Web Dünyasındaki En Yaygın 4 Güvenlik Açığı #2

'The Wolf

Kıdemli Üye
22 Nis 2021
4,043
2,565
Tanrı dağı

1. Kimlik Doğrulaması ve Oturum Yönetiminin Ele Geçirilmesi (Broken Authentication and Session Management)


session.png


Web siteleri genellikle her geçerli oturum için oturum çerezi ve oturum kimliği oluşturur. Bu çerezler kullanıcı adı, parola vb. gibi hassas verileri içerebilir. Oturum, oturum veya tarayıcı kapatılarak sona erdirildiğinde, önceki çerezler geçersiz kılınmalıdır, yani her oturum için yeni bir çerez oluşturulmalıdır.


Oturum kapatıldığında çerezler geçersiz kılınmazsa, hassas veriler halen sistemde kalacaktır. Örneğin, halka açık bir internet kafede bilgisayar kullanan bir kullanıcı, -güvenlik açığı bulunan sitenin çerezleri sistemde halen bulunacağı için-, bir saldırgan tarafından istismar edilebilir. Saldırgan bir süre sonra aynı ortak bilgisayarı kullandığında hassas veriler tehlikede olabilir.

Aynı şekilde ortak bilgisayar kullanan bir kullanıcı, oturumu kapatmak yerine tarayıcıyı kapatıp çıktığında, saldırgan, savunmasız siteye göz atıp, kurbanın önceki oturumunun açık olduğunu görebilir. Saldırgan, kullanıcının profil bilgilerini, kredi kartı bilgilerini vb. çalabilir.

Muhtemel Saldırı Alanları:

+ URL'de gösterilen oturum kimlikleri, oturum sabitleme (Session Fixation) saldırısına neden olabilir.
+ Oturum açmadan önce ve sonra aynı olan Oturum kimlikleri.
+ Oturum Zaman Aşımları doğru şekilde uygulanmayan uygulamalar.
+ Her yeni oturum için aynı oturum kimliğini atamayan uygulamalar.
+ Oturum, düşük yetkili bir kullanıcı tarafından yeniden kullanılabilir.

Etkileri:

+ Bu güvenlik açığından yararlanan bir saldırgan, bir oturumu ele geçirebilir ve sisteme yetkisiz erişim sağlayabilir.

+ Bu güvenlik açığından yararlanan bir saldırgan, bir oturumu ele geçirebilir ve sisteme yetkisiz erişim sağlayabilir.

1. Havayolu rezervasyonu uygulamasında oturum kimliği URL'de görülmektedir:


Sitenin gerçek bir kullanıcısı, arkadaşlarına satış hakkında bilgi vermek istiyor ve bir e-posta gönderiyor. Bu e-posta kötü niyetli kişilerin eline geçtiğinde, oturum kimliği çalınabilir.

2. Saldırganın, XSS’e karşı savunmasız bir uygulamadan oturum kimlik bilgilerini XSS ile ele geçirip kullanması.

3. Uygulama zaman aşımları doğru ayarlanmamış uygulamalarda, kullanıcı genel bir bilgisayar kullanır ve oturumu kapatmak yerine tarayıcıyı kapatıp, uzaklaşır. Saldırgan bir süre sonra aynı tarayıcıyı kullanır ve açık oturumdan istediği değişiklikleri yapabilir veya bilgileri çalabilir.

Öneriler:

+ Tüm kimlik doğrulama ve oturum yönetimi gereksinimleri, OWASP Uygulama Güvenliği Doğrulama Standardına göre tanımlanmalıdır.

+ Kimlik bilgilerini asla URL'lerde veya Log’larda göstermeyin.

+ Oturum kimliklerini çalmak için kullanılabilecek XSS açıkları için de çok dikkatli olmak gerekir.



2. Güvenli Olmayan Doğrudan Nesne Referansları (Insecure Direct Object References)

Untitled.png


Geliştirici, bir dosya, dizin veya veritabanı anahtarı gibi dahili nesnelere ulaşım için bir referansı URL’de açığa çıkardığında zafiyet de ortaya çıkar. Saldırgan bu bilgileri diğer nesnelere erişmek için kullanabilir ve yetkisiz verilere erişmek için bir saldırı oluşturabilir. Bu zafiyet gerçek kullanıcılar tarafından da istismar edilebilir, bu sebepten oturum açma yetkisi olan kullanıcılarda da bu açığa dikkat etmek gerekir.

Etkileri:

Bu güvenlik açığını kullanan bir saldırgan, yetkisiz dahili nesnelere erişim sağlayabilir, verileri değiştirebilir veya uygulamanın güvenliğini ihlal edebilir.

Muhtemel Saldırı Alanları:

+ Veritabanıyla etkileşime giren URL'ler.

Örnekler:

Aşağıdaki URL'deki "kullanıcı id – user_id" değiştirilerek diğer kullanıcıların bilgilerini görüntülemek mümkün olabilir.


Öneriler:

Erişim kontrollerini sıkı bir şekilde uygulayın.
URL'lerde nesne referanslarını göstermekten kaçının.
Tüm referans nesneler için yetkilendirmeye göre doğrulama talep edin. User_id ile birlikte her kullanıcı için oluşturduğunuz bir user_token kullanabilrsiniz, bu sayede saldırgan user_id’yi değiştirse bile user_token tahmin edemeyeceği için bilgileri görüntüleyemeyecektir, aşağıdaki URL’yi inceleyin:



3. Siteler Arası İstek Sahteciliği (Cross Site Request Forgery)

kb_0.png


Siteler Arası İstek Sahteciliği, siteler arası gerçekleştirilen bir sahte taleptir (http request). CSRF saldırısı, kötü amaçlı bir web sitesi, e-posta veya program vasıtasıyla kullanıcının tarayıcısının o anda kimliğini doğruladığı güvenilen bir sitede istenmeyen bir eylem gerçekleştirmesine neden olduğunda meydana gelir.


