Güvenlik açığı ,deyince aklımıza ilk gelen  işletim sisteminde veya uygulama yazılımında bulunan bir kod veya işlem mantığı hatasıdır. Günümüzdeki işletim sistemleri ve uygulamalar çok karmaşık olduğu ve birçok işlev içerdiği için tedarikçilerin geliştirme ekiplerinin hiç hata içermeyen yazılım oluşturması mümkün değildir.Test ve manuel kod incelemeleri her zafiyeti bulamaz. Tek başına bırakıldığında, güvenlik açıkları yazılımınızın performansını ve güvenliğini etkileyebilir. Güvenilir olmayan aracıların ürünlerinizden ve verilerinizden yararlanmasına veya erişmesine bile izin verebilirler.

Bu nedenle en yaygın 10 güvenlik açığını bilmeniz gerekir.

1. Yetersiz Günlük Kaydı ve İzleme

Yetersiz kayıt ve izleme işlemleri tehlikelidir. Bu, verilerinizi kurcalamaya, çıkarmaya ve hatta yok edilmeye karşı savunmasız bırakır.

2. Enjeksiyon Kusurları

Enjeksiyon kusurları, güvenilmeyen veriler bir komutun veya sorgunun parçası olarak gönderildiğinde ortaya çıkar. Saldırı, hedeflenen sistemi istenmeyen komutları yürütmesi için kandırabilir. Saldırı, güvenilmez ajanların korunan verilere erişimini de sağlayabilir.

3. Hassas Verilerin İfşası

Adresler, şifreler ve hesap numaraları gibi hassas veriler uygun şekilde korunmalıdır. Değilse, güvenilmez aracılar erişim elde etmek için güvenlik açıklarından yararlanabilir.

4. Bilinen Güvenlik Açıklarına Sahip Bileşenleri Kullanma

Bileşenler, kitaplıklar, çerçeveler ve diğer yazılım modüllerinden oluşur. Genellikle bileşenler, uygulamanızla aynı ayrıcalıklarda çalışır. Bir bileşen savunmasızsa, güvenilmez bir aracı tarafından kötüye kullanılabilir. Bu ciddi veri kaybına veya sunucu devralmasına neden olur.

5. Siteler Arası Komut Dosyası (XSS) Kusurları

Güvenilir olmayan aracılar, hedeflenen sistemde kendi komut dosyalarını yürütmek için siteler arası komut dosyası oluşturma kusurlarından yararlanabilir. Genel olarak, siteler arası komut dosyası çalıştırma kusurları iki yoldan biriyle gerçekleşir:

  • Bir uygulama, uygun doğrulama olmadan yeni bir web sayfasında güvenilmeyen veriler içerdiğinde.
  • Mevcut bir web sayfası, HTML veya JavaScript oluşturabilen bir tarayıcı API'si kullanılarak kullanıcı tarafından sağlanan verilerle güncellendiğinde.

6. Bozuk Kimlik Doğrulama

Kimlik doğrulama ve oturum yönetimi uygulama işlevlerinin doğru şekilde uygulanması gerekir. Aksi takdirde, kişisel bilgilere erişmek için güvenilmez aracılar tarafından kötüye kullanılabilecek bir yazılım güvenlik açığı oluşturur.

7. Bozuk Erişim Kontrolü

Kullanıcı kısıtlamaları uygun şekilde uygulanmalıdır. Kırılırlarsa, bir yazılım güvenlik açığı oluşturabilir. Güvenilir olmayan aracılar bu güvenlik açığından yararlanabilir.

8. XML Harici Varlıklar (XXE)

XML, web hizmetlerinde, belgelerde ve görüntü dosyalarında kullanılan popüler bir veri formatıdır. XML verilerini anlamak için bir XML ayrıştırıcısına ihtiyacınız var. Ancak, kötü yapılandırılmışsa ve harici bir varlığa referans içeren XML girişi tehlikelidir. Güvenilir olmayan bir aracı, DoS'ye neden olabilir.

9. Yanlış Güvenlik Yapılandırması

Yanlış güvenlik yapılandırmaları genellikle şunların sonucudur:

  • Güvenli olmayan varsayılan yapılandırmalar.
  • Eksik veya hazırlıksız yapılandırmalar.
  • Bulut depolamayı açın.
  • Yanlış yapılandırılmış HTTP üstbilgileri.
  • Hassas bilgiler içeren küfürlü hata mesajları.

10. Güvensiz Serileştirme

Seriyi kaldırma kusurları genellikle uzaktan kod yürütülmesine neden olur. Bu, güvenilir olmayan ajanların yeniden oynatma, enjeksiyon ve ayrıcalık yükseltme saldırıları gerçekleştirmesine olanak tanır .