Web Temelleri ve Güvenliği-Bölüm 1:
Bu yazım, Http-Https, Proxy, Cookie, OWASP Top 10 gibi konuları içericek. Gelecek olan diğer web yazılarımda daha farklı konulara yer vereceğim.
HTTP (Hyper Text Transfer Protocol) Nedir ?
Http protokolü client ve server arasında olan kuralları ve iletişimi sağlayan protokoldür. Client, server a HTTP isteğinde bulunduğunda buna “request” denir. Server bu isteğe cevap verdiğinde “response” olur. İki cihaz arasında zengin metin aktarımı diyebiliriz. Zengin metin aktarımı derken; bu metinlerin içinde JPEG, PNG, JPG gibi görüntü ve ses dosyaları içerir. Bir web sayfasının temelini HTML kodları oluşturur. HTML’nin açılımı Hyper Text Markup Language’dir. Genel tabloya baktığımızda WEB’in 3 protokolü vardır, bunlar ise; HTTP — HTML — BROWSER.
HTTP protokolü OSI modelinde “Application Layer” da bulunur. HTTP ulaşım ve iletişim için “Transport Layer”’da olan TCP protokolünü kullanır. TCP protokolü veri kaybı olmadan iletişimi sağlayabilir. Paketlerde bir problem oluşursa tekrar yollar .
HTTP ve HTTPS
Günümüzde güvenilir şirketlerin hepsi HTTPS (Hyper Text Transfer Protocol Secure) kullanıyorlar. Https, http’ye göre çok daha güvenli bir protokoldür. Bunun nedeni ise https client-server bağlantısını şifreleyerek kurar. Http ise bu bağlantıyı çıplak bir şekilde sunar. Eğer ortada bir şifreleme yoksa 3. kişiler tarafından çok rahat bir şekilde ağ trafiği izlenebilir. Http bağlantı olarak 80 portunu kullanır Https ise 443 portunu kullanır. Http kulllanan bir web sitesine girdiğinizde browser’ınızın arama bölümünde uyarı verdiğini göreceksiniz.
HTTP Durum Kodları:
Bilgilendirici HTTP Durum Kodları (100–199)
Başarılı HTTP Durum Kodları (200–299)
Yönlendirme HTTP Durum Kodları (300–399)
Client Hata HTTP Durum Kodları (400–499)
Server Hata HTTP Durum Kodları (500–599)
Cookie Nedir ?
Cookieler http iletişimi sırasında, server client’a response çerez bilgisi verir. Client server’a cookie bilgisini gönderir ve böylece her o siteye girdiğinizde verdiğiniz bilgileri size sunar. Bir kere bu cookie bilgilerini verdiğinizde bir daha istemez. Aslında birçok cookie türü vardır;
*Web sitesine girdiğinizde parolalarınızı kaydeder ve her o siteye girdiğinizde direkt online olursunuz.
*Geçmişte aradığınız sonuçları kaydeden cookie’ler vardır.
*Bir online shopping mağazasında siteye girip çıktığınızda sepetinizde olan ürünleri kaydeder ve siz her girdiğinizde sepetiniz eklediklerinizle kalır.
*Bir cookie çeşitide, sizin arama davranışlarınızı kaydeder ve ona göre size reklamlar sunar.
Cookie’ler aslında baktığımızda hayatımızı kolaylaştırmak için oluşturulmuştur, fakat dezavantajları ve kötü yönde kullanımlarıda mevcuttur. Cookie bilgilerimizi vererek aslında birilerinin bizi izlemesine izin veriyoruz.
Proxy Nedir ?
Proxy vekil demektir. Sizin web sitesine yaptığınız bir request’e ilk bakan proxy olacaktır. Proxy isteği inceler sonra size kontrollü şekilde size siteyi sunar. Basit şekilde anlatmak gerekirse sizinle internet arasında bir nevi aracı rolünü üstlenir. Her proxy sunucusunun kendi IP adresi vardır, ve siz proxy sunucusunu kullandığınızda proxy IP’si ile etkileşimi başlatırsınız. Proxy sunucusu web sunucularından yanıt toplarken sizin IP adresiniz gizli kalacaktır.
En iyi proxy araçlarından biri ise “Burp Suite”tir. Client ve server arasında proxy olarak kullanılan bir araçtır. Ayrıntılı request ve response’ları bize gösterir.
OWASP Nedir ?
Owasp (Open Web Application Security Project) web üzerine makaleler, belgeler, metodojiler, araçlar ve teknolojiler üreten online topluluktur. Bu topluluğun ilk olarak 2003'te yayınlamaya başladığı OWASP Top 10 adlı araştırma çoğu şirket tarafından benimsenmiş durumda. Bu araştırma, şirketlerin karşı karşıya olduğu en kritik riskleri sıralar. Bu sıralamaya göre;
- Injection
- Broken Authentication
- Sensitive Data Exposure
- XML Eternal Entities (XXE)
- Broken Access Control
- Security Misconfiguration
- Cross-Site Scripting (XSS)
- Insecure Deseeialization
- Using Components with Known Vulnerabilities
- Insufficient Logging & Monitoring
