Web yazılımlarında güvenlik problemleri üzerine araştırma
Abstract
Web uygulamaları genel olarak sonuç odaklı ve hızlı geliştirilme sürecine sahiptir. Geliştirme anında güvenlik kriterleri coğu zaman bilinçli yada bilinçsiz olarak gözardı edilir. Bu nedenle, geliştirilen uygulamaların davranması gerektiğinden farklı şekillerde davranmasına neden olacak güvenlik açıklarına olanak verilmektedir. Geliştirilen web uygulamalarında ki bu zafiyetler ise kötü niyetli kullanıcılar için bir fırsat oluşturur.Web uygulamalarının geliştirilmesinde yapılan bir diğer yanlış ise uygulamanın güvenliği ile network katmanındaki güvenliğin birbirine karıştırılmasıdır. Firewall'ın (güvenlik duvarı) web uygulamalarını korumadığı bilinmelidir. Bu nedenle, geliştirilen uygulamalar için mutlaka sızma ve güvenlik testlerinin yapılması gereklidir.Yukarıda belirtilen zafiyet ile birlikte kötü niyetli kullanıcıların bulunması sistem üzerinde bir takım risklerin oluşmasına neden olur. Bu riskler ise sistem üzerinde ki diğer kullanıcılara da sıçrayabilmektedir. Risk'in tanımını aşağıdaki gibi verebiliriz:Risk = Tehdit + ZafiyetTez yazımındaki amaç, web uygulamalarında bulunan güncel zafiyetleri ele almak, bu zafiyetlerin oluşmasına neden olan düşünce ve yaklaşımların neler olduğunu öğrenmek, bu yaklaşımlara alternatif olarak neler yapılabileceği ve zafiyetlerin giderilmesi için hangi önlemlerin alınabileceğini ifade etmek amaçlanmaktadır.Anahtar Kelimeler: Web uygulama güvenliği, SQL Enjeksiyonu, Siteler arası İstek Sahteciliği, Siteler Arası Betik Çalıştırma, Güvenli Soket Katmanı, Aynı Kaynak Politikası. Web applications generally have a result-oriented and rapid development process. At the development time, security criterion ignored consciously or unconsciously. Therefore, it allows security vulnerabilities that will cause differently behave the developed applications than they should behave. These vulnerabilities in developed web applications provide an opportunity for malicious users.Another mistake made in the development web applications is that the security application's security is confused with the network layer's security. It should be known that Firewall (security gateway) does not protect web applications. Therefore, it is absolutely necessary to conduct infiltration and safety tests for the developed applications.The above mentioned weakness and the presence of malicious users causes some risks on the system. These risks can also spread to other users on the system. We can give the definition of risk as follows:Risk = Threat + VulnerabilityThe goal of writing thesis is that to handle the current weakness in the web applications, to learn what are the thoughts and approaches that cause these weaknesses to occur, what alternatives can be made to these approaches and what measures can be taken to eliminate weaknesses.Keywords: Web Application Security, SQL Injection, Cross Site Request Forgery, Cross Site Scripting, Secure Socket Layer, Same Origin Policy.
Collections
Except where otherwise noted, this item's license is described as info:eu-repo/semantics/openAccess