ancak, bir bilgisayarın algoritması, bir insandan çok daha hızlı tahminde bulunmasını sağlar. Bilgisayar korsanları, komut dosyalarını çalıştırdıktan ortalama 6 saat sonra doğru oturum açma kimlik bilgilerine ulaşabilir. Kaba kuvvet saldırıları da çeşitli türlerdedir:

  • Sözlük saldırısı
  • Hibrit Kaba Kuvvet Saldırısı
  • Kimlik doldurma
  • Ters Brute Force saldırısı
  • Basit Kaba Kuvvet Saldırısı

Peki kaba kuvvet saldırılarının önüne geçmek için ne yapabiliriz: Benzersiz olan ve karmaşık bir alfabe, sayı ve sembol karışımı içeren güçlü parolalar belirleyin. Oturum açma kimlik bilgileriniz ele geçirilse bile bilgisayar korsanlarının hesabınıza girmemesi için oturum açma sayfalarınızda iki adımlı doğrulama kullanın. Giriş denemelerini sınırlayın, böylece uygulamanız bir kullanıcıyı 4. veya 5. denemeden sonra otomatik olarak kilitler. Bir bilgisayar korsanının bu kadar birkaç denemede şifreleri kırması pek olası değildir.

Oturum açma sayfasında Captcha’yı etkinleştirin . Captcha’nın zorlukları insanlar için tasarlanmıştır, bu nedenle web sitenize sızmaya çalışan herhangi bir bot veya bilgisayar programını engelleme olasılığı yüksektir.

5. Siteler Arası Komut Dosyası Çalıştırma (XSS) Saldırıları: XSS, başka bir enjeksiyon saldırısı türüdür. SQL enjeksiyonunun aksine, siteler arası komut dosyası çalıştırma istemci tarafında yürütülür. Amaç, meşru bir web sitesine veya web uygulamasına zararlı kod bulaştırarak kurbanın web tarayıcısına kötü amaçlı kod komut dosyaları enjekte etmektir. Kullanıcı böyle bir siteyi yüklediğinde, XSS saldırısı devreye giriyor ve kullanıcının tarayıcısı kötü amaçlı kodla besleniyor.

Basit bir ifadeyle, web uygulaması, istemci tarafı tarayıcıların ele geçirildiği ortam haline gelir. Saldırgan, uygulamadaki güvenlik açıklarını belirleyecek ve veri tabanına yükleri enjekte edecektir. Kullanıcı bir web sayfası istediğinde, web sitesi sayfayı saldırganın yükü HTML gövdesine gömülü olarak görüntüler. XSS saldırıları genellikle JavaScript’te yürütülür, ancak VBScript, ActiveX, Flash ve CSS’de de mümkündür. Forumlar, mesaj panoları, yorum bölümleri içeren web sayfaları genellikle XSS saldırıları için kullanılır. Siteler arası komut dosyası çalıştırma, SQL enjeksiyonundan daha az tehlikeli olsa da, uygulamanızı ve kullanıcılarını bundan korumanız gerekir. Bilgisayar korsanları, bir JS enjeksiyonu yoluyla şunları yapabilir:

  • Müşterinizin oturum tanımlama bilgilerine erişin ve onların kimliğine bürünün. Kullanıcı adına eylemler gerçekleştirebilecek ve ayrıca kişisel bilgileri çalabileceklerdir.
  • Kurbanın tarayıcı DOM’sini değiştirin ve virüslü JavaScript’in çalıştığı sayfada değişiklikler yapın.
  • Keylogging, truva atı yerleştirme, kimlik hırsızlığı, site tahrifatı gibi daha tehlikeli saldırılar gerçekleştirmek için XSS’yi Kimlik Avı gibi sosyal mühendislik saldırılarıyla birlikte kullanın.

Önlenmesi için tavsiye edilen ip uçları ise şöyle:

  • Herhangi bir kullanıcı girişine güvenmeyin . Kullanıcı tarafından yapılan tüm HTTP girişlerini tarayın ve temizleyin.
  • Kullanıcı girişinde HTML kaçışı, JavaScript kaçışı, CSS kaçışı, URL kaçışı vb. gibi kaçış/kodlama teknikleri kullanın.
  • Tanımlama bilgileri için bir HttpOnly bayrağı kullanın , böylece istemci tarafı JavaScript’lerde erişilemezler.
  • Özel olarak XSS saldırılarını algılayan ve hafifleten bir İçerik Güvenliği Politikası (CSP) ekleyin.

