Özelleştirilmemiş Hata Sayfası

OWASP’a göre Improper Error Handling olarak değerlendirilen, dilimizde ise Özelleştirilmemiş Hata Sayfası olarak isimlendirilen bu zafiyetin detayları aşağıda yer almaktadır.

 

Hata Sayfası Nedir?

Web uygulamaları, çalışma sırasında hata koşulları oluşturabilmektedir. Bu hatalar belleğin yetersiz olması, boş işaretçi istisnaları, sistem çağrısı hataları, veritabanının kullanılamıyor olması, ağ zaman aşımı ve onlarca başka çıktılardan oluşmaktadır. Yönetici tarafından yanlış yapılandırılan veya hiç özelleştirilmeyen, varsayılan şekilde oluşan hata sayfaları, kullanıcıya anlamlı bir hata mesajı vermektedir. Tüm web sunucuları, uygulama sunucuları ve web uygulama ortamları, hata işleme sorunlarına açıktır.

hata sayfası

 

Özelleştirilmemiş Hata Sayfası Sistemi Nasıl Etkiler?

Kullanıcıya sistemle ilgili bir hata mesajı veren hata sayfaları, yönetici tarafından özelleştirilmediği takdirde ilgili web uygulama hakkında sunucu adı, sürüm özellikleri gibi bilgileri verebilmektedir. Bu bilgiler, asla açığa çıkmaması gereken uygulama ayrıntılarını ortaya çıkarmaktadır. Dolayısıyla bu tür ayrıntılar, saldırganlara sitedeki olası kusurlar hakkında önemli ipuçları sağlayabilmektedir. Saldırgan bu ipuçlarından yola çıkarak diğer saldırı aşamalarını buna göre şekillendirmektedir.

 

Özelleştirilmemiş Hata Sayfası Nasıl Tespit Edilebilir?

HTTP yanıt durum kodları, beş kategoriye ayrılmaktadır. Durum kodunun ilk basamağı yanıtın sınıfını tanımlamaktadır. Bu durum kodlarına göre yapılacak istekler gerekli çıktının alınmasını sağlamaktadır.

hata sayfaları

Özelleştirilmemiş Hata Sayfası Nasıl Düzenlenebilir ?

Hata türleri, sadece kullanıcıya yardımcı olacak şekilde geri bildirim yapılmalıdır. Bu geri bildirimde kullanıcıya hangi bilgilerin iletileceği, hataların nasıl ele alınacağına dair bir politika düzenlenmeli ve hata sayfaları buna göre oluşturulmalıdır. Hatalar oluştuğunda gereksiz ayrıntıları açıklamadan, özel olarak tasarlanmış bir sonuçla yanıt verilmelidir. Sitedeki uygulama hatalarını veya saldırıları tespit edebilmek için hata sınıfları günlüğe kaydedilmelidir.