YAZ.02 EK2 — Güvenlik Açığı Kritiklik Belirleme Kriterleri

Yazılım Güvenliği IT Standartları · Türkçe

Açıklama

Bu doküman, web uygulamalarında tespit edilen güvenlik açıklarının kritikliğinin belirlenmesinde kullanılacak kriterleri tanımlar. Her güvenlik açığı önlemi bir kategoriye, olası etkiye ve kritiklik seviyesine göre sınıflandırılmıştır. Bu ek, YAZ.02 Web Siteleri Standartları dokümanının tamamlayıcısıdır.

Standartlar

Kategoriler

  1. Hata Yönetimi
  2. Girdi Denetimi
  3. Oturum Yönetimi
  4. Yetkilendirme
  5. Kayıt Tutma
  6. Kimlik Doğrulama
  7. Bağlantı Güvenliği
  8. Web Servisleri
  9. İş Mantığı
  10. Veri Güvenliği
  11. Yapılandırma Yönetimi

Etkiler

  1. Bilgi Toplama
  2. SQL Enjeksiyonu
  3. XSS
  4. Bilgi Hırsızlığı
  5. Hizmet Dışı Bırakma
  6. Komut Çalıştırma

Seviyeler

  1. Acil (5)
  2. Kritik (4)
  3. Yüksek (3)
  4. Orta (2)
  5. Düşük (1)

Güvenlik Açığı Önlemleri

Önlem Kategori Etki Seviye
Uygulama ile son kullanıcı arasındaki kullanıcı adı, parola, kredi kartı numarası, adres gibi hassas veriler HTTPS protokolü üzerinden aktarılmalıdır.Bağlantı GüvenliğiBilgi HırsızlığıAcil
Kullanılan parolalar ve "parolamı unuttum" kontrol soru-cevapları gibi diğer hassas veriler veri tabanında açık metin olarak saklanmamalıdır.Veri GüvenliğiBilgi HırsızlığıAcil
SQL enjeksiyonuna karşı prepared statement / parameterized query / bind variables / pozitif veri kontrolü yöntemlerinden biri veya birkaçı kullanılmalıdır.Girdi DenetimiSQL EnjeksiyonuAcil
Kullanıcıdan gelen tüm girdilere sunucu tarafında pozitif veri kontrolü uygulanmalı ve çıktılar bağlama uygun kodlama/düzgünleştirme (encode/escape) işleminden geçirilmelidir.Girdi DenetimiHepsiAcil
Kullanıcıdan gelen verilerin işletim sistemi komut satırına girmeden kontrol edilmesi ve düzgünleştirme işleminden (escape) geçirilmesi gerekmektedir.Girdi Denetimiİşletim Sistemi Komut EnjeksiyonuAcil
Kullanıcıdan gelen ve dosya erişim işlemlerinde kullanılan girdiler normalizasyon işlemine tabi tutulmalıdır.Girdi DenetimiDizin GezinimiAcil
GET veya POST isteklerindeki HTTP parametreleri değiştirilerek üçüncü şahısların bilgilerine yetkisiz olarak erişilememelidir.YetkilendirmeBilgi Hırsızlığı, Hak YükseltmeAcil
SOAP, RESTful, XML-RPC gibi teknolojilerle geliştirilmiş web servislerine erişimlerde kimlik doğrulama kontrolü uygulanmalıdır.Web ServisleriBilgi HırsızlığıAcil
Kullanıcıdan veri alarak LDAP'a bağlanan uygulamalar, gerekli girdi kontrollerini gerçekleştirmeli ve bu girdileri LDAP düzgünleştirme işleminden (escape) geçirmelidir.Girdi DenetimiLDAP EnjeksiyonuAcil
Güvensiz kaynaklardan veri alarak XPath sorguları yapan uygulamalar, gerekli girdi kontrollerini gerçekleştirmeli ve bu girdileri XPath düzgünleştirme işleminden (escape) geçirmelidir.Girdi DenetimiXPath EnjeksiyonuAcil
Karşıdan dosya yükleme işlemlerinde yüklenilen dosya üzerinde isim, boyut, tip ve içerik kontrolü yapılmalıdır.Girdi DenetimiXSS, Dosya ÇalıştırmaKritik
DoS saldırısı barındırabilecek veya şifre deneme-yanılma gibi kaba kuvvet saldırılarına açık tüm formlara CAPTCHA veya farklı anti-otomasyon güvenlik kontrolleri uygulanmalıdır.Girdi DenetimiHizmet Dışı Bırakma, Kaba KuvvetKritik
Güvenli web trafiği için TLS 1.2 ve üzeri (tercihen TLS 1.3) ile güçlü şifreleme algoritmaları kullanılmalı; SSL ve TLS 1.0/1.1 gibi eski protokoller ile zayıf algoritmalar devre dışı bırakılmalıdır.Bağlantı GüvenliğiBilgi HırsızlığıKritik
Uygulama çatısı, veri tabanı, uygulama sunucusu, web sunucusu gibi kullanılan yazılımların güvenlik yamaları en üst seviyede olmalıdır.Yapılandırma YönetimiHepsiKritik
Kritik işlemlerde CSRF saldırılarına karşı güvenlik önlemleri alınmalıdır.Oturum YönetimiCSRFKritik
Uygulama üzerinden yapılan hassas işlemler hem uygulama seviyesinde hem de sunucu seviyesinde kayıt altına alınmalıdır.Kayıt Tutmaİnkâr Edilemezlik (Non-repudiation)Kritik
Kullanıcıdan gelen CR/LF karakterleri uygulama tarafında oldukları gibi HTTP cevap başlıklarında kullanılmamalıdır.Girdi DenetimiHTTP Response SplittingKritik
