Internet saldırıları birçok yönden gelirken, güvenlik uzmanları da nereye bakacağına şaşırmış durumda. Güvenlik konusunda ortaya çıkabilecek handikapların temel kaynakları nelerdir, dediğimizde aşağıda gruplanmış olan şu açıklara dikkat etmenizde büyük yarar var, aşağıda gördüğünüz İngilizce tanımları tırnak içinde Google gibi bir arama motoru yardımıyla araştırdığınızda, güvenlik siteleri yoluyla, daha fazla bilgi bulabilirsiniz.
Çapraz-Site Programcıkları
(Cross-Site Scripting)
Web uygulamaları ve kullanıcıları arasındaki güven ilişkilerine yapılan saldırı. XSS, korsanların kullanıcı ve tarayıcılarına yanıltıcı bilgiler yollayarak, gizli veri elde etmelerinde kullanılan bir girişim olarak da söylenebilir.
Önbellek Taşması Saldırısı
(Buffer Overflow)
Bu yaygın giriş onayı saldırısı, aşırı veri kullanarak önbelliği taşırır. Eğer başarıyla uygulanırsa korsanlara uzaktan kabuk-kontrolü(shell) ve sistem ayrıcalıklarını kullanma imkanı sağlar.
Cgi-Bin Parametre Manipülasyonu Verilerin yasadışı olarak sunucu-tarafı programcıklarına yerleştirilmesini sağlayan giriş onayı saldırısı. Sorgu parametreleri tam olarak onaylanmamış CGI programcıklarına aktarıldığında, korsanlar dosyaları yerleştirmek için sistem ayrıcalıklarını izinsiz edinme, komutları yürütme ve diğer operasyonları yok etme şansına sahip olurlar.
Form\ Saklı Alan Manipülasyonu
Gizli alanlara, uygulayıcıyı yanıltmak için onaylanmamış veriler yerleştirerek ve kullanıcı oturumlarıyla oynayarak yapılan saldırı şekli.
Yetkisiz Dizin Erişimi
Yetkisiz ve bildirilmemiş URL’lere bağlanarak, web sağlayıcılarının merkez dizinlerine ya da diğer yasaklı bölgelere giriş elde etme girişimi.
Çerez/Oturum Tahrifi
(Cookie/Session Poisoning)
Bu saldırı tersine mühendislik teknikleri kullanıyor. Çerezlerle, kullanıcıların oturumları ele geçirmek ya da bir uygulamanın gerçek kullanıcısının yerine geçmek için kullanılıyor.
Komut Çalıştırma
(Command Injection)
Korsanlar, istedikleri komutları (sistem) program değişkenlerine sanki bir formun alanıymış gibi eklerler. Böylece, sunucu tarafında istedikleri komutları yürütebilirler.
SQL Enjeksiyonu
(SQL Injection)
Arkadaki veritabanlarına erişim için SQL komutlar web ara yüzünden yollanır. Eğer başarılı olunursa, korsanlar veritabanı üzerinde her türlü hasarı ve çalıntıyı gerçekleştirebilirler.
Hata Oluşturarak Bilgi Sızdırma
(Error-Triggering Sensitive Information Tasks)
Bu saldırı türünde korsanlar uygulamalara kusurlu bilgiler yollarlar. Yanlış bilgilerle beslenen uygulamalardan hassas bilgiler elde edilebiliyor.
Site Tahrifi
(Web Site Defacement)
Web sayfalarına yapılan bozma amaçlı saldırılar.
İlk Gün Saldırısı
(Zero-day Exploits)
Uygulamaya piyasaya sürülmeden önce, mevcut açıklar ve sorunlardan faydalanarak yapılan saldırılar. Bkz. Windows sürümleriJ
Arka Kapı ve Hata Seçenekleri
(Back Doors and Debug Options)
Uygulamaların arka kapılarını çökerterek ya da hata kodları göndererek yapılan saldırı şekli.
Kırık Bağlantı Kontrolü Listeleri/Zayıf Şifreler
(Broken Access Control Lists/Weak Passwords)
Normal kullanıcın ulaşmaması gereken bilgilere uygulamanın erişim kontrolünü hileyle erişilmesi yoluyla yapılan saldırı.
Güvenli Olmayan Şifreleme Kullanımı
(Insecure Use of Cryptography)
Uygulamalar, dijital imzalı çerezlerdeki zayıf şifreleme algoritmalarıyla çökertilir.
Hatalı Sunucu Ayarları
(Server Misconfiguration)
Korsanlar, web sunucular dahil hatalı sunucu ayarlarını kullanarak kullanıcı hesaplarını ve servislerini kullanılmaz hale getirirler. Böylece uygulamaya izinsiz erişim sağlayabilirler.
Bilinen Platform Gedikleri
(Well-known Platform Vulnerabilities) Web sunucusunun ya da işletim sisteminin zayıf yönlerinden yararlanarak uygulamalara izinsiz erişilir.
