WEB UYGULAMASI GÜVENLİK DUVARI
WAF, son kullanıcılarla web sunucuları arasındaki web siteleri ya da web uygulamaları arasındaki veri akış paketlerini gözlemleyen, engelleyen, filtreleyen bir güvenlik duvarı olarak tanımlanabilir. WAF web uygulamalarını olası tehdit ve saldırılara karşı korumayı amaçlamaktadır. Son kullanıcıyla sunucular arasındaki iletişimi kontrol altında tutarak belirlenen kurallara göre düzeltme, filtreleme, engelleme uygulamaktadır. Ağ tabanlı, ana PC tabanlı ya da bulut tabanlı olabilir. Genel olarak ters Proxy aracılığıyla dağıtılabilir. Bir ya da daha çok internet sitesi ve web uygulamalarının önüne yerleştirilir.
WAF kurumlar tarafından internet sistemlerinin ilk gün saldırılarına, kötü niyetli yazılım çalıştırma, çevrimiçi kimlik hırsızlığı ve diğer tüm tehdit ve güvenlik zafiyetlerine karşı koruma sağlayan popüler bir güvenlik kontrolüdür. Özelleştirilen denetim ve gözlemlerle, geleneksel ağ güvenlik duvarlarının ve diğer tüm saldırı tespit sistemlerinin ve izinsiz giriş engelleme sistemlerinin yapamadığı en tehlikeli web uygulama güvenlik zafiyetlerinden bazılarını tespit eder ve anlık olarak engelleme niteliğine sahiptir. WAF daha çok bankacılık, e-ticaret, çevrimiçi bankacılık gibi sektörlerde kullanılır. Kısa bir şekilde anlatmak gerekirse internet üzerinden hizmet ve ürün sağlayan kurumlar için oldukça yararlı ve kullanımı güvenlik standartları tarafından tavsiye edilmektedir.
Web Güvenliği, Web Uygulama Güvenliği
Web güvenliği ve web uygulama güvenliği E-ticaret, bankacılık gibi internet kullanıcılarının önemli bilgilerini kayıt altına alan web uygulamalarının güvenlik testlerinin tamamlanması firmaların iç ve dış kaynaklarının korunması adına büyük önem arz etmektedir. Kurumların internet uygulamalarında olan zafiyet ve açıklar, korsanların iç ağlara erişmesi için ortam hazırlamaktadır. İnternet sunucu uygulamalarının karmaşık bir yapıda olması ve veritabanı uygulamalarının kod enjeksiyon tehditlerine potansiyel bir şekilde açık olması dışında güvenlik göz önünde tutularak yazılmamış kodlar kurumların birtakım saldırılara maruz kalmasına sebep olabilir.
Kullanıcılardan girdi alıp ve arka planda kod çalıştıran veritabanıyla iletişim kuran uygulamalar web tehditlerini basit bir hale getirmektedir. Birçok çeşide sahip konfigürasyon ve servislere sahip olmaları, ayrıca kullanıcı izinlerinin alternatiflere sahip olması internet uygulamalarının atak vektörünü zengin bir hale getirmektedir. Web güvenliği açıklarının oluşmasında ağ katmanından daha çok uygulama katmanında ve http protokolündeki bileşenler etki göstermektedir.
Web Uygulama Güvenliği Bileşenleri
-
Kullanıcı girdi kontrolü
-
Output Encoding (HTML çıktı kodlama)
-
Veritabanı güvenliği
-
Veri hareketi kontrolleri
-
Şifre güvenliği
-
Güvenli kimlik doğrulama
-
Kullanıcı oturumlarının yönetilmesi
-
Yetkilendirme
Web Uygulama Saldırı Teknikleri
-
Gizli Alan Manipülasyonu
-
Çerez Zehirlemesi
-
Parametre Manipülasyonu
-
Arabellek Taşması
-
Siteler Arası Betik Çalıştırma (XSS)
-
Arkakapı ve debug seçenekleri
-
Gizli Komut Çalıştırma
-
Zorlanmış tarama saldırıları
-
Üçüncü parti yanlış yapılandırması
-
TETRA Bilişim olarak biz WAF, web güvenliği ve web uygulama güvenliği hizmetlerini profesyonel bir şekilde sürdürmekteyiz.