Günümüzde, Web uygulamaları, değişik önem ve şekillerde birçok şirketin varlığının bir parçasıdır. Bu varlık, bazı şirketler için, şirketin ana faaliyet alanının can damarını teşkil ederken (örneğin, sadece internette varolan şirketler gibi), bazı şirketler için sadece internette varolmaktan öteye gitmemektedir. Her ne şekilde olursa olsun Web de var olmak ve bu varlığın kesintiye uğramaması şirketler açısından oldukça önemli olmakta hack edilmek, müşteri bilgilerinin saldırganların eline geçmesi tüm yöneticilerin kabusu olmaktadır. Şirketler, Web uygulamalarının güvenliğini sağlamak için; bu işin kalbinde duran Web sunucularının güvenliklerini ellerinden geldiğince arttırmakta (hardening), sunucularını bir DMZ'e(1) konumlandırmakta, güvenlik duvarları(2) oluşturmakta ve sunumcu trafiğini IDS(3) ile gözlemlemektedir. Tüm bu önlemlere rağmen, Web siteleri hala hack edilmektedir. Peki ama ne yanlış yapılıyor, bu duruma karşı ne yapılabilir? Aslında bu soruyu cevaplamak o kadar da güç değil.Saldırganlar bizi en zayıf yerimizden vuruyorlar, Web uygulamalarının ta kendisinden. Bu noktada birçok etken var. Web uygulamalarını yazmak, program yazmaktan nispeten daha kolay olduğu için, bu alanda program yazanların sayısı oldukça fazla. Fakat baktığımızda bu tür programcıların çoğunun bilgisayar programlama eğitiminden yoksun, lise öğrencisi benzeri bir profil oluşturduğunu görüyoruz. Tabiki bu kişilerin kod yazma yetenekleri genellikle çabuk, metodik olmayan ve güvenliği programlamanın bir parçası olarak görme farkındalığından yoksun oluyor. Web uygulamalarının tabiatı gereği, programların değişik parça ve teknolojilerle olan ilişkileri, örneğin arkada bulunan bir database’e yapılan bağlantı gibi, programcıları uygulama ile ilişkisi olan tüm farklı sistem ve teknolojilerden yeterince bilgi sahibi olmasını gerektiriyor. Bunun üzerine bir de Web sunucusunda bulunan zayıf noktalar, ince ayar hataları, database bağlantıları ve seans(4) yönetimi gibi konular da eklenince sahne daha da karmaşık bir hal alıyor.
Sonuç olarak saldırganlar tüm bu karmaşık sistemde var olan sorunlardan biri ya da diğerini kullanıp işlerini tamamlıyorlar. Bu metinde sizlere nelerle karşı karşıya olduğunuzdan ve saldırganların hangi yontemleri kullandıklarından bahsedeceğim. Peki bunlara karşı ne önlemler alırız, o da bir sonraki metnimizin konusu. Saldırı biçimlerine bilmiyenlerin okuyabilmeleri aşina hale getirebilmek için isimlerini orjinal haliyle vereceğim, fakat açıklamaları Türkçe sunacağım.
• Cross Site Scripting
HTML tabanlı eposta içine ya da Web sayfasına gömülen özel hazırlanmış bir URL, kullanıcının bilmeden sunucudan Web sayfası ile beraberinde bir kod parçasını almasına ve kendi bilgisayarında çalıştırmasına neden olmaktadır. Bu iş bazen bir epostadaki linke tıklamak ile olurken, bazen bir Web sayfasına gömülmüş bir kod parçasının otomatik olarak çalışması sonucu, kullanıcının tıklamasına bile gerek kalmadan olabilir.
(1) DMZ – Demilitarized Zone, Yerel alan ağı ile İnternet arasında özel olarak oluşturulmuş ve genellikle Internet tarafında güvenlik duvarı ile güvenliği artirilmis ara alan
(2) Firewall, Güvenlik duvarı.
(3) IDS – Intrusıon detectıon System, Yerel alan ağına yapılan saldırıları tespit etmeye yarayan sistemlerdir.
(4) Session - Seans, Web sunucusuna bir browser’in bağlantısı ile ayrılışı arasında geçen zaman.
Buna bir örnek verelim;
Siz bir Web sitesine üyesiniz ve kullanıcı adınız ve şifrenizi girerek kullanmaya başladınız, yani bir seans yarattınız. Siz bu uygulamadan çıkmadıkça, uygulama sizi bu seans için yarattığı özel bir değişkenle tanıyor (sessionID). Tam bu sırada bir eposta geliyor..
Anasayfa 
Konu: Bazı GeNeL SaLDıRı TekNiKLERi 
Ptsi Kas. 26, 2007 1:38 pm