Ana sayfa

Web Uygulamalarında 2007'nin Top 10 Güvenlik Açıkları

Tarih Mart 3rd, 2008 gonderen fuzbing

Cenzic güvenlik şirketi 2007'nin 4. çeyreği için web uygulamalarında en popüler 10 güvenlik açığını yayınladı. Rapora göre saldırıların %85'i web uygulamaları, %10'u web server ve %5'i web tarayıcılarına yönelik.

  • Open SSL taşırma açığı - SL_Get_Shared_Ciphers() fonksiyonundan kaynaklanan taşırma açığıyla uzaktan hedef sistem üzerinde kod çalıştırılabiliyor.
  • Java web baÅŸlangıç açığı - Özel hazırlanmış bir java applet ile yerel dosyalar üzerinde yazma ve okuma saÄŸlanabiliyor.
  • Adobe Acrobat URI açığı - İçeriÄŸinde zararlı bir baÄŸlantılar içeren bir PDF dosyasının yüklenmesiyle dışarıdan kod çalıştırılması mümkün oluyor.
  • IBM Lotus Notes hafıza taÅŸması - Özel hazırlanmış bir HTML e-postasının çalıştırılmasıyla TagAttributeListCopy() fonksiyonunda bir taÅŸma saÄŸlanıyorbu sayede dışarıdan kod çalıştırmak mümkün olabiliyor.
  • RealPlayer veri doÄŸrulama açığı - Özel olarak hazırlanmış bir sayfanın çalıştırılmasıyla ActiveX denetimi üzerinden, 'ierpplug.dll'de bir taÅŸma sorunu yaratıyor bu sayede dışarıdan kod çalıştırmak mümkün olabiliyor.
  • IBM WebShere Application Server veri doÄŸrulama açığı - Veri doÄŸrulama açığı ile zararlı kodlar hedef kullanıcının çerezlerini etkileyebiliyor. Bu sayede çerezlerin kullanıldığı yerler üzerinden veri hırsızlığı yapmak mümkün.
  • IBM WebShpere veri doÄŸrulama açığı - Veri doÄŸrulama açığı ile zararlı kodlar hedef kullanıcının çerezlerini etkileyebiliyor. Bu sayede çerezlerin kullanıldığı yerler üzerinden veri hırsızlığı yapmak mümkün.
  • PHP hafıza taÅŸmaları - ÇeÅŸitli fonksiyonlardaki hatalar yüzünden meydana gelen hafıza taÅŸmalarıyla hedef sistem üzerinde zararlı kod çalıştırmak mümkün.
  • Apache veri doÄŸrulama açığı - Veri doÄŸrulama açığı ile zararlı kodlar hedef kullanıcının çerezlerini etkileyebiliyor. Bu sayede çerezlerin kullanıldığı yerler üzerinden veri hırsızlığı yapmak mümkün.
  • Adobe Flash Player güvenlik açıkları - Cross-site scripting ve benzeri yöntemler ile hedef kullanıcı üzerinde zararlı kodlar çalıştırılabiliyor.

    • Referans: Cenzic