Uygulamaların üzerinde koştukları sunucular, servis verdikleri dizinlerin içeriklerini listelememelidir.Yapılandırma YönetimiDizin ListelemeKritik
Güvensiz kaynaklardan veri alarak aritmetik işlem yapan uygulamalar, gerekli tam sayı üst sınır ve alt sınır kontrollerini gerçekleştirmelidir.Girdi DenetimiTamsayı TaşmasıKritik
Web servisleri için kullanılan çatıların klasik XML saldırılarına karşı bağışık olup olmadıkları kontrol edilmelidir.Web ServisleriHizmet Dışı BırakmaKritik
Uygulamalarda başarılı kimlik doğrulama ve çıkış işlemleri sonrası oturum bilgisinin değiştirilmesi gerekmektedir.Oturum YönetimiSession FixationKritik
Oturum yönetimi için kullanılan ve uygulamayı kullanan bütün kullanıcılar için tekil olması gereken değerlerin, tahmin edilemez derecede karmaşık olduğu ve güçlü bir rastgele veri üretecinden temin edildiği kontrol edilmelidir.Oturum YönetimiHak YükseltmeKritik
Uygulamayı çalıştıran sistem kullanıcısının, hizmet verilen dizin dışındaki yetkileri kaldırılmalıdır.YetkilendirmeHepsiYüksek
ASP.NET gibi kullanılan uygulama çatılarının güvenlik özellikleri aktif hale getirilmelidir.Yapılandırma YönetimiHepsiYüksek
Veri tabanı kullanıcısının sadece uygulamanın kullandığı veri tabanı kaynaklarına erişim hakkı olmalıdır.YetkilendirmeBilgi Hırsızlığı, Komut ÇalıştırmaYüksek
Hassas bilgiler içeren web sayfalarının tarayıcılarda belleğe alınmaması için autocomplete, cache-control, pragma gibi gerekli HTTP/HTML başlıkları kullanılmalıdır.Yapılandırma YönetimiBilgi HırsızlığıYüksek
Arama motorları tarafından görüntülenmemesi istenen dizinler varsa, bunlar için robots.txt ile önlem alınmalıdır.Yapılandırma YönetimiBilgi ToplamaYüksek
Yedekleme, arşiv, test ve geliştirme için kullanılan gereksiz hiçbir dosya internet üzerinden erişilebilir dizinlerde bulunmamalıdır.Yapılandırma YönetimiBilgi ToplamaYüksek
Ön tanımlı kullanıcı hesapları sistemden veya uygulamadan kaldırılmalıdır.Yapılandırma YönetimiHepsiYüksek
Uygulama alan adlarına ait hassas bilgilerin Google/Bing gibi arama motorları tarafından indekslenmediği kontrol edilmelidir.İş MantığıBilgi ToplamaYüksek
Parola güncelleme işlemleri için eski şifre her zaman sorulmalıdır.YetkilendirmeBilgi HırsızlığıOrta
"Parolamı unuttum" süreçleri tek kullanımlık doğrulama bağlantısı/kodu ve ek doğrulama adımları gibi birden fazla kontrol ile desteklenmelidir.İş MantığıHizmet Dışı BırakmaOrta
Veri tabanı kullanıcısının veri tabanına sadece uygulama sunucusu IP'sinden bağlantı hakkı olmalıdır.YetkilendirmeBilgi HırsızlığıOrta
Başarılı login işlemleri sonrası kullanıcı HTTP 302 ile dahili sayfalara yönlendirilmelidir.Oturum YönetimiBilgi HırsızlığıOrta
Gerekmedikçe POST/GET dışındaki HTTP metotlarına izin verilmemeli, bunlar web.config dosyasında kapatılmalıdır.Yapılandırma YönetimiXSS, Dosya Çalıştırma, Bilgi ToplamaOrta
Yönetim paneli, arayüzü gibi kritik dizinlerin isimleri kolay tahmin edilebilir olmamalıdır (admin, yonetici, administrator, yonetim, panel vb.).İş MantığıBilgi ToplamaOrta
Sunucu üzerinde bulunan ve web tabanlı istatistik sağlayan uygulamalara erişim herkese açık olmamalıdır.YetkilendirmeBilgi ToplamaOrta
Uygulamaların, uygun olan her sayfada çerçeveleme engelleyici önlemleri (X-Frame-Options veya CSP frame-ancestors başlıkları) alması gerekmektedir.Girdi DenetimiClickjacking / LeechingOrta
HTTPS protokolü kullanılan bağlantılarda kullanılan cookie değerleri için Secure parametresinin tanımlı olduğu kontrol edilmelidir.Oturum YönetimiBilgi HırsızlığıOrta
Uygulamada oluşan hatalar veya uygulama sunucusu varsayılan hata mesajları kullanıcıya detaylı olarak gösterilmemelidir.Hata YönetimiBilgi ToplamaOrta
Kullanılan cookie değerleri için HttpOnly parametresinin tanımlı olduğu kontrol edilmelidir.Oturum YönetimiBilgi HırsızlığıOrta
Siteler arası kaynak paylaşımı (CORS) yapılandırmasında uygulanan politikanın güvenli olduğu, joker (wildcard) izinler verilmediği kontrol edilmelidir.Yapılandırma YönetimiBilgi HırsızlığıOrta

← Tüm IT Standartları