OWASP list10 2021

-
Açık Web Uygulama Güvenliği Projesi (OWASP), modern tehditlerin nasıl kategorize edildiğine dair bir değişiklik ortaya koyan İlk 10 2021 listesinin taslağını yayınladı.

8 Eylül 'de yayınlanan  bir duyuruda, OWASP  2021 için taslak Top 10 web uygulama güvenlik tehditleri “iyileştirmeler için emsal inceleme, yorum, çeviri ve önerileri” amacıyla yayımlanmıştır.

Çevrimiçi olarak görüntülenebilen taslak rapor, kar amacı gütmeyen kuruluşun, 2017'den beri yenilenmeyen günümüzün web uygulaması tehditlerini nasıl kategorize ettiğine ilişkin önemli değişiklikleri içeriyor.

OWASP İlk 10: Tam liste
1.A01:2021-Broken Access Control: 34 CWE. Erişim denetimi güvenlik açıkları arasında ayrıcalık yükseltme, kötü amaçlı URL değişikliği, erişim denetimi atlama, CORS yanlış yapılandırması ve birincil anahtarlarla kurcalama yer alır.

2.A02:2021-Cryptographic Failures: 29 CWE. Bu, zayıf kriptografik algoritmaların uygulanması, zayıf veya gevşek anahtar üretimi, şifrelemenin uygulanmaması veya sertifikaların doğrulanmaması ve verilerin açık metin olarak iletilmesi gibi, veriler iletilirken veya hareketsizken güvenlik hatalarını içerir.

3.A03:2021-Injection: 33 CWE. Yaygın enjeksiyonlar SQL, NoSQL, OS komutu ve LDAP'yi etkiler ve temizleme hataları, XSS güvenlik açıkları ve dosya yolları için koruma eksikliğinden kaynaklanabilir.

4.A04:2021-Insecure Design: 40 CWE. Güvensiz tasarım öğeleri çok çeşitlidir, ancak genellikle OWASP tarafından “eksik veya etkisiz kontrol tasarımı” olarak tanımlanır. Kaydedilen veriler için koruma eksikliği, mantıksal programlama sorunları ve hassas bilgileri açığa çıkaran içeriğin görüntülenmesi endişe duyulan alanlardır.

5.A05:2021-Security Misconfiguration. Uygulamalar, güvenlik güçlendirmeden yoksunlarsa, ayrıcalıklar söz konusu olduğunda çok açık bir el gibi gereksiz özellikler varsa, varsayılan hesaplar etkin tutulursa ve güvenlik özellikleri doğru yapılandırılmazsa savunmasız olarak kabul edilebilir.

6.A06:2021-Vulnerable and Outdated Components: Üç CWE. Bu kategori, istemci ve sunucu tarafı bileşenlerine, bileşenlerin bakımındaki hatalara, işletim sistemi, web sunucuları veya kitaplıklar gibi güncel olmayan destek sistemlerine ve ayrıca bileşen yanlış yapılandırmasına odaklanır.

7.A07:2021-Identification and Authentication Failures: 22 CWE. Güvenlik sorunları, uygunsuz kimlik doğrulama, oturum sabitleme, sertifika uyumsuzlukları, zayıf kimlik bilgilerine izin verme ve kaba kuvvet saldırılarına karşı koruma eksikliğini içerir.

8.A08:2021-Software and Data Integrity Failures: 10 CWE. Bütünlük bu kategorinin odak noktasıdır ve güvenilmeyen verilerin seri durumundan çıkarılması veya uzak bir kaynaktan alındığında kodun ve güncellemelerin kontrol edilmemesi gibi bunun doğru şekilde yapılmaması, kapsam dahilinde olabilir.

9.A09:2021-Security Logging and Monitoring Failures: Dört CWE. Günlüğe kaydetme sorunları, güvenlikle ilgili bilgi akışlarını kaydetmeme veya yalnızca yerel olarak günlüğe kaydetme verileri dahil olmak üzere bir veri ihlali veya başka bir saldırı biçiminin analizini engelleyebilecek sorunlar bu kategoriye girer.