6. Kötü Amaçlı Yazılım Saldırıları: Kötü amaçlı yazılım saldırısı, istenmeyen yazılımların sizin izniniz olmadan sisteminize yüklendiği her türlü saldırıdır. Bu saldırılar için uygulamalarınızdaki güvenlik açıklarından yararlanılır ve amaç, sisteminizin yazılımına kötü amaçlı yazılım eklemek ve bu yazılım aracılığıyla kötü amaçlı faaliyetler yürütmektir. Bazı yaygın kötü amaçlı yazılım türleri şunlardır:

6.1.Fidye Yazılımı: Fidye yazılımı kurbanın verilerini ele geçirir ve bunlara erişimi engeller. Mağdur, bir fidye ödenene kadar verileri yayınlamak veya silmekle tehdit edilir. Basit bilgisayar fidye yazılımları, yeterli teknik bilgiye sahip bir kişi tarafından kolayca tersine çevrilebilir. Bununla birlikte, daha gelişmiş kötü amaçlı yazılımlar, kullanıcının dosyalarını şifre çözme anahtarı olmadan kurtarılamayacak şekilde şifreleyen kripto virüs gaspı gibi teknikleri kullanır.

6.2. Truva Atları: Truva atı veya Truva atı, bir bilgisayar programında yer alan ve kötü amaçlı bir işlevi olan bir kötü amaçlı yazılımdır. Bir Truva atı, uygulamada bilgisayar korsanları tarafından yararlanılabilecek arka kapılar açabilir. Örneğin Trojan, hacker’ın dinleyebileceği yüksek numaralı bir port açabilir ve bir saldırı planlayabilir.

6.3. Casus Yazılım: Casus yazılım, adından da anlaşılacağı gibi, kullanıcıları gözetlemek ve onların kişisel bilgilerine, tarama alışkanlıklarına, bilgisayar bilgilerine vb. .

6.4. Damlalıklar: Damlalık kendi başına bir virüs veya kötü amaçlı yazılım değildir, bu nedenle genellikle virüsten koruma yazılımı tarafından algılanmaz. Bilgisayarlara virüs yüklemek için kullanılan bir programdır.

6.5. Makro Virüsler: Makro virüsleri, Microsoft Excel veya Word gibi uygulamalara bulaşır. Bir uygulamanın başlatma sırasına eklenirler. Uygulama çalışmaya başladığında virüs, kontrolü uygulamaya vermeden önce talimatları yürütür. Kendini çoğaltır ve bilgisayardaki diğer kodlara iliştirilir. Önleme ipuçları:

  • Bir web uygulaması güvenlik duvarı kurun.
  • Virüsten koruma ve kötü amaçlı yazılımdan koruma yazılımı yükleyin
  • Web sitesi taramalarını ve denetimlerini düzenli olarak çalıştırın.

7. DDoS Saldırıları: E-ticaretteki en yaygın web sitesi güvenlik tehditlerinden biri olan Dağıtılmış Hizmet Reddi saldırısı, bir uygulamanın sunucusunu artık istekleri işleyemeyecek şekilde doldurmayı amaçlar ve kesinti süresiyle karşı karşıya kalır. Bir dizi istemci makineye kötü amaçlı yazılım bulaşır ve bilgisayar korsanı kontrolü ele geçirir. Daha sonra bu makineleri web sitesine büyük miktarda trafik göndermek ve kaynaklarını yükleyerek uygulamayı kapanmaya zorlamak için kullanır. DDoS saldırıları da çeşitli türlerdedir:

  • TCP SYN flood attack
  • Teardrop attack
  • Smurf attack
  • Ping of death attack
  • Botnets

Bu saldırıları önlemek ipuçları şöyledir::

  • Güvenlik duvarlarını, özellikle bir Web Uygulaması Güvenlik Duvarını dağıtın.
  • Sahte IP adreslerinden gelen trafiği engelleyecek RFC3704 filtrelemeyi kullanın.
  • İstenmeyen trafiği uygulamanın ağına girmeden önce düşüren kara delik filtreleme
  • Bir DDoS saldırısının etkisini azaltabilen CDN veya İçerik Dağıtım Ağları