6. GÜNCEL TEHDİTLER VE BULGULAR
(RECENT THREATS AND FINDINGS
)
Daha önceki bölümlerde de açıklandığı gibi
günümüzde kurum ve kuruluşlar bilgilerini elektronik
ortamlara açtıkça, elektronik ortamlarda yapılan iş ve
işlemler artmakta karşılaşılan güncel tehdit ve
tehlikelerde de doğal olarak artışlar gözlenmektedir.
Zafiyet ve zayıflık açısından değerlendirildiğinde
korunmasızlık seviyesinin yüksek olması nedeniyle
güncel gelişmelerin en fazla yaşandığı alan web
uygulamalarıdır. Günümüzde web uygulamaları,
güncel bilgiye kurum, kuruluş veya bireylerin kolayca
erişebilmesi için en kolay ve en etkin yöntem olarak
karşımıza çıkmaktadır. Web üzerinden verilen
hizmetler çoğaldıkça web’e yönelik saldırılar da her
geçen gün artmaktadır. Bunun nedeni, web
uygulamaları güvenliğinin ilgisizlikten ve
bilgisizlikten kaynaklanan sebeplerden ötürü
yeterince ciddiye alınmaması ve güvenli yazılım
geliştirme tekniklerinin kullanılmaması olarak
açıklanabilir.
Günümüzde web uygulama güvenliğiyle ilgili birçok
çalışma yapılmaktadır. Bu çalışmalardan birisi olan,
Mark Curphey tarafından 2001 yılında kurulan, kâr
amacı güdmeyen ve herkese açık bir ortam olan
OWASP (The Open Web Application Security
Project) web uygulama güvenliğinin artırılmasına
yönelik ücretsiz araçlar, standartlar, web uygulamaları
güvenliğiyle ilgili forumların yapılması, makalelerin
yazılması konusunda çalışmaktadır [31]. Diğer bir
çalışma ise 2004 yılında Jeremiah Grossman ve
Robert Auger tarafından kurulan ve web uygulamaları
güvenliğiyle ilgili açık standartların geliştirilmesi,
yaygınlaştırılması ve kullanımı gibi konularda çalışan
Web Uygulamaları Güvenlik Konsorsiyumudur (The
Web Application Security Consortium-WASC) [32].
Web uygulama güvenliği konusunda dünyada kabul
görmüş OWASP ve WASC tarafından belirlenen, web
uygulamalarında en fazla rastlanan saldırılar bu
bölümde anlatılacak olan güncel tehditler ve
gelişmelere esas teşkil etmiştir.
Dostları ilə paylaş: |