WAF Nedir?

WAF Nedir?

Web uygulaması güvenlik duvarı cihazları (Web Application Firewall-WAF), Klasik Güvenlik Duvarı ve IDS/IPS cihazlarının koruyamadığı web adreslerinin, web uygulamalarının ve web’de çalışan servislerin güvenliğini sağlamak üzere geliştirilen ağ uygulaması güvenliği cihazları ailesinden biridir ve web uygulamalarını korumak üzere tasarlanmıştır.

WAF, web uygulamalarını/sunucularını IPS’lerin önleyemediği web tabanlı saldırılardan korumak için tasarlanmıştır.

IPS ağ trafiği üzerinden geçen paket trafiğini inceleyerek, anomali yakalamaya odaklı bir savunma sistemiyken WAF http protokolü üzerinden oturum trafiğini inceleyerek saldırıları engelleyen bir sistemdir.

WAF False-Positive Nedir?

False-Positive, sunucuya iletilmesi gereken temiz bir isteğin WAF tarafından bloklanarak sunucuya geçmesinin engellenmesi durumudur. WAF teknolojilerinde bunun düzgün yapılması ve temiz isteklerin sağlıklı bir biçimde ayıklanması çok önemli bir unsurdur.

OWASP Nedir?

Open Web Application Security Project’in kısaltılmış halidir. Açık web uygulama güvenliği projesi anlamına gelen OWASP, güvensiz yazılımların oluşturduğu problemlere karşı mücadele etmek için kurulmuş bir topluluktur. OWASP’ın tüm araçları, dokümanları, listeleri ve bölümleri ücretsiz olarak her yazılım güvenliği çalışanı ve meraklısına sunulmuştur.

OWASP Güvenlik Yaklaşımları

Pozitif Yaklaşım

  • Son yıllarda geliştirilmiş ve popülerliği her geçen gün artan yeni nesil bir güvenlik modelidir.
  • Her şeyi reddederek çalışır ve yalnızda ağda tamamen risksiz olan isteklere izin verir.
  • Yüksek performanslıdır.
  • Bir uygulamayla ilgili her şeyi siz belirtene kadar engellediği için daha fazla False-Positive yol açabilir.
  • Yaklaşımın yapısı gereği Zero-Day atakları otomatik olarak engellenmektedir.
  • Puanlama sistemi ileçalışır ve yapay zeka (AI) tabanlı çalışmaya son derece uygundur.
  • False-Pozitive ayıklaması daha kolaydır.

Negatif Yaklaşım

  • Çok büyük imza veri tabanına ihtiyaç duyması ve her isteği bu veri tabanında araması gerektiği için performansı çok düşüktür.
  • Her gün imza veri tabanının yenilenmesi gereklidir.
  • Zero-Day ataklarına karşı son derece etkisizdir.

OWASP Saldırı Tipleri Nelerdir?

Günümüzde en çok bilinen OWASP saldırı tiplerininin açıklamalarına ulaşabilirsiniz.

Cross Site Scripting (XSS)

Web sayfasının kaynak kodunu değiştirmeye olanak sağlayan bir zafiyet çeşididir. Saldırganların amacı genellikle web aplikasyonları içerisinde Javascript çalıştırmak isterler çünkü Javascript tarayıcıda neredeyse herşeyi kontrol edebilme imkanı tanır.

Cross Site Request Forgery (CSRF)

Cross Site Request Forgery (Siteler Arası Talep Sahteciliği) genel yapı olarak sitenin açığından faydalanarak sanki o kullanıcıymışız gibi erişerek işlem yapılmasını sağlar. Genellikle GET isteklerive oturum (session) işlemlerinin doğru kontrol edilmemesi durumlarındaki açıklardan saldırganların faydalanmasını sağlamaktadır.

SQL Injection (SQLi)

İnternet sitelerinin birçoğunda sayfayı dinamik tutmak için veritabanından yararlanılır. Güncel veritabanı yazılımlarında birçoğunda (MySQL,MSSQL,Sqlite,Oracle SQL) SQL (Structed Query Language) denilen ortak bir dil kullanılır. SQL Injection, SQL sorgusunun amacına müdahale ederek farklı bilgileri elde etmeye denir. Yani SQL Injection yöntemi ile üye bilgileri, yönetici şifreleri gibi veritabanında bulunup herkese açık olmayan bilgiler elde edilebilir. SQL Injection kullanılarak Yahoo! gibi büyük internet sitelerinin bile veritabanları ele geçirilmiştir.

Brute Force

Brute-Force, bilgisayar sistemleri üzerinde bir sistemi devre dışı bırakmak veya parolaya ulaşmak için ardı ardına veri yüklenmesi veya veri göndermesi yapılarak gerçekleştirilen bir çeşit internet saldırısıdır.

Command Injection

Command Injection saldırısı ile yazılımın kurulu olduğu işletim sisteminde saldırgan tarafından keyfi komutlar vermek amaçlanır. Uygulama, sistem kabuğuna (system shell) güvenilir olmayan veriler aktarırsa (formlar, çerezler, HTTP başlıkları vs.) Command Injection saldırısı olası hale gelir.

Database Backdoors

Database Backdoors, yetkili ve yetkisiz kullanıcıların normal güvenlik önlemlerini alabilmeleri ve bir bilgisayar sisteminde, ağda veya yazılım uygulamasında üst düzey kullanıcı erişimi (kök erişimi olarak da bilinir) elde edebildikleri herhangi bir yöntemi ifade eder. Siber suçlular içeri girdikten sonra kişisel ve finansal verileri çalmak, ek kötü amaçlı yazılım yüklemek örnek olarak verilebilir.

xPath Injection

xPath (XML Path Language) XML türündeki dokümanlar içerisinde düğüm (node) seçimi ve işlemleri için kullanılan özelleşmiş bir sorgu dilidir. Nasıl SQL dili belirli veri tabanlarında işlem yapmaya olarak tanıyorsa xPath’de benzer şekilde fakat kısıtlı imkanlarla (mesela Xpath ile doğrudan güncelleme yapılamaz) XML belgelerinde sorgu yapmaya olanak tanıyor. XML dosyası bir web sitesinde kimlik doğrulaması için kullanılıyorsa (XML tabanlı bir kullanıcı dosyası gibi), web sitesindeki ayrıcalıklarını yükseltebilir.

Log Spoofing

Log Spoofing (Giriş Sahtekarlıkları) kullanıcının şifresini çalmak için kullanılan tekniklerdir. Kullanıcıya, genellikle kötü niyetli bir program olan ve genellikle saldırganın kontrolü altında bir Truva atı adı verilen kullanıcı adı ve şifre için sıradan görünümlü bir oturum açma istemi sunulur. Kullanıcı adı ve şifre girildiğinde bu bilgiler günlüğe kaydedilir veya bir şekilde saldırgana iletilerek güvenliği ihlal eder.