Herkese Selamlar Değerli TurkHackTeam Ailesi bu konumda sizlere Broken Authentication ( Bozuk Kimlik Dogrulama ) bahsedecegim. https://owasp.org/www-project-top-ten/ owaspın ilk 10 açık listesinde yerini alan Bozuk Kimlik Dogrulaması nedir ? Biraz Bahsedelim.
Owasp Nedir? :
Open Web Application Security Project kısa hali ile OWASP web üzerindeki çogu uygulamanın zaafiyetlerini tespit edip kapatmak yeni açıklar keşfetmek için çalışan bagımsız bir topluluk diyebiliriz. OWASP'ın üzerine ait dokümanları ve araçları herkes kullanabilir. Tamamen toplumun ihtiyaçlarını kapatmak üzerine çalışıyorlar. OWASP ile ilişkili çogu şahıs. OWASP kurulu bölüm başkanları,proje liderleri,proje üyeleri olarak bir ekiptir.
Kuruluş tarihi: 2 Aralık 2001
Çalışan Sayısı: 7 (2017)
Broken Authentication (Broken Authentication) Nedir? :
Bozuk kimlik dogrulama genellikle kötü uygulanan kimlik doğrulama ve oturum yönetimi işlerinden kaynaklanır. Bozuk kimlik dogrulama saldırıları saldırgana saldıran kullanıcıyla aynı ayrıcalıkları veren bir veya daha fazla hesabı ele geçirmeyi amaçlar. Saldırganlar parolaları anahtarları veya oturum bilgilerini, kullanıcı hesap bilgilerini ve kullanıcı kimliklerini üstlenmek için diter ayrıntıları tehlikeye atabildiklerinde kimlik doğrulama ''bozulur'' Aynı Zamanda Genel Şifrelerin kullanımı saldırganların uygulamaya sızmalarına daha büyük bir olanak saglar Örnek: (admin,admin) (Admin123,Admin123) (admin,123456) Gibi.
Hadi Yaygın Risk Faktörlerini Sıralayalım !
1-)Öngörülebilir,Tahminedilebilir giriş bilgileri
3-)Saklandığında korunmayan kullanıcı kimlik doğrulama bilgileri
4-)URLde gösterilen oturum kimlikleri (ör. URL yeniden yazmak)
5-)Oturum sabitleme saldırılarına açık oturum kimlikleri
6-)Çıkıştan sonra zaman aşımına uğramayan veya geçersiz hale gelmeyen web site giriş sayfaları
7-)Şifrelenmemiş bağlantılar üzerinden gönderilen şifreler, oturum kimlikleri ve diğer kimlik bilgileri
Hadi Saldırı Türlerimizi Sıralayalım !
1-)Man-in-the-middle saldırısı
2-)CSRF
3-)XSRF
4-)OAuth Tokenlerini çalmak
5-)XSS Zaafiyetleri
6-)Sql Zaafiyetleri
7-)Oturum Saldırıları (örnegin şifremi unuttum gibi)
Brute Force Saldırıları9-)Sosyal Mühendislik Saldırıları
Nasıl Önlemler Alınabilir ?
1-)Kolay tahmin edilemeyen güçlü şifrelerin kullanılması
2-)Yanlış giriş denemelerine sınır koyulması
3-)Default şifrelerin kullanılmaması web servisi kurarken servisin sagladıfı ilk parolaların degiştirilmesi
4-)Sitede İDS,İPS Bulunması Yanlış şifre denemelerinin log kaydının alınması
5-)Girişlerde Re-Captcha kullanılması
Evet Değerli TurkHackTeam Ailesi Bu Konumda Sizlere Broken Authentication ( Bozuk Kimlik Dogrulama )'dan bahsettim umarım sizlere birşeyler Ögretebilmişimdir.
İYİ FORUMLAR İYİ EĞLENCELER İYİ ŞANSLAR :diablo