Bir CSRF saldırısında, oturum açmış bir kurbanın tarayıcısını, kişinin kimlik doğrulama bilgileri dahil olmak üzere tüm bilgilerini, savunmasız bir web uygulamasına sahte bir HTTP isteği göndermeye zorlar.

Örneğin, kullanıcının orijinal web sitesinde (Banka uygulaması olabilir) oturum açtığını ve aynı zamanda da maillerini kontrol ettiğini düşünelim. Maillerinden birinde nereden gönderildiği tam olarak bilinmeyen veya kendisi ile ilgili olduğunu düşündüğü zararlı bir linke tıkladığında, saldırgan tarafından hazırlanmış düzenek sayesinde yan sekmede açık olan orijinal web sitesinin kullanıcı bilgilerini çalabilir.

Sonuçlar:

Bu güvenlik açığı ile saldırgan, kullanıcı profili bilgilerini ele geçirebilir, istediği gibi değiştirebilir, yönetici adına yeni bir kullanıcı oluşturabilir vb.

Muhtemel Saldırı Alanları:

Kullanıcı Profili sayfaları
Kullanıcı hesap formları
Ticari işlem sayfaları
Örnekler:

Kurbanın, geçerli kimlik bilgilerini kullanarak bir bankanın web sitesinde oturum açtığını düşünelim. Aynı zamanda da maillerini kontrol ettiğini ve “Banka hesaplarınızda bir problem var, detaylar için lütfen tıklayın” yazan sanki kendi bankasından gönderilmiş gibi bir mail aldığını düşünelim.

Bu linke tıkladığında, bankanın başka bir hesaba para transferi yapan formunu iyice analiz etmiş ve buna göre bir talep oluşturmuş olan saldırganın linki çalışır; oturum doğrulandığından ve talep bankanın kendi web sitesinden geldiğinden dolayı, banka şüphelenmeden talebi işleme koyar ve saldırganın hesabına para aktarılır.

Öneriler:

Hassas eylemler gerçekleştirirken kullanıcının varlığını ispatlamasını zorunlu kılın.
CAPTCHA, Yeniden Kimlik Doğrulama ve Benzersiz İstek Belirteçleri (User Token) gibi mekanizmalar kullanın.


4. Yanlış Güvenlik Yapılandırması (Security Misconfiguration)

security-misconfiguration.png


Güvenlik Yapılandırması, uygulamalar, uygulama sunucusu, web sunucusu, veritabanı sunucusu ve platform için tanımlanmalı ve dağıtılmalıdır. Bunlar doğru şekilde yapılandırılmadığında, saldırganın hassas verilere veya işlevlere yetkisiz erişime sahip olması mümkün olabilir.


Bazen bu tür kusurlar, sistemin tamamen çökmesine bile sebep olabilir. Platformlarda ve sunucularda kullanılan yazılımın güncel tutulması da iyi bir güvenliktir.

Etkileri:

Bu güvenlik açığından yararlanan saldırgan, kullanılan teknolojiyi ve uygulama sunucusunun bilgilerini (sürüm bilgileri, veritabanı bilgileri vb.) görüntüleyebilir ve saldırı gerçekleştirmek için uygulama hakkında bilgi edinebilir.

Muhtemel Saldırı Alanları:

URL
Form Alanları
Giriş alanları
Örnekler:

Uygulama sunucusu yönetici konsolu otomatik olarak yüklenebilir. Varsayılan hesaplar değiştirilmez. Saldırgan, varsayılan parolalarla oturum açabilir ve yetkisiz erişim elde edebilir.
Sunucunuzda Dizin Listeleme devre dışı bırakılmamışsa saldırgan herhangi bir dosyayı bulmak için dizinleri listeleyebilir.
Öneriler:

Bileşenleri birbirinden ayıran ve güvenlik sağlayan güçlü uygulama mimarisi oluşturun.
Varsayılan kullanıcı adlarını ve şifreleri değiştirin.

Dizin listelerini devre dışı bırakın ve erişim kontrol denetimlerini uygulayın.
Alıntıdır
 
Son düzenleme:

JİTEM

Uzman üye
31 May 2020
1,592
382
KATO DAĞI
Ellerinize sağlık her ne kadar bu tarz konular forumumuzda bulunsada elinize emeğinize sağlık umarım daha önce bu konuları görmemiş üyeler için iyi bir bilgi kaynağı olur.
 

'The Wolf

Kıdemli Üye
22 Nis 2021
4,043
2,565
Tanrı dağı
Ellerinize sağlık her ne kadar bu tarz konular forumumuzda bulunsada elinize emeğinize sağlık umarım daha önce bu konuları görmemiş üyeler için iyi bir bilgi kaynağı olur.
Teşekkür ederim.
Evet Bu Konular Forumda Var Fakat Yeni Üyeler Geliyor.
Bende Forumda Bu Tür Konular Paylaşıyorum. Hem Konuları
Güncellemiş Oluyorum Hemde Yeni Gelen

Üyeleri Önden Web Saldırı Çeşitlerini Anlatıyorum.

nasıl renkli yazıyorsun knk?
Öncelikle Dostum THT'de Askeri Hiyerarşi var.
ve üst taraftammetin yazmaya başladığın zaman üstte 3 nokta var ona tıkla
Daha Sonra Orda " Adı Dilimin Ucunda " Boya Tutmyaa yaran şey var ona tıkla Orda

istediğin rengi dilediğin gibi kulanabilirsin.

Emeğinize sağlık
Teşekkürler.
 
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.