10.A10:2021-Server-Side Request Forgery: Bir CWE. SSRF güvenlik açıkları, bir sunucu, uzak kaynakları getirdiğinde kullanıcı tarafından gönderilen URL'leri doğrulamadığında ortaya çıkar. OWASP, bulut hizmetlerinin ve giderek daha karmaşık mimarilerin benimsenmesinin SSRF saldırılarının şiddetini artırdığını söylüyor.


Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

OSINT*AÇIK KAYNAK İSTİHBARATI’NA GİRİŞ VE UYGULAMA YÖNTEMLERİ

-
Resim
          AÇIK KAYNAK İSTİHBARATI’NA GİRİŞ VE UYGULAMA YÖNTEMLERİ Tarkan Aydınonat BİREYSEL MAKALE   Word count = 4684                         OSINT; BİR KİŞİ VEYA KURUMA AİT BİLGİLERE ULAŞMA     Kamuya açık, ulasılabilir kaynaklardan bilgi toplayarak, istihbarat üreterek analiz etme yöntemi olarak genel bir OSINT tanımı yapabilirim. Bildiğiniz gibi hocam, OSINT’in kapsamı sadece siber güvenlik ile sınırlı değildir. Askeri ve ticari istihbarat gibi bilginin önem teşkil ettiği geniş bir kullanım alanına sahiptir. Günümüzde artık hacker’lar ve siber güvenlik alanında çalışan kişilerin yanı sıra yeterli network bilgisine sahip dedikodu sever bir şirket çalışanından insan kaynakları yöneticilerine kadar uzanan bir skalada kişisel veya tanınmak istenen kişi ya da bir kurum/kuruluş hakkında verilere ulaşmak popüler bir hal almıştır. İşin bu denli yaygınlaşmasının sebep olduğu sorunlar ve kişisel verilerin korunmasının önemi/önlemler ayrı bi
Devamı

AY'IN FİLMİ III ''CONTACT ''

-
Resim
Bilim kurgu severlere sürükleyici bir film.İYİ SEYİRLER.;) KONU :''  Astronom Dr. Arroway, Bir gece  Vega  yıldızından gelen bir sinyal keşfeder. Arroway'in bu keşfi bütün Amerika'yı ayağa kaldıracaktır. İşin daha da tuhaf olan tarafı, Vega yıldızından gelen bu sinyaller birleştirildiğinde bir teknolojik aracın yapım planı ortaya çıkmaktadır. Bu bir  truva atı  mıdır? yoksa başka  gezegen  ve  galaksilere  seyahatin yolunu açan bir makine midir? Bunu öğrenmek için Amerikan Hükümeti makineyi yapmaya karar verir.'' P.S : ''  Carl Sagan 'ın  aynı adlı romanından  beyaz perdeye uyarlanan  1997  yapımı bir bilim kurgu filmidir. Yönetmenliğini  Robert Zemeckis yapmış ve başrollerini Dr. Eleanor Ann "Ellie" Arroway rolüyle  Jodie Foster , Palmer Joss rolüyle  Matthew McConaughey , Ulusal Güvenlik Müşaviri Michael Kitz rolüyle James Woods  ve Dr. David Drumlin rolüyle  Tom Skerritt  oynamıştır.''
Devamı

Open Source Intellıgence (OSINT)FRAMEWORK/ Açık Kaynak İstihbaratı

-
Resim
OSINT Framework(çerçevesi), istihbarat ve veri toplama sürecini kolaylaştırmak için tasarlanmış bir Açık Kaynak İstihbarat araçları koleksiyonudur. OSINT çerçevesi, kullanımı kolay bir web ara yüzünde kapsamlı bir araç listesi sağlar. Çevrimiçi ara yüz ), farklı istihbarat kaynakları için kategoriler ve sınıflandırmalar sağlayarak, olası tüm kaynakları araştırmanızı sağlamak için önemli bir kontrol listesi (veya yol haritası) haline getirir. OSINT çerçevesi araştırmacılar ve penetrasyon test cihazları için mükemmel bir kaynaktır. https://osintframework.com Ne duruyorsunuz? inceleyin! Harika bir kaynak ;)
Devamı