Oturum Yönetim Doğrulama Gereksinimleri

Arkadaşlar merhaba, bu konuda sizlere Web Uygulama geliştiricilerin web sitelerini tasarlarken, oturum yönetimiyle ilgili kısımlarda dikkat etmesi gereken konulardan bahsedicem. Geliştiricilerin dikkat etmesi gereken her noktaya, sızma testi uzmanlarınında dikkat etmesi gerekir. Yani web uygulamasının kullanıcı girişlerinin yapıldığı alana yönelik çalışma yapan herkes aşağıdaki kontrol listesini dikkate alarak, değerlendirme yapmalıdır.

Aşagıdaki kontrol listesine tam anlamıyla uyulduğu takdirde, bugün için güvenlik açığı barındırmadığını düşünülebilir. Bunun tam tersi durumda, güvenlik açık riski oluşmaya başlayacaktır.

URL parametrelerinde veya hata mesajlarında oturum anahtarının görüntülenmemesi gerekir, çünkü oturum anahtarları kullanıcı bilgileriyle eşdeğer öneme sahip kabul edilebilir. Sadece oturum anahtarı kullanılarak ilgili kullanıcının hesabına girilebilir.

Kullanıcı adı ve parola ile sisteme her girildiğinde oturum anahtarının değiştiğinden emin olunmalıdır, çünkü parola ile eş değer olan bu bilginin bir kez ele geçirilmesi durumunda ilgili kullanıcının hesabına her zaman girilebileceği anlamına gelir.

Oluşturulan oturum anahtarının her girişte benzersiz şekilde değiştiğinden emin olunmalıdır, benzer bir düzene sahip şekilde değişim olursa, tahmin edilmesi ve kırılması kolay olacaktır.

Web siteye girilirken en güncel browserden girilmesi sağlanmalıdır, çünkü güvenlik açığı barındıran browser üzerinden siteye girilmesi ilgili kullanıcının hesabını tehlikeye atabilir.

Oturum sonlandırma ve zaman aşımı sonrasında oturum anahtarının geçersiz kılındığından emin olunmalıdır, çünkü ilgili kullanıcı sistemden ayrılmıştır ve tekrar girdiğinde farklı bi oturum anahtarı oluşturulacaktır. Eski oturuma anahtarlarının geçerli olmadığın emin olunmalıdır.

Oturum anahtarlarında “Secure” özelliği kullanılırsa, sadece https protokolunde cookie gönderme yapılır, http de cookie gönderilmez

Oturum anahtarlarında “HttpOnly” özelliği kullanılırsa JavaScript ile cookie bilgilerine erişilemez. Yani XSS ile cookie alınamaz.

Oturum anahtarlarında “SameSite” özelliği kullanılırsa CSRF güvenlik açığına karşı tedbir alınmış olur.

Oturum anahtarlarında _Host- ön eki kullanılarak çerez gizliliği sağlanmalıdır. _Host- ön eki Secure özelliğinin ve Path özelliğinin olduğunu doğrular.

 

0 0 votes
Eğitimi Derecelendir
0 Yorum
Inline Feedbacks
View all comments
0
Lütfen bu eğitimle ilgili yorumunuzu bırakınx
()
x