Popüler web sitesi güvenlik açıkları, IDOR

Popüler web sitesi güvenlik açıkları: neden tehlikelidirler ve bunlardan nasıl kaçınılır?

Bir web sitesi sahibi olan herkes için güvenlik önce gelmelidir. Kritik tehditler ve güvenlik açıkları hem itibarınızı hem de mali durumunuzu sert bir şekilde etkileyebilir.

Bu yazı dizisinde, herhangi bir web sitesinin karşılaşabileceği beş popüler güvenlik zafiyeti türünü vurgulayacağız ve güvenlik açıklarını bulmak, bir siteyi güvenlik açıklarına karşı taramak, saldırılara karşı korumak için kullanılan yöntemleri paylaşacağız.

IDOR: basit ve çok tehlikeli bir güvenlik açığı

IDOR (Insecure Direct Object Reference  – Güvenli Olmayan Doğrudan Nesne Başvurusu), web sayfalarına veya dosyalara yetkisiz erişime izin verebilecek bir güvenlik açığıdır. IDOR‘un en yaygın durumu, bir saldırganın öngörülebilir bir tanımlayıcıyı numaralandırması ve bu şekilde başka birinin verilerine erişim kazanmasıdır. IDOR, OWASP (Açık Web Uygulaması Güvenlik Projesi) ilk 10 güvenlik açıkları listesinde yer alan bir uygulamadır.

Bir örnek üzerinden düşünmek gerekirse büyük bir çevrimiçi mağazanın web sitesine kayıt olduğunuzu varsayalım. İletişim bilgilerinizi doldururken, tarayıcı çubuğunda şu şekilde bir bağlantı görürsünüz:

orneksite.com/user/details/edit?id=39082331
orneksite.com/transaction.php?id=74656

Kişisel tanımlama numarası (id = 39082331) burada ana rolü oynar. Deneme amaçlı, son basamağı değiştirmeye karar verdiniz ve aniden – başka birinin düzenleyebileceğiniz iletişim bilgilerinin bulunduğu bir sayfayı görebilirsiniz.

Kötü niyetli bir bilgisayar korsanı, 39082331 ve 74656 no’lu id parametre değerlerini benzer değerlerle değiştirmeye çalışabilir örneğin:

orneksite.com/user/details/edit?id=39082332
orneksite.com/transaction.php?id=74657

Böylelikle, sadece URL’deki id numarasını yineleyerek, tüm kayıtlı kullanıcıların iletişim bilgilerini okuyabilir ve değiştirebilirsiniz. Sorun, siteye istekte bulunurken verilerin belirli bir ziyaretçiye ait olup olmadığını kontrol etmemesidir.

Bu neye yol açabilir?

Gizli bilgilerin ifşa edilmesine. Kullanıcı hesaplarına erişim elde eden saldırganlar kişisel verileri göreceklerdir.

Kimlik doğrulamayı atlama: Bu güvenlik açığıyla aynı anda yüzlerce veya binlerce hesaba erişebilirsiniz.

Verileri değiştirme: Bir saldırgan, iletişim bilgilerinizi düzenleyerek kendi amaçları için kullanabilir. Örneğin, bir çevrimiçi mağazadaki adres değişimi ile siparişleri kendi evine gönderme gibi.

Hesap ele geçirme. Bazı durumlarda, bu şekilde kullanıcı hesaplarını çalabilir, bakiyelerinden para çalabilir ve daha birçok soruna neden olabilirsiniz.

Kendinizi nasıl korursunuz

HTTP isteğine gelen verilerin güvenilmez olduğunu her zaman hatırlamakta fayda vardır. Sitenizin gelen isteklerden bazı değerlere bağlı olarak belirli sayfaları görüntülemesi gerekiyorsa, bu tür isteklerin doğrulanması gerektiği unutulmamalıdır.

– belirtilen sayfa veya eylem için hakların olup olmadığını kontrol etmek gereklidir.

– hesabın veya hizmetin yetkili bir kullanıcıya ait olup olmadığını kontrol etmek;

– tahmin edilmesi zor veya rasgele numaralandırma tanımlayıcıları kullanmak;

– tanımlayıcının imzasını kullanın.

Unutulmamalıdır ki otomatik çözümler henüz IDOR güvenlik açıklarını tespit edemiyor.

Yazı dizisi XSS ve SQL enjeksiyonu hakkında bilgilendirmeler ile devam edecektir.