Web Uygulama Saldırıları: SQL Injection, XSS ve CSRF ile Korunma Stratejileri

Giriş

Web uygulamaları, modern dijital dünyanın temel taşlarını oluşturur. E-ticaret sitelerinden sosyal medya platformlarına, bankacılık hizmetlerinden sağlık uygulamalarına kadar birçok farklı alanda web uygulamaları hayatımızı kolaylaştırmakta ve iş süreçlerini dijitalleştirmektedir. Ancak, web uygulamaları ne kadar faydalı olursa olsun, siber güvenlik tehditlerine karşı da oldukça savunmasızdır. Web uygulamalarına yönelik saldırılar, çoğu zaman kullanıcının verilerini çalmak, uygulamanın işleyişini bozmak veya sistemde zararlı yazılımlar yaymak amacını taşır.

SQL Injection (SQLi), Cross-Site Scripting (XSS) ve Cross-Site Request Forgery (CSRF) gibi siber saldırı türleri, web uygulamalarında sıklıkla karşılaşılan tehditlerden bazılarıdır. Bu makalede, bu üç saldırı türü detaylı olarak ele alınacak ve her birine karşı alınabilecek korunma stratejileri tartışılacaktır.

1. SQL Injection (SQLi)

SQL Injection Nedir?

SQL Injection (SQLi), saldırganın web uygulamasına kötü amaçlı SQL sorguları göndererek, veritabanı üzerinde yetkisiz işlem yapmasına olanak sağlayan bir saldırı türüdür. SQLi, genellikle web uygulamalarının kullanıcıdan alınan verileri doğrudan SQL sorgularına entegre etmesi sonucu ortaya çıkar. Eğer bu veriler doğru bir şekilde doğrulanmaz veya temizlenmezse, saldırganlar SQL komutlarını uygulamaya enjekte edebilirler.

Örneğin, bir giriş formunda kullanıcı adı ve şifre alanları varsa, bu bilgiler doğru şekilde doğrulanmazsa, aşağıdaki gibi bir SQL sorgusu oluşturulabilir:

SELECT * FROM users WHERE username = 'admin' AND password = ' OR 1=1; --';

Bu sorgu, doğru şifreyi girip girmediğinden bağımsız olarak, veritabanındaki tüm kullanıcı bilgilerini döndürebilir ve saldırganın sisteme erişim sağlamasına olanak tanıyabilir.

SQL Injection Saldırılarına Karşı Korunma Stratejileri

1. Parametreli Sorgular Kullanmak (Prepared Statements):
   • SQL sorgularının parametreli hale getirilmesi, kullanıcı tarafından sağlanan verilerin doğrudan SQL sorgularına entegre edilmesini engeller. Örneğin, PHP ve MySQL kullanıyorsanız, mysqli veya PDO kullanarak parametreli sorgular yazmak, SQLi saldırılarını engeller.

   $stmt = $pdo->prepare("SELECT * FROM users WHERE username = :username AND password = :password");
   $stmt->execute(['username' => $username, 'password' => $password]);
   

2. Veri Doğrulama ve Filtreleme:
   • Kullanıcı tarafından girilen verilerin doğruluğunu kontrol etmek, SQLi saldırılarının önlenmesine yardımcı olur. Veriler sadece beklenen formatta olmalı ve özel karakterler filtrelenmelidir. Örneğin, e-posta adresleri için yalnızca alfanümerik karakterler, nokta ve @ simgesi kabul edilmelidir.
3. Veritabanı Yetkilendirmesi:
   • Veritabanına bağlantı sağlarken, yalnızca gerekli izinlere sahip hesapların kullanılması gerekir. Bu, saldırganların SQLi saldırıları sonucu önemli verilere erişmesini engeller.

2. Cross-Site Scripting (XSS)

XSS Nedir?

Cross-Site Scripting (XSS), saldırganın kötü amaçlı JavaScript kodlarını bir web uygulamasının sayfalarına yerleştirmesine ve bu kodların ziyaretçiler tarafından çalıştırılmasına olanak veren bir saldırı türüdür. Bu saldırı genellikle, kullanıcıdan alınan verilerin doğru şekilde filtrelenmeden web sayfasına yansıtılması durumunda meydana gelir.

XSS saldırıları, özellikle kullanıcıların girdiği verilerin web sayfasında dinamik olarak görüntülendiği durumlarda yaygındır. Bu tür saldırılarla, saldırganlar kullanıcı oturumlarını çalabilir, zararlı yazılımlar yükleyebilir veya kullanıcının verilerini ele geçirebilir.

