Nesnelerin İnterneti’ne her geçen gün dâhil olan cihaz sayısının arttığına dayanarak saldırı yüzeyinin de genişlediğini belirtebiliriz. 2014 yılında Nesnelerin İnterneti cihazlarında bulunan en kritik 10 zafiyeti, web uygulamaları güvenliğinde kar amacı gütmeyen bir kuruluş olarak hizmet veren OWASP aşağıdaki şekilde tanımlamıştır.
§I1 Insecure Web Interface (Güvenli olmayan Web Arayüzü)
§Kullanıcı arayüzünün kolaylıkla keşfedilebilir olması
§Ürün kurulumunda kullanılan varsayılan parolaların değiştirilmemesi
§Arayüzün Cross-Site Scripting ve SQL Injection zafiyetleri barındırması
§I2 Insufficient Authentication/Authorization (Yetkisiz Kimliklendirme ve Yetkilendirme)
§Kompleks parola politikasının uygulanmaması
§Kullanıcı hesap bilgilerinin açık metin olarak aktarılması
§Zayıf parola resetleme seçeneklerinin bulunması
§I3 Insecure Network Services (Güvenli olmayan Ağ Servisleri)
§Cihaz üzerinde ihtiyaç duyulmayan açık portların bulunması
§Servis dışı bırakma (DoS) saldırılarına açık olması
§I4 Lack of Transport Encryption (İletimde Şifreleme Eksikliği)
§Verilerin açık metin olarak aktarılması
§Kabul görmüş şifreleme ayarlarının kurulu olması
§I5 Privacy Concerns (Mahremiyet Endişeleri)
§Gereğinden fazla veri toplanması
§Kişisel verilerin saklanması ve iletiminde şifrelemenin kullanılmaması
§Veri saklama politikasının bulunmaması
§I6 Insecure Cloud Interface (Yetersiz Bulut Arayüzü)
§Bulut sistemlerin kolay, tahmin edilebilir parolalara sahip olması
§Bulut sistemlerin arayüzlerinin kolaylıkla keşfedilebilir olması
§Bulut sistemlerin Cross-Site Scripting ve SQL Injection zafiyetleri barındırması
§I7 Insecure Mobile Interface (Yetersiz Mobil Arayüzü)
§Mobil sistemlerin kolay, tahmin edilebilir parolalara sahip olması
§Mobil sistemlerin arayüzlerinin kolaylıkla keşfedilebilir olması
§Mobil sistemlerin Cross-Site Scripting ve SQL Injection zafiyetleri barındırması
§I8 Insufficient Security Configurability (Yetersiz Güvenlik Yapılandırılabilirliği)
§Yönetici ve kullanıcı yetkilendirmelerinin farklı olarak yapılamaması
§Güvenlik kontrollerinin sınırlı olarak değiştirilebilirliği
§I9 Insecure Software/Firmware (Yetersiz Yazılım/Aygıt Yazılımı)
§Güvenlik açıklıkları bulunduğunda güncellenememesi
§Gömülü kullanıcı giriş bilgilerinin bulunması
§I10 Poor Physical Security (Zayıf Fiziksel Güvenlik)
§Cihazların kurcalamaya karşı savunmasız olması
§Portlarının (USB vb.) cihaza kurulum arayüzlerine erişebilmek için kullanılabilmesi
Kurumsal Mimari Blog 