Günümüzde web siteleri, kurumların dijital dünyadaki en önemli yüzü haline gelmiştir. Ancak kullanıcı verilerinin artması, saldırganların da ilgisini çekmekte ve siber saldırılar her geçen gün çeşitlenmektedir. Web uygulamalarına yönelik saldırılar sadece teknik sorunlara değil, aynı zamanda ciddi veri ihlallerine, prestij kaybına ve maddi zararlara da yol açabilmektedir. Bu yazıda en çok karşılaşılan saldırı türlerinden XSS (Cross-Site Scripting) başta olmak üzere, diğer yaygın saldırı yöntemleri, amaçları ve alınabilecek önlemlerden bahsedeceğiz.

XSS (Cross-Site Scripting) Saldırıları

XSS, saldırganların kullanıcıların tarayıcılarında kötü niyetli JavaScript kodu çalıştırmasına olanak tanır. Örneğin, bir forum sitesinde yorum alanına zararlı kod eklenirse, o yorumu görüntüleyen her kullanıcının oturum bilgileri çalınabilir. Bu saldırıların amacı genellikle çerez bilgilerini ele geçirmek, kullanıcı oturumlarını kontrol etmek veya kötü niyetli yönlendirmeler yapmaktır.

Önlem olarak, tüm kullanıcı girdilerinin filtrelenmesi, HTML özel karakterlerinin encode edilmesi ve Content Security Policy (CSP) gibi tarayıcı tabanlı güvenlik önlemlerinin devreye alınması gerekir.

XSS saldırıları üç temel türde incelenir:

• Stored XSS (Depolanmış XSS): Zararlı kod veritabanına kaydedilir ve her kullanıcıya sunulur.

• Reflected XSS (Yansıtılmış XSS): Zararlı kod, URL veya parametreler üzerinden çalıştırılır.

• DOM-Based XSS: Doğrudan istemci tarafında, JavaScript manipülasyonu ile gerçekleşir.

Amaç genellikle oturum çalma, sahte giriş formları oluşturma, kullanıcıyı yönlendirme veya daha büyük bir siber saldırıya zemin hazırlamaktır.

SQL Injection  (SQL Enjeksiyonu)

SQL Injection, veritabanı sorgularının kullanıcı girişleri üzerinden manipüle edilmesiyle ortaya çıkar. Örneğin, giriş formuna ' OR '1'='1 yazıldığında, sistem yanlışlıkla saldırgana tüm kullanıcı verilerini açabilir. Bu saldırıların temel amacı kullanıcı verilerini çalmak ya da yetkisiz veri manipülasyonu yapmaktır.

Bunu önlemek için hazır (parametrik) sorguların kullanılması ve kullanıcıdan gelen girdilerin mutlaka doğrulanması gerekir.

CSRF (Cross-Site Request Forgery)

CSRF saldırılarında kullanıcı, farkında olmadan oturum açtığı bir site üzerinden yetkisiz işlemler yapmaya zorlanır. Örneğin, bir bankacılık sitesinde oturumu açık olan kullanıcıya zararlı bir link gönderildiğinde, o link kullanıcının bilgisi dışında para transferi başlatabilir.

Bunun önlenmesi için CSRF token mekanizması, SameSite cookie ayarları ve kullanıcıya ek işlem onayı getirilmesi gerekir.

DDoS (Distributed Denial of Service)

DDoS saldırılarında saldırganlar, çok sayıda istek göndererek sunucuyu hizmet veremez hale getirir. Amaç, sistemi geçici olarak çökertmek ve iş sürekliliğini sekteye uğratmaktır.

Bu saldırılara karşı yük dengeleme (load balancing), WAF (Web Application Firewall) ve rate limiting gibi yöntemler kullanılabilir.

Bilgi Hırsızlığının Amacı

Saldırganların temel hedefi maddi kazanç sağlamak, kullanıcı verilerini satmak, kurumsal itibarı zedelemek veya siyasi/ideolojik mesajlar vermektir. Örneğin, kredi kartı bilgilerinin çalınması doğrudan maddi zarara neden olurken, müşteri verilerinin sızdırılması şirketin marka güvenilirliğine darbe vurur. 

Bu bağlamda saldırganlar:

• Kullanıcıların kredi kartı bilgilerini çalabilir,

• Şirketlerin ticari sırlarına ulaşabilir,

• Kara borsada satmak üzere veritabanlarını kopyalayabilir,

• Politik ya da ideolojik amaçlarla saldırılar düzenleyebilir.

Bilgi, günümüzün en değerli kaynağıdır ve saldırganlar için adeta dijital altın niteliğindedir.

Brute Force ve Kimlik Avı (Phishing) Saldırıları

• Brute Force: Kullanıcı adlarını ve şifreleri deneme-yanılma ile ele geçirmeye dayanır.

• Phishing: Kullanıcıları sahte e-postalar veya web siteleri aracılığıyla kandırarak şifrelerini, kredi kartı bilgilerini veya kişisel verilerini ele geçirmeyi hedefler.

Amaç tamamen kullanıcı kimlik bilgilerini çalarak hesaplara sızmaktır.

Alınabilecek Önlemler

Web uygulamalarını güvence altına almak için güncel güvenlik önlemleri şarttır:

1. Girdi Doğrulama ve Temizleme: Kullanıcıdan gelen tüm veriler filtrelenmeli, özel karakterler temizlenmeli.

2. Prepared Statements Kullanımı: SQL Injection’a karşı parametreli sorgular tercih edilmeli.

3. Content Security Policy (CSP): XSS saldırılarına karşı tarayıcı seviyesinde güvenlik politikaları uygulanmalı.

4. CSRF Token: Form işlemlerinde benzersiz token’lar kullanılmalı.

5. Güçlü Şifreleme ve Hashleme: Kullanıcı şifreleri güçlü algoritmalar ile saklanmalı.

6. Güncel Yazılım ve Güvenlik Yaması: Framework, CMS ve eklentiler düzenli olarak güncellenmeli.

7. İki Faktörlü Kimlik Doğrulama (2FA): Kullanıcı girişlerinde ek güvenlik katmanı sağlanmalı.

8. WAF (Web Application Firewall): Trafiği filtreleyerek saldırıları en baştan engelleyebilir.

XSS ve diğer web saldırıları, her geçen gün daha da sofistike hale gelmektedir. Amaçları değişse de ortak noktaları bilgi hırsızlığıdır. Kurumların ve bireylerin bu saldırılara karşı bilinçli olması, güncel güvenlik önlemlerini alması ve sürekli testler yapması dijital dünyada güvenliği sağlamak için kritik öneme sahiptir.

Unutmayın: Siber güvenlik bir defalık değil, sürekli bir süreçtir. Heran tetikte ve hazır olmalısınız.