OzzTech - Javascript Açıkları – Türler, Güvenlik Ve Önleme

Javascript Açıkları – Türler, Güvenlik Ve Önleme

Javascript Açıkları – Türler, Güvenlik Ve Önleme

2021 itibariyle, JavaScript programlama dilinin web sitelerinin %95'inden fazlası  tarafından kullanıldığı tahmin edilmektedir. Popülerliğini omni-platform yeteneklerine, kararlı çerçevelerine ve doğal kullanım kolaylığına borçludur. JavaScript aracılığıyla kuruluşlar, animasyonlar, etkinlik izleme, form gönderimleri ve daha fazlası gibi gelişmiş kullanıcı deneyimleri sunan dinamik web sayfalarının arka uçlarını ve ön uçlarını geliştirebilir. JavaScript, web uygulaması geliştirme için popüler bir programlama dili olmaya devam ederken, JavaScript güvenlik açıkları, saldırganlar ve kötü niyetli kullanıcılar tarafından verileri manipüle etmek veya web sistemlerinin kontrolünü ele geçirmek için yaygın olarak kullanılır.

Sonuç olarak, bu tür güvenlik açıklarını tespit etmek, araştırmak, önlemek ve çözmek için üstlenilen faaliyetleri içeren güvenlik endişelerinin üstesinden gelmek için odaklanmış bir yaklaşım gerektirir.

Javascript Açıklarını Anlama

JavaScript, mobil, masaüstü ve sunucu tarafı uygulamalar oluşturmada en yaygın kullanılan teknolojilerden biridir. Bununla birlikte, programlama dili bir istemci ve sunucu tarafı komut dosyası oluşturma için kullanımı kolay bir platform sunsa da, her yerde bulunması, farklı yanlış yapılandırmalar ve güvenlik zayıflıkları nedeniyle onu olası saldırılara karşı savunmasız hale getirir. 

Java Uygulamalarını Çalıştırmayla İlişkili Güvenlik Riskleri Ve Sorunları

JavaScript üzerine kurulu dinamik web uygulamalarının artan popülaritesi, uygulamaları savunmasız hale getirebilecek çeşitli güvenlik sorunlarını beraberinde getiriyor. Bunlar şunları içerir:

Kaynak Kodu Güvenlik Açıkları –  JavaScript geliştiricileri, genellikle, gizli güvenlik açıkları içeren çok sayıda genel veya açık kaynaklı paketi ve kitaplığı entegre etmeye ve kaynak kodundaki güvenlik sorunlarını açığa çıkarmaya güvenir. Açık kaynaklı güvenlik açıkları ilk başta kolayca tanınmayabilir ve güvenlik açığı bulunan bir paket kullanmak web uygulamanızın saldırı yüzeyini genişletir.

İstenmeyen Komut Dosyası Yürütme –  JavaScript, bir web sayfasının Belge Nesne Modeli (DOM) ile etkileşime girerken işlevleri HTML web sayfalarına gömer. Saldırganlar bu işlevlere komut dosyaları gömebilir ve ardından web sayfasına bağlanan tüm istemci bilgisayarlar tarafından yürütülebilir. 

İstemci Taraflı Doğrulamaya Özel Güven –  Çoğu kuruluş doğrulamayı yalnızca kullanıcıların tarayıcılarında sağlar. Bu, belirli bir güvenlik düzeyi sunsa da, sunuculara doğrulanmamış verileri göndermek için gelişmiş teknikler kullanan bilgisayar korsanları, kayıtları ve yapılandırmaları bozabilir.

Oturum Verilerinin Açığa Çıkması –  Saldırganlar, tarayıcı ve web uygulaması arasındaki tüm iletişime erişmek için istemci tarafı tarayıcı komut dosyalarının gücünden yararlanır. Bu iletişim, yetkisiz erişim için kullanılan kullanıcı oturum kimlikleri gibi hassas oturum verilerini içerebilir.

