Büyük Veri Analizi Üzerine 6 İnceleme Veren Durum Çalışmaları

Yazılım uygulamaları bağlamındaki güvenlik açığı, tanımlanmış güvenlik ilkelerinin ihlalidir. Modern web uygulamaları, iş akış mantığını istemci tarafında tutma fikrine ve API’ları (uygulama programlama arabirimi) kullanarak sunucu ile etkileşimine odaklanmaktadır. Geliştiriciler, API’leri REST ilkelerine uygun olarak mümkün olduğunca stateless yapmaya çalışmaktadırlar. Ancak bu, yeni bir saldırı yüzeyi ekliyor. Kötü tasarlanmış API’ler genellikle saldırılara maruz kalır. 2017’de dikkat edilmesi gereken en çok 5 API zayıflığı şunlardır:

1.DDoS
Kötü tasarlanmış API’ler genellikle DDoS saldırılarının hedefidir. Çoğu zaman geliştiriciler, API’lere oran sınırlamaları koymaz veya kötü niyetli istekleri engellemez. Bazen API uç noktalarının, arkasında Bcrpyt gibi bir karma algoritması gerektiren kimlik doğrulama mantığı gibi, hesaplanması zor olan karmaşık mantığı vardır. Bir saldırgan böyle bir son nokta tespit ettiğinde, tüm sistemi kapatan isteklerde spam gönderir. Bu uç noktaları ana API’lerden bağımsız olarak sunulmalıdır, böylece bir saldırıda sınırlı işlevsellik etkilenir. Hız sınırları ayrıca farklı API’lara farklı şekilde uygulanmalıdır; Kimliği doğrulanmış kullanıcılar ücret limitlerini yükseltebilir.

2. Numaralandırılmış Kaynaklar
Numaralandırılmış kaynaklara sahip API’ler, saldırganlar için bir altın madeni. Bu hatalı tasarım modeli, API’lerde en yaygın görülen modellerden biridir. Son zamanlarda McDonalds India, kullanıcı bilgilerini yetkisiz bir genel API vasıtasıyla sızdırıyordu. Bu kendi başına çok kötüydü, ancak sorunu daha da kötüleştiren şey, kullanıcı kimliklerinin numaralandırılabilir olmasıydı. Bu, bir saldırganın kullanıcı kimliklerini tahmin etmesi gerekmediği, yalnızca bir aralıkta yinelenip tüm verileri alabileceği anlamına gelir. Numaralandırılmış kötü durum yaygın olarak en yaygın ve en aptal tasarım kusurlarından biri olarak bilinir.
3. Kaynakları imzasız URL’lerle paylaşma
Genellikle bir API, görüntüler / sesler / videolar gibi hipermedya kaynaklarına bağlantılar verir. Bu kaynaklar daha sonra kullanıcı tarafından istedikleri şekilde tüketilebilir. Örneğin, bir videoya bağlanan bir doğrudan tarayıcıda veya VLC gibi bir multimedya oynatıcıda oynatılabilir. Bununla birlikte, bu kaynaklar, hotlinking olma eğilimi gösterir – bu, sağlayıcıya çeşitli sorunlara neden olur: hiçbiri veya zayıf analitik, kaynaklar üzerinde baskı oluşturur, markalaşmanın hiçbir yolu, orijinal içerik sağlayıcısına dönmenin hiçbir yolu yoktur. Bu nedenle, paylaşılan kaynak URL’lerinin benzersiz ve tanımlanabilir olması gerekir. İmzalı bir URL, ücretlendirme sınırlaması, otomatik sona erme ve kapsamlı paylaşım gibi politikaları uygulamak için kullanılabilir. İmzalı URL’ler, tüm önemli web siteleri, bulut depolama sağlayıcıları ve sanal veri odası sağlayıcıları tarafından kullanılır. Uygulamalarınızda imzalanmış kaynak paylaşımı kullanmak istiyorsanız, hem Amazon AWS hem de Google Bulut Platformu otomatik URL imzalamasına erişim sağlar.

4. 3. parti kütüphanelerindeki güvenlik açıkları
Herhangi bir organizasyonda modern iş akışı çoğu açık kaynak veya ücretsiz yazılım lisansı altında 3. parti kütüphanelerini kullanır. Yararcı, geliştiricilerin tekerleği yeniden icat etmelerine mecbur kalmaz ve aynı zamanda daha fazla özellik eklemek veya hataları düzeltmek için bu kütüphaneyi güncelleme konusunda endişelenmiyorlar (zorunlu değil ancak yapmaları gerekiyor!). Bu, harici bir öğe ve geliştiricilerin de güvenlik düzeltmelerini kısıtlayan yeni bir saldırı yüzeyi getiriyor. JWT kimlik doğrulama, modern API’lerde en yaygın şekilde kullanılan kimlik doğrulama şeklidir. Faydanın nedeni, statik olarak tasarım gereğidir ve REST ilkelerine çok uygundur. Birçok popüler JWT kütüphanesinin, 2015 yılında kritik açıklara sahip olduğu keşfedildi; bu da geliştiricileri, API’lerini düzeltmek için saldırganlara karşı acayip bir yarışta dünya genelinde uyguluyor. Tek çözüm, her bir dış bağımlılığın kaynağını – kendi güvenliğiniz için ve daha büyük iyilik için – tetkik etmek ve denetlemektir.

5. CORS’in yanlış kullanılması
CORS’i kendi başına kullanmanın aslında kötü olması da aslında istemci (tarayıcı) aracılığıyla başka bir kaynaktan gelen kaynakları kullanırken gereksiz yan etkilere neden olan uygunsuz uygulamalar ile sık sık işinize gerek duyulmaktadır. “Erişim Kontrolü-İzin Verilen Köşe” başlığı çoğu zaman tüm kaynakların geliştiriciler tarafından kullanılmasına izin verilirken yalnızca kendi web siteleri tarafından kullanılması amaçlanmıştır. Kamu API’leri için mükemmel derecede sorun yok, aksi takdirde hotlinking yüzünden sorunlara neden olabilir.

Leave a Reply

Your email address will not be published. Required fields are marked *