OWASP İlk 10 2021

2021 için İlk 10’da neler değişti?

Üç yeni kategori, adlandırma ve kapsam değişiklikleri içeren dört kategori ve 2021 için İlk 10’da bazı konsolidasyonlar var.

İlk 10 2017 ile yeni İlk 10 2021 arasındaki ilişkinin haritalandırılması

A01:2021-Bozuk Erişim Kontrolü beşinci konumdan yukarı hareket ediyor; Uygulamaların %94’ü bir tür bozuk erişim denetimi için test edildi. Kırık Erişim Kontrolü ile eşlenen 34 CWE, uygulamalarda diğer tüm kategorilerden daha fazla olaya sahipti.

Daha fazlasını oku
FTC, veri ihlallerinden etkilenen tüketicileri bilgilendirmek için sağlık uygulamalarını uyarıyor

Federal Ticaret Komisyonu (FTC) Çarşamba günü 3’e 2 oyla, sağlık veri ihlalleriyle ilgili on yıllık bir kuralın hassas sağlık bilgilerini işleyen uygulamalar için geçerli olduğunu ve bu şirketleri uymaları konusunda uyardığını söyledi.

FTC tarafından kabul edilen yeni politika beyanı, kurumun sağlık kayıtlarını ele alan satıcıların, verilere bir ihlal veya bireyin izni olmadan başka yollarla erişilmesi durumunda tüketicileri bilgilendirmesini gerektiren 2009 Sağlık İhlali Bildirim Kuralını netleştirmeyi amaçlıyordu.

Yeni politika, kuralın, son on yılda geliştirilen fitness veya adet döngülerini izleyenler gibi sağlık uygulamaları için geçerli olduğunu belirtiyor.

Daha fazlasını oku
Eylül 2021 Salı Microsoft Yaması – MSHTML’deki uzaktan kod yürütme kusurları, OMI düzeltildi

Bu ay 86 güvenlik açığı için yama aldık. Bunlardan 3’ü kritik, 1 güvenlik açığı (MSHTML Güvenlik Açığı) daha önce açıklandı ve Microsoft’a göre yapılıyor.

Beklendiği gibi Microsoft, MSHTML’yi etkileyen ve bir saldırganın etkilenen bir sistemde uzak kod yürütmesine izin verebilecek sıfır gün ( CVE-2021-40444 ) düzeltme ekini yayımladı . Danışma belgesine göre, bir saldırgan, tarayıcı oluşturma motorunu barındıran bir Microsoft Office belgesi tarafından kullanılmak üzere kötü amaçlı bir ActiveX denetimi oluşturabilir. Saldırganın daha sonra kullanıcıyı kötü amaçlı belgeyi açmaya ikna etmesi gerekir. Bu güvenlik açığının CVSS’si 8.80’dir (10 üzerinden).

Daha fazlasını oku
Minnesota Üniversitesi, Tıbbi Cihaz Siber Güvenlik Merkezi’ni Başlattı

2021 Bakken Tıbbi Cihazlar Merkezi Staj Programının genişletilmesi, iki bilim ve mühendislik öğrencisi ekibine tıbbi cihaz siber güvenlik dünyasını keşfetme ve Tıbbi Cihaz Siber Güvenlik Merkezi endüstri üyeleriyle etkileşim kurma fırsatı verdi. Haziran 2021’de fotoğraflanan bu öğrenciler, hastanelerin hasta refahını sağlamak için tıbbi cihaz kullanıcılarının kimliğini doğrulamasına yardımcı olacak verimli bir sistem geliştirmeye odaklandı.
Minnesota Üniversitesi, yeni Tıbbi Cihaz Siber Güvenlik Merkezini (CMDC) duyurmaktan gurur duyar. Merkez, tıbbi cihazların artan sayıda siber güvenlik tehdidine karşı hem güvenli hem de emniyetli olmasını sağlamak için üniversite-sanayi-hükümet işbirliklerini teşvik edecek.

Daha fazlasını oku
Apple, NSO iPhone Casus Yazılımını Dağıtmak İçin Kullanılan iOS Sıfır Gün Açığını Kapattı

Apple, iPhone’lara ve Mac’lere saldırmak için vahşi doğada istismar edildiği görülen iki sıfırıncı gün güvenlik açığını gidermek için güvenlik güncellemeleri yayınladı. Bir tanesinin iPhone’lara Pegasus casus yazılımı yüklemek için kullanıldığı biliniyor.

Güvenlik açıkları, CVE-2021-30860 ve CVE-2021-30858 olarak izlenir ve her ikisi de kötü amaçlarla hazırlanmış belgelerin güvenlik açığı bulunan cihazlarda açıldığında komut yürütmesine izin verir.

Daha fazlasını oku
ByLock Uygulaması, Gerçek Kullanıcıların Tespiti

Birinci bölümde, CGNAT konusunda açıklamalara yer verilmiştir. Bu açıklamalar, dünyanın her tarafında geçerli, hukuk sistemlerinden bağımsız, hukuken farklı şekilde yorumlanması mümkün olmayan ilgili RFC dokümanlarına ve akademik çalışmalara dayanan teknik gerçeklerdir.

İkinci bölümde, ülkemizde mahkemelerin talebi üzerine Bilgi ve İletişim Teknolojileri (BTK) tarafından sağlanan CGNAT Kayıtlarından bahsedilmiştir. İlgili RFC dokümanları ve iç mevzuattaki karşılıkları açıklanarak bir Hedef IP açısından gerçek abone tespitinde kullanılabilirliği açıklanmıştır.

Üçüncü bölümde, Litvanyada bulunan ve Milli İstihbarat Teşkilatı tarafından elde edilen ByLock Uygulaması Sunucu Veritabanı, ilgili resmi raporlar paralelinde incelenmiş ve veritabanının içerdiği kayıtlar itibariyle gerçek ByLock kullanıcılarının tespitinde kullanılabilirliği açıklanmıştır. Ayrıca bir kısım tutarsızlıklara değinilmiştir.

Dördüncü bölümde, ByLock Uygulaması veri tabanı kayıtları ile CGNAT kayıtları arasında gerçek kullanıcıların tespiti için kurulması gereken ilişki açıklanmıştır.

Bu rapor ByLock Uygulamasını kullanmanın suç olup olmadığını veya ByLock Uygulaması sunucu verilerinin hukuka uygun olarak elde edilip edilmediğini tartışmaz.

Bu rapor, ByLock Uygulaması kullanıcılarının gerçek kullanıcılarının nasıl tespit edilmesi gerektiğini teknik veriler ile açıklar.

Bu raporun herhangi bir sanık dosyasına sunulmasında sakınca yoktur, ancak yargılamanın bireyselliği gereği ve sanığın dava dosyasının bütünü açısından uygun olmaması durumunda yazarlar tarafından herhangi bir sorumluluk kabul edilmemektedir.

Raporu aşağıdaki bağlantıdan indirebilirsiniz:

https://drive.google.com/file/d/1C-4JXR5BTbN4155x7vOBil_GFNxnD7XU

Daha fazlasını oku
×