Yazılım Güvenliği Nedir?

Yazılımın, saldırı veya tehdit altındayken işlevlerini doğru bir şekilde yerine getirmeye devam edecek şekilde korunmasına denir. Yazılım güvenliği için gerek duyulan işlerin yapılabileceği en düşük yetkileri vermek gerekir. Örneğin db de sadece select yapacaksak o kullanıcı için delete, insert yetkileride vermeye gerek yoktur.

Güvenli Yazılım Nedir?

Olası saldırılara karşı önlemleri olan, saldırıyı önleyemese bile çalışma sürecini doğru bir şekilde devam ettirebilecek ve kötüye
kullanıldığı durumları fark edebilecek yazılım mimarisine ve tasarımına sahip yazılımdır.

Neler Yapmalı?

• Gerek Duyulan En Az Yetkiyi Ver
• Tüm Erişimleri Denetle
• En Zayıf Halkayı Tespit Et ve Güçlendir
• Saldırı Yüzey Alanını Azalt (Uygulamaya gereksiz özellikler eklenmemelidir.)

SQL İNJECTİON

SQL Injection, veri tabanına dayalı uygulamalara saldırmak için kullanılan bir atak tekniğidir; burada saldırgan SQL dili özelliklerinden faydalanarak standart uygulama ekranındaki ilgili alana yeni SQL ifadelerini ekler. Veritabanlarının bir açığı değildir. SQL Injection’ dan korunmak web geliştiricisinin görevidir. SQL’ için kritik metakarakter (‘) tek tırnak’ tır. Çünkü iki tek tırnağın arası string olarak algılanır. Diğer bir önemli meta-karakter ise (;) noktalı virgüldür, satırın bittiğini ve yeni satır başladığını bildirir.

kullanıcı ve şifre kısmına ‘or’  yazıp girişe butonuna basarsak db user tablosundaki ilk kullanıcı hangisi ise onun yetkisi ile login olunur.

tırnak, eşittir gibi işaretlere karşı filtreleme yapılmalı yazılımda.

SQL Injection Scanner tool’ları ile var mı yok mu bulabiliriz. Google ye SQL dork yazarak dork larda bulabiliriz. Karşımıza SQL syntex hatası gibi bişey çıkarsa SQL açığı bulduk denilebilir.