Güvenlik açığı analizi, sistemlerin, uygulamaların ve güvenlik kontrollerinin zayıflıklarını belirlemek için yapılan bir değerlendirmedir. Bu analiz, bir sistemin güvenliğini tehlikeye atabilecek zayıflıkları bulmayı amaçlar. İşte bu konuda bilmeniz gereken temel kavramlar ve kaynaklar:
Güvenlik Açığı Nedir?
Bir güvenlik açığı, bir sistemin tasarımında, uygulamasında veya işleyişinde var olan bir zayıflıktır ve bu zayıflık, sistemin güvenliğini tehlikeye atacak şekilde kullanılabilir. Güvenlik açıkları genellikle şunlardan kaynaklanır:
Yazılım veya Donanım Yapılandırma Hataları: Sistemlerin yanlış veya güvensiz yapılandırmaları, riske açık hale getirebilir.
Kötü Programlama Pratikleri: Kodlama hataları veya gözden kaçırmalar, güvenlik zayıflıkları yaratabilir.
Güvenlik Açıklarının Yaygın Nedenleri:
Yamanmamış Yazılımlar: Bilinen güvenlik açıklarına sahip eski yazılımlar.
Zayıf Kimlik Doğrulama Mekanizmaları: Kullanıcı kimliğini doğrulamak için yetersiz yöntemler.
Yanlış Girdi Doğrulama: Kullanıcı girdilerini doğru şekilde doğrulamama, SQL enjeksiyonu gibi açıklar yaratabilir.
Güvensiz Varsayılan Ayarlar: Güvensiz varsayılan ayarlarla gelen sistemler ve uygulamalar.
Güvenlik Açığı Veritabanları ve Puanlama Sistemleri
Common Weakness Enumeration (CWE)
Açıklama: CWE, yazılım zayıflıkları ve güvenlik açıklarının kategorilerini içeren bir liste sağlar. Bu liste, yazılım sistemlerinde türleri anlamak ve sınıflandırmak için kullanılır.
Amaç: Zayıflıklar ve güvenlik açıkları için ortak bir terminoloji ve sınıflandırma sistemi sunmak.
Web Sitesi: https://cwe.mitre.org/
Common Vulnerabilities and Exposures (CVE)
Açıklama: CVE, bilinen güvenlik açıkları ve maruz kalmalar için ortak adlar içeren bir kamu sözlüğüdür. Her CVE kaydı, benzersiz bir kimlik numarasına sahiptir.
Amaç: Kamuya açık güvenlik açıkları ve maruz kalmalar için referans yöntemi sağlamak.
Web Sitesi: https://cve.org/
National Vulnerability Database (NVD)
Açıklama: NVD, ABD hükümetinin standartlara dayalı güvenlik açığı yönetimi verilerinin saklandığı bir veritabanıdır. CVE kimlikleri ve ek meta veriler sunar, bunlar arasında etki puanları da bulunur.
Amaç: Güvenlik açıklarını kapsamlı bir şekilde sunmak, CVSS puanları ve etki bilgilerini içermek.
Web Sitesi: https://nvd.nist.gov/
Common Vulnerability Scoring System (CVSS)
Açıklama: CVSS, bir güvenlik açığının ciddiyetini nicel bir puan ile değerlendirir. Güvenlik açıklarının önceliklendirilmesine yardımcı olur.
Amaç: Güvenlik açıklarının ciddiyetini değerlendirmek için standart bir çerçeve sağlamak.
Web Sitesi: https://www.first.org/cvss/
Elinize sağlık hocam.