- Web uygulamasında kullanıcının veri girişine izin verilen alanlarda filtreleme yaparak bu açıkları kapatabilirsiniz. Veri girişinin filtrelenmesi kadar veri çıkışının da incelenmesi web uygulamalarının güvenliğini arttıracaktır.Aşağıda belirtilen meta-karakterlerin filtrelenmesi web uygulamaların XSS saldırılarına karşı güvenliğini sağlayacaktır:
['],[<],[>],[;],[/],[?],[=],[&],[#],[%],[{],[}],[|],[@],[\],["]
Bu karakterler genelde arayüz tasarım (html-jquery) dillerini kodlamak için kullanılır.Sitenizde arama kısmı gibi veri giriş kısmı varsa bu karakterler ile HTML kodu kullanılıp sunucudan cevap alınmaya çalışılır bu nedenle filtrelenmesi sağlıklı olacaktır.
- Çerezlerin güvenli hale getirilmesi web uygulamalarının güvenliğini arttırmak adına yapılabilecek en önemli işlemlerdendir. Çerezler içinde kullanıcı adı, şifre ve oturum durumunun saklanmasından kaçınılmalıdır. Eğer tutulması gerekiyorsa şifreli olarak tutulması tercih edilmelidir.
- Donanımsal/Yazılımsal Web Application Firewall (WAF) ile web uygulamasında varolan bir zafiyetin saldırgan tarafından keşfedilme aşamasını zorlaştırıp, loglayıp, bloklayabilirsiniz.
- Belirli periyotlarda içeriden ve dışarıdan web uygulama güvenlik testleri (penetrasyon testi) yaptırarak güvenlik açıklarının keşfi ve önlem alınması sisteminizi daha güvenli kılacaktır.
0 yorum:
Yorum Gönder