10 Önemli Güvenlik Açığı
BIND açiklari: nxt, qinv ve in.named aninda root yetkisiyle erisime izin veriyor.
Web sunuculara kurulmus zayif CGI programlari yada uygulama uzantilari (ör: Cold Fusion). Aninda root yetkisiyle erisime izin veren rpc.statd, rpc.cmsd (Calendar Manager) ve rpc.ttdbserverd (ToolTalk) gibi Remote Procedure Call (RPC) güvenlik açiklari. Microsoft Information Server (IIS) teki RDS güvenlik açigi. Root yetkisiyle erisime izin veren Sendmail tampon bellek tasmassi zayifliklari, pipe saldirilari ve MIMEbo. sadmind ve mountd. Global olarak dosya paylasimi yada düzgün sekilde yapilmayan bilgi paylasimi. (Netbios ile yada Windows NT 135-> 139 portlari ile (Windows 2000 de 445) veya port 2049 ile Unix export’lari ve port 80, 427, 548 deki Macintosh Web paylasimi/ AppleSahre/IP paylasimi) Sifresi olmayan yada zayif sifrelere sahip kullanici hesaplari (özellikle root/administrator). IMAP ve POP tampon bellek tasmasi güvenlik açiklari yada yanlis ayarlar. Varsayilan SNMP community string’lerinin public ve private olarak ayarlanmis olmasi. IT Personelinin yaptigi en büyük 10 Hata 1. Sistemleri güçlendirmeden (gereksiz servisleri kaldirip gerekli yamalari uygulamadan) Internet’e baglama. 2. Test sistemlerini varsayilan (default) kullanici hesap ve sifreleriyle Internet’e baglama. 3. Yeni güvenlik açiklari çiktiginda çikmis olan yamalari uygulamama. 4. PKI, firewall, router ve sistemleri telnet veya diger sifrelenmemis protokoller kullanarak yönetme. 5. Istegi yapanin kimligi tam olarak onaylanmamisken kullanici sifresini telefonda verme yada degistirme. 6. Yedekleri test etmeme yada hiç almama. 7. Gerekli olmayan servisleri çalistirma (Özellikle: ftpd, telnetd, finger, rpc, mail, rservices) 8. Tehlike arz edebilecek trafige izin veren kurallar bulunduran firewall’lar kurma. (giris ve çikis). 9. Anti-virüs çözümleri uygulamama yada güncellememe. 10.Kullanicilari potansiyel bir güvenlik problemiyle karsilastiklarinda ne yapacaklari konusunda egitmeme |
Powered by vBulletin®
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.