Django Framework ve Güvenlik


Merhaba arkadaşlar bu yazımda Django Framework ve Güvenlik konusunu ele alacağız. Bildiğiniz üzre Django, python programlama dili ile yazılmış olan bir web uygulaması geliştirme çatısıdır. Biz geliştiricilere sağladığı esneklik, kolaylıklığı ve hızı eklediğimiz de bizim için önemli olan bir web uygulaması geliştirme çatısıdır. Geliştiriciler için tercih edilmesinin en büyük nedeni yapmış olduğumuz web uygulamalarını daha kısa sürede bitirmemizdir. Evet geliştiriciler için bu kadar kolaylıklar sağlayan Django, sizce ne kadar güvenli ? Hiç sorduk mu kedimize bu soruyu ? İsterseniz bu sorunun cevabına birlikte bakalım 🙂

MITM Saldırıları

Man in the Middle diye tabir ettiğimiz MITM saldırıların amacı sunucu ve kullanıcı arasındaki veri trafiğine girerekistediği bilgileri ele geçirmesindir. MITM saldırılarından korunmak için sitenizi HTTPS arkasında almak güzel bir çözüm olacaktır. Bu güvenlik önlemi olmadan olmadan, kötü niyetli ağ kullanıcılarının kimlik doğrulama bilgilerini veya istemci ile sunucu arasında aktarılan diğer bilgileri ele geçirme ve değiştirme olasılığı vardır. Django, bu tür saldırılara karşı önlem alınmışdır.

XSS Zafiyeti

Öncelikle isterseniz XSS zafiyetinin ne olduğuna deginelim. XSS zafiyeti kelime anlamı olarak Cross Site Scripting anlamını taşımaktadır. Anlamından da anlayabileceğiniz gibi web uygulaması üzerinde javascript komutları çalıştırmayı sağlamakdır. XSS çoğunlukla tarayıcıda saklanan bilgiler olan cookielere saldırı amacı ile kullanılmaktadır. Django’nun şablon motoru ekrana basılan değişkenleri otomatik olarak “escape” ediyor.  Adres satırından bir veri alıp şablon dosyanızda direkt olarak kullansanız bile XSS diye bir problem kalmıyor.

SQL Enjeksiyon Zafiyeti

Django ile web uygulaması geliştirirken SQL Enjeksiyon açığı var mı ? yok mu ? acaba hatamı yaptım kodlarken veritabanı güvenliğinde bir zafiyete sebep oldum mu demenize gerek yok. Veritabanı sürücüleri, veritabanı türüne göre otomatik olarak filtrelemeler ve escape işlemleri yapıyor. Django’nun veritabani sürücüsü yeterince güvenli bir şeklide kontrollerini yapmaktadır. Kendiniz elle sorgu yazmak zorunda değilsiniz tabikide karmaşık işler yapmadığınız sürece diyebilirim. El ile sorgular yazdığınızda SQL Enjeksiyon açığına karşı önlemleri geliştiricinin alması gerekiyor. Her şeyide Django’dan beklemeyin 🙂

CSRF Zafiyeti

CSRF, kelime anlamı olarak siteler arası istek sahteciliği anlamına gelir. Bir web uygulamasına giriş yapmış olan bir kullanıcının haberi olmadan web uygulamasında onun yetkilerine eş değer kritik işlemler yaptırılmasıdır. Bir CSRF saldırısıyla kullanıcı istekleri değiştirilebilir ve/veya bilgileri çalınabilir. Django, CSRF zafiyet saldırılarına karşı oldukça kullanışlı bir ara uygulama kullanıyor. Projenizin ayar dosyasında settings.py middleware kısmına django.contrib.csrf.middleware.CsrfMiddleware satırını eklediğimde otomatik olarak CSRF saldırılarına karşı koruma almış oluyorsunuz.

Django Framework ve Güvenlik Hakkındaki Sonucum

Django, web uygulama güvenliği açısından geliştiriciye güvenli web uygulaması geliştirmesi açısından kolaylık sağlamakta, fakat django framework’ün güvenlik çözümleri sistemin her yerinde etkin olamayacağından dolayı, iş geliştiriciye düşmektedir. Başta dediğim gibi her şeyi Django’dan beklemeyin 🙂 Her uygulama gibi Django’da da belirli aralıklarla güvenlik açıkları ortaya çıkıyor ve bu açıklar yayınlanıp kısa zamanda kapatılır. Nasıl python’da, php’de, javascript’te veya başka bir programlama dilinde  güvenlik açığı çıkıyor ve kısa süre içinde kapatılıyorsa bunu da benzer bir durum olarak görebiliriz. Bu noktada uygulama geliştiricisinin düzenli olarak Django projesini takip edip, yayınlanan güvenlik güncellemeleriyle web uygulamasını güncel tutmalıdır. Bunun dışında gelişirdiği web uygulamasına zafiyet tarama ve sızma testini düzenli olarak uzman kişilere yaptırmalıdır. Unutulmamalıdır ki hiç bir zaman %100 güvenlik yoktur. Önemli olan en güvenli hale getirmeye çalışmakdır.

Bir sonraki yazımda görüşmek dileği ile kendinize iyi bakın..

Django Framework ve Güvenlik

Giriş Yap

Hoşgeldin, sefa getirdin :)

Şifre Sıfırla

Şifreni bidaha unutma lütfen :)

Geri git :
Giriş Yap