Bir web sitesini yönetirken, en önemli güvenlik açıklarından ve güvenlik tehditlerinden haberdar olmak önemlidir. OWASP Top 10 sıralaması, günümüzün web uygulamalarına yönelik en ciddi tehditlerden bazılarını anlamak için mükemmel bir başlangıç ​​noktasıdır.

OWASP nedir?

OWASP açılımı Open Web Application Security Project olarak tanımlanmaktadır. Web uygulamalarındaki güvenlik açıklarının kapatılması ve bu uygulamaların güvenli bir şekilde korunmasını sağlamak için çalışmalar yapan özgür bir topluluktur. OWASP’ye ait dokümanlar ve araçlar tüm dünyadaki herkesin kullanımına açık ve ücretsizdir. Web sitesinde, web uygulamalarındaki zafiyetleri, bu zafiyetlerin nasıl oluştuğunu, hangi açıklıklardan kaynaklandığını, bu zafiyetlerin nasıl exploit edilebileceğini bunun sonucunda zafiyetleri önleyebilme konusunda ayrıntılı dokümanlar bulunmaktadır.

Web güvenliği, dökümantasyon ve çeşitli teknolojiler konusunda makaleler yayınlayan çevrimiçi bir kuruluştur. Kuruluş ve şirketlerin kritik altyapılarını belirleyerek uygulama güvenliği konusunda farkındalık yaratmayı amaçlamaktadır.

OWASP Top 10 nedir?

OWASP Top 10, günümüzde en yaygın on web uygulaması güvenlik açığını bulunduran bir listedir. Bu liste sayesinde kullanıcılar, en kritik risk ve tehditlerini tespit ederek sonuçları konusunda bilinçlenecektirler. . İlk olarak 2003’te yayınlanan “OWASP-Top-10 ” düzenli olarak güncellenmekte olup her üç ile dört yılda bir güncellenmeye devam etmektedir.

OWASP, birçok firma ve web uygulama sızma testleri ile ilgili çalışmalar yapan kişilerden bilgiler toplayarak ve bu bilgileri analiz ederek o yıla ait en riskli 10 güvenlik zafiyetinin istatistiğini çıkartmakta ve ücretsiz olarak sunmaktadır. OWASP Top 10 ismiyle o yıla ait en riskli güvenlik zafiyetlerini listeledikleri Top 10 listesi hazırlamaktadır. OWASP İlk 10, en yaygın 10 uygulama güvenlik açığının listesidir. Ayrıca risklerini, etkilerini ve karşı önlemlerini de gösterir.

OWASP (Open Web Application Security Project) web uygulamaları için top 10 güvenlik risklerini (2021) açıklamıştır. Bu güvenlik açıkları aşağıdaki gibidir;

• A01:2021-Broken Access Control: Broken Acess Control 2021 yılının en ciddi ve kritik web uygulaması güvenlik riski olan kategoriye girmekle birlikte yükselmektedir. Kullanıcı bir web uygulamasına girdiğinde yetkilendirmeyi doğru şekilde doğrulayamaz ise bozuk erişim kontrolü güvenlik açığı ortaya çıkmaktadır.
• A02:2021-Cryptographic Failures: Veriler aktarımdayken veya beklemedeyken zayıf şifreleme algoritmalarının kullanımı şifrelerin uygulanmaması sertifikaların doğrulanmaması veya verilerin cleartext şekilinde iletilmesi güvenlik açığını meydana getirmektedir.
• A03:2021-Injection: Bu güvenlik açığı herhangi bir düzelteme ve temizleme gerçekleştirmeden komut veya veritabanını kullanarak bir saldırganın web sunucusunda sistem komutlarını yürütmesine, arka uç veritabanlarını ve veri depolarını tehlikeye atmasına, kullanıcı oturumlarını ele geçirmesine sebep olmaktadır.  Yaygın olarak SQL, NoSQL, OS komutu ve LDAP’yi enjeksiyonları etkilemektedir. XSS güvenlik açıkları ve dosya koruma ekdiliğinden kaynaklanabilmektedir.
• A04:2021-Insecure Design: Eksik veya etkisiz kontrol tasarımı olarak tanımlanmaktadır. Kaydedilen veriler için koruma eksikliği, algoritma sorunları ve hassas bilgileri ortaya çıkaran içeriğin görüntülenmesi gereği mükemmel bir uygulama ile düzeltilemez, belirli saldırılara karşı önlem alınması için gerekli güvenlik kontrolleri bulunmamaktadır.
• A05:2021-Security Misconfiguration: Hatalı yapılandırmadan veya sistemlerinizi verilerinizi, bulut hizmetlerinizi güvensiz bırakan riskli durumlara sebep olan güvenlik kontrolleridir.
• A06:2021-Vulnerable and Outdated Components: Hassas savunmasız ve güncel olmayan bileşen saldırıları anlamına gelmektedir. İstemci ve sunucu tarafı bileşenlerini hedeflemektedir. İşletim sistemi, web sunucuları gibi güncel olmayan destek sistemlerine ve yanlış yapılandırmasına neden olmaktadır.
• A07:2021-Identification and Authentication Failures: Doğru olmayan kimlik doğrulama, oturum düzeltme, sertifika uyumsuzlukları, zayıf kullanıcı bilgilerine izin vermeye karşı koruma eksikliğini içermektedir.
• A08:2021-Software and Data Integrity Failures: Yazılım ve veri bütünlüğü hataları ile ilgili koruma sağlamayan güvensiz verilerin çıkarılması veya uzak bir kaynaktan alındığında kodun ve güncellemelerin kontrol edilmemesine karşı koruma sağlamayan kod ve alt yapısal durumları içermektedir.
• A09:2021-Security Logging and Monitoring Failures: Günlüğe kaydetme sorunları, güvenlikle ilgili verileri de dahil olmak üzere  bilgi akışlarını kaydetmeme  veri ihlali veya saldırılara karşı biçimlerininanalizini engelleyebilecek sorunlar bu kategorinin içerisinde yer almaktadır.
• A10:2021-Server-Side Request Forgery: SSRF güvenlik açıkları, sunucu bir kaynak getirdiğinde kullanıcı tarafından gönderilen URL’leri doğrulamadığında oluşmaktadır.

-Ayşegül AKKAYA