| Bölmə | Qısa Təsvir |
|---|---|
| OWASP Top 10 | Veb təhlükəsizliyində ən kritik 10 təhlükə |
| SQL Injection | Verilənlər bazasına hücumdan qorunma |
| XSS | İstifadəçi interfeysi təhlükəsizliyi |
| CSRF | Giriş saxtakarlığından müdafiə |
| Race Condition | Multi‑thread təhlükəsizliyi |
| Spring Framework‑də təhlükəsizlik | Müasir Java tətbiqlərində əsas qatlar |
| Penetrasiya Test Alətləri | Populyar test proqramları və metodlar |
| SEI CERT & OWASP | Sənayə standartlarına uyğun təhlükəsiz kodlama |
OWASP (Open Web Application Security Project), veb tətbiqlər üçün kritik təhlükəsizlik zəifliklərini təqdim edir. Bu, hər bir Azərbaycan Java proqramçısının yol xəritəsinin başlanğıcı olmalıdır.
OWASP 2023 Top 10:
Broken Access Control
Cryptographic Failures
Injection (SQL, LDAP, NoSQL)
Insecure Design
Security Misconfiguration
Vulnerable & Outdated Components
Identification & Authentication Failures
Software & Data Integrity Failures
Security Logging & Monitoring Failures
Server‑Side Request Forgery (SSRF)
Daha çox məlumat üçün: Certified Java and Web Application Security Təlimi
SQL Injection, istifadəçi girişi birbaşa sorğuya daxil edildikdə hücuma açıqlıq yaradır.
Təhlükəli kod nümunəsi:
java
Statement stmt = conn.createStatement();
ResultSet rs = stmt.executeQuery("SELECT * FROM users WHERE username = '" + input + "'");
Təhlükəsiz alternativ:
java
PreparedStatement stmt = conn.prepareStatement("SELECT * FROM users WHERE username = ?");
stmt.setString(1, input);
✔ Parametrik sorğular, ORM (məsələn Hibernate) və input doğrulama istifadə edin.
XSS istifadəçi girdisinin süzülmədən HTML/JS olaraq işlənməsindən yaranır.
Növlər:
Stored XSS
Reflected XSS
DOM‑based XSS
✔ Qarşısını almaq üçün:
HTML escape daxili filtr tətbiq edin
CSP (Content‑Security Policy) başlığı istifadə edin
Input/Output səviyyəsində filtrasiya tətbiq edin
CSRF, istifadəçi sessiyasını istifadə edərək icazəsiz əməliyyatlara yol açır.
Real dünya nümunəsi:
Bank səhifəsinə daxil olan istifadəçi, başqa saytdan gizli POST tələbi ala bilər.
✔ Qoruma üsulları:
CSRF Token istifadə edin
Referer və ya Origin yoxlama
SameSite cookie parametrlərini tətbiq edin
Spring ilə aktivləşdirmə:
java
http.csrf().enable();
Race Condition, eyni anda birdən çox əməliyyat eyni verilənə təsir etdikdə yaranır.
Nümunə:
Aynı kupon kodunun eyni anda birdən çox istifadə edilməsi.
✔ Həll yolları:
synchronized bloklar
ReentrantLock
AtomicInteger, AtomicBoolean kimi siniflərdən istifadə
Spring Security, Java dünyasında geniş yayılmış təhlükəsizlik vasitəsidir.
Təhlükəsizlik qatları:
Authentication (Doğrulama)
Authorization (İcazə)
Filters (CSRF, CORS, JWT və s.)
Expression‑based Security
Session Management (Sessiya idarəsi)
Daha çox öyrənmək üçün: Java SE 21 Programming I Təlimi
Ən effektli penetration test alətləri:
OWASP ZAP – Veb tətbiq skaneri
Burp Suite – Gelişmiş istək manipulyasiyası
Nikto – Veb server zəiflik skaneri
Metasploit – Hücum testləri üçün
Nmap – Port və xidmət kəşfiyyatı
✔ Tətbiq əvvəlində, ortasında və tamamlandıqdan sonra testlər yerinə yetirin.
SEI CERT, təhlükəsiz kod yazımı üçün rəhbərlik edir.
Əhatə etdiyi sahələr:
Doğru dəyişən istifadəsi
Bellek və resurs sızmasının qarşısının alınması
Güvənli exception handling
Tanımsız davranışların qarşısını alma
API‑lərin təhlükəsiz istifadəsi
OWASP yalnız hücum növlərini deyil, həm də həll yollarını göstərir.
✔ Tövsiyələr:
İstifadəçi girişlərini birbaşa işlətməyin
Minimum icazə prinsipi tətbiq edin
Sərt səhv mesajları göndərin
HTTPS istifadəni məcbur edin
Güvənlik loqlarını izləyin
Təhlükəsiz kodlama biliklərinizi gücləndirmək üçün aşağıdakı kurslara müraciət edə bilərsiniz:
Bu bələdçi Java ekosistemində ən kritik təhlükəsizlik sahələrinə yol xəritəsi təqdim etdi. OWASP Top 10‑dan başlayaraq SQL Injection, XSS, CSRF və Race Condition‑a qədər əsas müdafiə üsullarını əhatə etdik. Spring Security, pen‑test alətləri və SEI CERT tövsiyələri ilə təhlükəsiz kod yazmaq mümkün oldu.
Təlimlər ilə bu bilikləri peşəkarlığa çevirə bilərsiniz.