XSS Saldırılarına Karşı Korunma Stratejileri

1. Veri Doğrulama ve Filtreleme:
   • Kullanıcıdan alınan tüm veriler, sayfada görüntülenmeden önce dikkatlice filtrelenmelidir. Özellikle, <script>, <img>, <iframe> gibi HTML etiketleri ve JavaScript kodları yasaklanmalı veya özel karakterlere dönüştürülmelidir.

   // PHP örneği: HTML karakterlerini kodlamak
   $safe_output = htmlspecialchars($user_input, ENT_QUOTES, 'UTF-8');
   

2. Content Security Policy (CSP):
   • CSP, web uygulamanızın yalnızca belirli kaynaklardan gelen içerikleri yüklemesine izin verir. Bu, zararlı dış kaynaklardan yüklenen JavaScript kodlarının çalışmasını engeller.
3. HTTPOnly ve Secure Bayrakları:
   • Çerezler (cookies), yalnızca güvenli bir bağlantı üzerinden (HTTPS) gönderilmeli ve HTTPOnly bayrağı kullanılarak yalnızca sunucu tarafından erişilebilir olmalıdır. Bu, saldırganların çerezlere JavaScript ile erişmesini engeller.
4. JavaScript ve CSS için Güvenli Kodlama Yöntemleri:
   • JavaScript ve CSS kodları yazarken, kullanıcı tarafından sağlanan verileri doğrudan bu kodlara eklemekten kaçınılmalıdır. Bunun yerine, veriler güvenli bir şekilde işlenmeli ve yalnızca doğrulandıktan sonra kullanıcılara sunulmalıdır.

3. Cross-Site Request Forgery (CSRF)

CSRF Nedir?

Cross-Site Request Forgery (CSRF), saldırganın bir kullanıcının kimliğini taklit ederek, kullanıcı adına istenmeyen işlemler yapmasına olanak tanır. CSRF saldırıları, kullanıcının tarayıcısında aktif bir oturum olduğu ve web uygulamasının güvenlik açıkları olduğu durumlarda etkili olur.

Örneğin, bir kullanıcı bankacılık sitesinde oturum açtığında ve aynı anda saldırganın hazırladığı bir CSRF saldırısına maruz kaldığında, saldırgan bankaya para transferi yapacak bir istek gönderebilir.

CSRF Saldırılarına Karşı Korunma Stratejileri

1. CSRF Tokenları Kullanmak:
   • CSRF saldırılarına karşı en etkili korunma yöntemi, her formda benzersiz bir CSRF token’ı kullanmaktır. Bu token, kullanıcıya özgüdür ve her form gönderildiğinde doğrulama yapılır. Eğer gönderilen token ile sunucuda saklanan token uyuşmazsa, işlem reddedilir.

   // PHP örneği: CSRF token oluşturma
   $token = bin2hex(random_bytes(32));
   $_SESSION['csrf_token'] = $token;
   

2. SameSite Çerez Bayrağını Kullanmak:
   • SameSite çerez bayrağı, çerezlerin yalnızca aynı site üzerinden gönderilmesini sağlar. Bu, CSRF saldırılarının önlenmesine yardımcı olur.

   setcookie("session", $session_value, [
       "samesite" => "Strict",  // SameSite çerez bayrağını kullanmak
   ]);
   

3. Referer ve Origin Başlıklarını Kontrol Etmek:
   • Web uygulamanızda gelen isteklerde Referer ve Origin başlıklarını kontrol ederek, isteğin gerçekten güvenilir bir kaynaktan gelip gelmediğini doğrulayabilirsiniz. Eğer bu başlıklar doğru değilse, isteği reddedebilirsiniz.
4. GET İsteklerinde Değişiklik Yapmaktan Kaçınmak:
   • Önemli işlemleri (örneğin para transferi, şifre değişikliği vb.) GET isteği ile değil, POST isteği ile yapmak gereklidir. GET istekleri, tarayıcılar tarafından kolayca tetiklenebilir ve bu da CSRF saldırılarının önünü açar.

Sonuç

Web uygulamaları, kullanıcı bilgilerini ve kritik verileri işledikleri için güvenliklerinin sağlam olması büyük önem taşır. SQL Injection, XSS ve CSRF gibi saldırılar, bu güvenlik zafiyetlerinden faydalanarak ciddi hasarlara yol açabilir. Ancak, doğru güvenlik önlemleri ve uygulama güvenlik testleri ile bu saldırılar etkili bir şekilde engellenebilir.

Geliştiriciler, uygulamalarında parametreli sorgular, veri doğrulama, CSP gibi güvenlik mekanizmalarını etkin bir şekilde kullanarak, web uygulamalarını bu tür tehditlere karşı koruyabilir. Ayrıca, sürekli güvenlik testleri yapmak ve güncel güvenlik açıklarına karşı savunmaları güçlendirmek, web uygulamaları için hayati önem taşır.