Yıllardır, web uygulamaları her türden siber suçlu için en çekici hedef olmaya devam ediyor. Bir taraftan deneyimli SEO uzmanları ve programlayıcılar sayfaların içeriğini değiştirerek, geliştirerek düşüncelerini kitlelere taşımak isterken diğer taraftan Web uygulamaları, hem sızma testi hem de zorlu web yaşamında şirketlerin dış sınırlarındaki birincil hedef olmaya devam ediyor.
Web uygulamalarının yaygın düşük güvenliği geliştirilen kodun kalitesinden ve seçilen programlama dilinden web sunucusu tarafında kullanılan yapılandırmalara kadar birçok faktöre bağlıdır. Bu sistemde web uygulamalarının güvenliğinin genel güvenlik stratejisinden ayrı tutulması işleri daha da karmaşık hale getirebilir. Yöneticiler, bir şekilde web teknolojilerine dayanan iş geliştirme süreçlerini başlatır. Aynı zamanda, ortalama bir şirketteki bilgi güvenliği yönetimi hizmeti, satın alınan çözümün güvenlik açıkları içerebileceği gerçeğini görmezden geliyor. Dahası, yürütülen çalışmaların tecrübesine göre, Türk şirketlerindeki bilgi güvenliği bölümlerinin yarısından fazlası, şirketin resmi web sitesinden doğrudan kimin sorumlu olduğu hakkında fikir sahibi değil. Bu nedenle, web uygulamalarının yayında saldırıya uğrama ihtimalleri artıyor.
Zero Day açıkları
Sızma Testi süreçlerinde sıfırıncı gün(zero day) güvenlik açıklarından yararlanma konusu oldukça önemlidir. Deneyimlerden birinde; önümüzde tamamen güvenli bir Joomla içerik yönetim sistemi üzerinde bir müşterinin sitesi vardı. Sayfa içerisinde gezinirken, güvenlik açığı hakkında henüz halka duyurulmamış olan savunmasız bir modül tespit edildi. Belirtilen modül üzerinden birkaç gün önce böyle bir açığın kullanıldığı bilgisi de verilmişti. İş göründüğü kadar basitti, istismarı zaten elimizde tutuyorduk. Gerisi hedefe gir, dosyayı yolla, sömürüyü kullan… Bundan sonrası için daha önemli olan bizden önce “kim burada idi” sorusuna cevap vermekti? Ve o cevabın gelmesi uzun sürmedi. Görevi herhangi bir metni php olarak yorumlaması olan php fonksiyonu eval() ve kodlama şeması base64() içeren fonksiyonlar ortadaydı…
Arka kapılar
Bugün size anlatacağımız diğer hikaye de diğerlerinden çokta farklı değil. Tanınmış bir firmanın sitelerinden birinde bir arka kapı oluşturulması… Şaka gibi değil mi? Üstelik tarihler, arka kapının bir yıldan daha uzun bir süre önce sular altında kaldığını ve bu süre boyunca fark edilmeden durduğunu gösteriyordu! Web sunucusunun bulunduğu işletim sisteminin şirketin kurumsal Active Directory alanının bir parçası olması da tüm hikayeyi daha ilginç kılıyordu. Şirketin Bilgi güvenliği tarafından tespit edildiği andan tüm süre boyunca sadece bir talep kaydedilmişti. Bu da gerçekte arka kapıyı (backdoor) kurmaya yeter de artardı.
Bir sonraki makalede bu tür tehditlerden nasıl korunması gerektiği ile ilgili olacaktır.
