Download: http://www.webguvenligi.org/docs/web_uygulama_guvenligi_kontrol_listesi_2010.pdf

OWASP-Türkiye olarak uzun süredir aramızda tartıştığımız ve çevremizden gelen talepler sonucu, güvenlik kontrol listelerinin yapılış bakış açısıyla bir kontrol listesi de web uygulama güvenliği alanında çıkarmaya karar verdik.

Web uygulama güvenliği kontrol listesi 2010, OWASP-Türkiye ve Web Güvenliği Topluluğu tarafından güvenli web uygulamalarında aktif olması gereken denetim adımlarını içeren bir dokümantasyon projesidir. Bu proje her yıl yenilerek aktif yaşamına devam edecektir. Web uygulama güvenliği konusunda çalışan ve ilgi duyan arkadaşların tecrübeleriyle hazırlanmış olan bu döküman, uygulama geliştiricilerden, yöneticilere kadar web uygulama güvenliğinde nelere dikkat edilmesi ve nelerin kontrol edilmesi gerekliliği hakkında özet bilgi içerecektir.

Proje çalışmasını detaylandıracak olursak. Projedeki her kontrole dört nitelik atanmıştır. Bunlar; kategoriler, sorumlular, etkiler ve seviye olarak adlandırılmıştır.

Kategoriler yardımıyla ilgili söz konusu zafiyetler sınıflandırılmış olmaktadır.

Sorumlular yardımıyla ilgili zafiyetin hangi birim veya kişiler tarafından ele alınması gerektiği konusuna açıklık getirilmeye çalışılmıştır.

Etkiler yardımıyla, ilgili zafiyetin ne tür bir etkisi olduğu blirtilmiştir.

Seviye yardımıyla zafiyetlere kritiklik değeri atanmış olup, listede bu kritiklik seviyesine göre sıralandırılmıştır.

Web uygulama güvenliği kontrol listesi 2010`un hazırlanış aşamasında katkıda bulunanlar;

Bedirhan Urgun [bedirhan.urgun(AT)gmail.com]
Bünyamin Demir [bunyamindemir(AT)gmail.com]
Onur Yılmaz [contact(AT)onuryilmaz.info]
Kubilay Onur Güngör [ko.gungor(AT)gmail.com]
A.Kadir Altan [kadiraltan(AT)hotmail.com]
Volkan Altan [volkanaltan(AT)gmail.com]
Muharrem Aydın [thsunamy(AT)gmail.com]
Canberk Bolat [canberk.bolat(AT)gmail.com]

Işık Üniversitesi Bilişim Günleri ilk kez gerçekleştirilen bir aktivite olarak göze çarptı. İlk kez gerçekleştirilen bir organizasyon olmasına rağmen bence oldukça yol alınmış, gerek iç kaynakların kullanımı gerekse dışarıdan gelen katılımcılar oldukça değerli sunumlar gerçekleştirdiler.

8 Mart 2010 Pazartesi günü yaptığım sunuma katılım 45 kişi civarındaydı. Oldukça ilgili bir izleyici kitlesi vardı ve sunum yaklaşık 2 saat 10 dakika civarında sürdü. Benden sonra sunuma girecek olan NETRON ekibine birazcık haksızlık etmiş oldum 10 dakikalarını çalarak. Bunun için de buradan özür dilerim kendilerinden tekrardan.

10 Mart 2010 Çarşamba günü ise Bahçeşehir Üniversitesi Yazılım ve Bilişim Kulübü davetlisi olarak Bahçeşehir Üniversitesi’ndeydim. Trafikten korktuğum için biraz erken gittim ama karşılaştığım güvenlik bana ODTU Güvenlik Sıkıntısı üzerine yazdığım yazıyı hatırlattı tebessüm ettim. Giriş sorunu çözüldükten sonra okulu gezdik ve gerçekten Bahçeşehir Üniversitesinin iyi bir iş çıkardığını düşüüyorum. Özellikle laboratuvar ve çalışma ortamları oldukça başarılı. Bundan daha sevindirici olan şey ise, bu labotuvarların ve yatırımların gerçekten de kullanılıyor oluşu öğrenciler tarafından.

Bahçeşehir Üniversitesi sunumunda gerçekten harika bir ortam vardı. Bu ortam çok yorgun olmama rağmen beni daha da canlandırdı ve daha şevkle konuşmama neden oldu. Bize ayrılan salon sanıyorum tamamen doluydu. Yine gerçekten çok ilgili ve algıları açık bir izleyici grubu vardı. Çok iyi ilişkiler kurduğumuzu ve ortak bir frekans tutturduğumuzu düşünüyorum. Yeni insanlar tanıdım ve arkadaşlıklar kurdum.

Bu sunum hayatımda vermiş olduğum en uzun süreli sunum oldu. 18.30 da başladığım konuşma bittiğinde saat 21.30 civarlarıydı. Ne kadar yorulduğumu eve gidip yatağıma uzandığımda anladım. Fakat gerçekten faydalı ve eğlenceli bir seminer olduğunu düşünüyorum. Sürenin uzun olması bazı arkadaşlarımızı sıktı mı bilmiyorum henüz o yönde bir feedback almadım.

İki üniversitede verdiğim seminerin yol haritası şu şekilde gerçeklendi;

• Başımdan geçen mistik bir hikaye
• Dijital Investigation ile Suikast planları düşündük
• Basit bir demo olarak marka model sızması ve bu sızmaları nasıl kullanılabileceğini gördük
• OWASP ve webguvenliği.org u duyduk gördük bildik ve ilgilendik
• Sonrasında siber dünya kavramını tanımladık
• Oluşturduğumuz yeni dünya düzeninde güvenlik kavramına hibrid teorilerle yaklaştık
• Bilişim Güvenliği kavramından, psikolojiye, sosyolojiden felsefeye, ve hatta hukuka kadar pek çok alanda fikir paylaşımında bulunduk
• Terör, siber terör ve siber savaş kavramlarına daha yakından baktık.
• Teröre fonksiyonel bakış açısıyla yeniden baktık ve daha yakından anlamaya çalıştık
• Siber svaş örneklerinden, botnetlerden
• Uygulama güvenliğinin öneminden, servis aksatma saldırıları ve buffer overflow zafiyetlerinin önemini vurguladık
• Geniş hattlı interdisipliner bir güvenlik konsepti oluşturduk
• Bu geniş çerçeve içerisinde geleceğe nasıl hazırlanabiliriz ? sorusuna hep beraber yanıt aramaya çalıştık

Işık Üniversitesi seminerinde başta Güngör Koçak ve tüm çalışan ekibine, Bahçeşehir Üniversitesi seminerinde başta Ali Şükrü Göksu olmak üzere emeği geçen herkese çok teşekkür ederim.