Kasıtsız Kullanıcı Etkinliği –  Saldırganlar, bir tarayıcıyı, kullanıcıların zaten oturum açmış olduğu çeşitli web sitelerinde kötü amaçlı etkinlikler gerçekleştirmesi için manipüle eden çeşitli teknikler kullanabilir. Ek olarak, bilgisayar korsanları, bir tarayıcı oturum açar açmaz arka planda diğer sitelerde tehdit vektörlerini yürüten JavaScript'teki güvenlik açıklarından da yararlanır. 

Yaygın Javascript Güvenlik Açıkları

Saldırganlar, kullanıcı ve sistem verilerini tehlikeye atmak için bir uygulamanın saldırı yüzeyindeki güvenlik boşluklarında gezinmek için yaygın olarak iyi bilinen JavaScript güvenlik açıklarını kullanır. Sonuç olarak, genellikle bir güvenlik tarayıcısı tarafından oluşturulan bir güvenlik denetim raporunda görünürler.

Bu güvenlik açıkları şunları içerir:

SİTELER ARASI KOMUT DOSYASI ÇALIŞTIRMA (XSS)

Siteler Arası Komut Dosyası Çalıştırma güvenlik açıkları , bilgisayar korsanlarının meşru web sayfalarına kötü amaçlı komut dosyaları yerleştirdiği, böylece uygulamanın doğrulanmamış verileri web tarayıcılarına ilettiği bir istemci tarafı kod yerleştirme saldırısını içerir. Oluşturulan çıktılarda filtrelenmemiş kullanıcı girişlerini etkileyen web uygulamaları, Siteler Arası Komut Dosyası Çalıştırma saldırılarına karşı en hassas olanlardır. XSS yaygın saldırıları veya olası güvenlik açığı şu yollarla önlenebilir:

  • Kullanıcı girişini filtreleme ve sterilize etme
  • Etkili yanıt başlıklarını kullanma
  • Çıktı oluşturmadan önce verileri kodlayın
  • İçerik Güvenliği Politikalarından Yararlanın

SİTELER ARASI İSTEK SAHTECİLİĞİ (CSRF VEYA XSRF)

CSRF, tehdit aktörlerinin meşru kullanıcıları ziyaret etmek için pusuya düşürüldükleri web uygulamalarına kötü niyetli istekler göndermeleri için manipüle ettiği yaygın bir güvenlik açığıdır . Web uygulaması, geçerli kullanıcı istekleri ile sahte istekler arasında ayrım yapamadığında, saldırganlar meşru son kullanıcılar kisvesi altında herhangi bir kötü niyetli eylemi gerçekleştirebilir. 

CSRF saldırıları şu şekilde önlenebilir:

  • Güvenli rastgele belirteçleri uygulama
  • Kullanılmayan web uygulamalarının oturumunu kapatma
  • Tarayıcılar tarafından otomatik şifre girişlerine izin vermeme
  • Oturum kimlik bilgilerinin güvenliğini sağlama

SUNUCU TARAFI JAVASCRİPT ENJEKSİYONU

Bu mekanizma, temizlenmiş ve filtrelenmiş kullanıcı girdilerinin yokluğunda bir web uygulamasının sunucusuna kötü amaçlı veya rastgele kod enjekte etmeyi ve yürütmeyi içerir. Saldırganlar genellikle, sunucu tarafından yürütülecek güvenli olmayan komut dosyalarını almak için uygun doğrulamalar olmadan kullanıcı tarafından oluşturulan verileri ayrıştıran işlevler ararlar. 

Sunucu tarafı enjeksiyon saldırıları, tipik olarak, kullanıcı girdilerinin uygun şekilde doğrulanması ve filtrelenmesiyle önlenir.

İSTEMCİ TARAFI MANTIK SALDIRILARI

JavaScript motorları, istemci tarafı işleme için hızları ve performanslarıyla bilinir. Ancak kuruluşlar, kullanıcı adlarının ve parolaların sabit kodlanması gibi hassas işlemler yaptığında, kullanıcı mantıksal karar vermenin gerçekleştirildiği ortamı tamamen kontrol edebilir. Bu, saldırganların bir tarayıcı aracılığıyla web uygulamasına hızlı erişim ve kontrol elde etmelerini sağlar. 

İstemci tarafında hassas güvenlik kontrolleri ile işlemlerden kaçınılarak İstemci Tarafı Mantık saldırıları önlenebilir.


İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.