- 10 Mar 2021
- 80
- 126
BROKEN ACCESS CONRTOL ( Bozuk Erişim Kontrolü )
OWASP En İyi 10 güvenlik açığındaki Bozuk Erişim Kontrolü özellikleri, bilgisayar korsanları bunları kullanıcı gibi görünmek ve ayrıcalıklı işlevleri kullanarak kaynaklara erişmek için kullanabilir. Çoğu erişim kontrol şeması, rehberli bir çerçeve kullanılarak kasıtlı olarak tasarlanmamıştır. Bunun yerine, web uygulamasının kullanımıyla birlikte gelişirler.
Bunun yanı sıra, kusurlu bir erişim planının belirlenmesi ve kullanılması nispeten kolaydır. Çoğu durumda, bilgisayar korsanının erişmesine izin verilmeyen içerik veya işlevler için bir istek oluşturması gerekir. Kusur tespit edildikten sonra, içeriğin hassasiyetine ve koruma kontrollerine bağlı olarak etkiler hafif ila şiddetli arasında değişebilir.
OWASP En İyi 10 güvenlik açığındaki Bozuk Erişim Kontrolü özellikleri, bilgisayar korsanları bunları kullanıcı gibi görünmek ve ayrıcalıklı işlevleri kullanarak kaynaklara erişmek için kullanabilir. Çoğu erişim kontrol şeması, rehberli bir çerçeve kullanılarak kasıtlı olarak tasarlanmamıştır. Bunun yerine, web uygulamasının kullanımıyla birlikte gelişirler.
Bunun yanı sıra, kusurlu bir erişim planının belirlenmesi ve kullanılması nispeten kolaydır. Çoğu durumda, bilgisayar korsanının erişmesine izin verilmeyen içerik veya işlevler için bir istek oluşturması gerekir. Kusur tespit edildikten sonra, içeriğin hassasiyetine ve koruma kontrollerine bağlı olarak etkiler hafif ila şiddetli arasında değişebilir.
Bozuk Erişim Denetiminin Etkileri
Hemen hemen her web sunucusu ve uygulama dağıtımının en az bir bozuk erişim denetimi güvenlik açığından etkilendiği bilinmektedir. Saldırganların hangi kaynaklara erişim izni aldığına bağlı olarak, başarılı bir saldırının etkileri zararlı olabilir. Erişim denetimi hatalarının bazı ticari etkileri şunlardır:
1. Yetkisiz İçeriğin Maruz Kalması
Saldırgan bir kez yetkisiz erişim ayrıcalıkları kazandıktan sonra, daha fazla izin alma hakkında bilgi almak için genellikle siteyi tarar. Bunu yaparken karaborsadan veya diğer kötü niyetli eylemlerden elde edebilecekleri hassas sistem ve kullanıcı verilerine erişirler. Başarılı bir saldırıyla, bilgisayar korsanı hassas verileri görüntüleyebilir, değiştirebilir ve hatta silebilir, bu da sistem performansını, şirketin itibarını ve kullanılabilirliğini engeller.
2. Ayrıcalık Yükseltme
Bilgisayar korsanları, genellikle normal kullanıcılardan ve uygulamalardan korunan kaynaklara ve hizmetlere ayrıcalıklı erişim elde etmek için erişim kusurlarından yararlanır. En yaygın olarak, bilgisayar korsanları başlangıçta mümkün olduğunca çok sayıda kullanıcı hesabının kontrolünü ele geçirmeyi amaçlar. Ayrıcalık artışıyla bilgisayar korsanları, kullanıcı verilerini kolayca çalabilir veya tüm uygulama barındırma ekosistemine zarar verebilecek kötü amaçlı yükleri dağıtabilir.
Yaygın erişim denetimi güvenlik açıkları ayrıca şunları da içerir:
1. Yetkisiz İçeriğin Maruz Kalması
Saldırgan bir kez yetkisiz erişim ayrıcalıkları kazandıktan sonra, daha fazla izin alma hakkında bilgi almak için genellikle siteyi tarar. Bunu yaparken karaborsadan veya diğer kötü niyetli eylemlerden elde edebilecekleri hassas sistem ve kullanıcı verilerine erişirler. Başarılı bir saldırıyla, bilgisayar korsanı hassas verileri görüntüleyebilir, değiştirebilir ve hatta silebilir, bu da sistem performansını, şirketin itibarını ve kullanılabilirliğini engeller.
2. Ayrıcalık Yükseltme
Bilgisayar korsanları, genellikle normal kullanıcılardan ve uygulamalardan korunan kaynaklara ve hizmetlere ayrıcalıklı erişim elde etmek için erişim kusurlarından yararlanır. En yaygın olarak, bilgisayar korsanları başlangıçta mümkün olduğunca çok sayıda kullanıcı hesabının kontrolünü ele geçirmeyi amaçlar. Ayrıcalık artışıyla bilgisayar korsanları, kullanıcı verilerini kolayca çalabilir veya tüm uygulama barındırma ekosistemine zarar verebilecek kötü amaçlı yükleri dağıtabilir.
Yaygın erişim denetimi güvenlik açıkları ayrıca şunları da içerir:
- Erişimin yalnızca belirli yetenekler, roller veya kullanıcılar için verilmesi gerektiği, ancak herkesin kullanımına açık olduğu durumlarda, varsayılan olarak en az ayrıcalık veya reddetme ilkesinin ihlali.
- URL'yi (parametre kurcalama veya taramaya zorlama), dahili uygulama durumunu veya HTML sayfasını değiştirerek veya API isteklerini değiştiren bir saldırı aracı kullanarak erişim kontrol kontrollerini atlamak.
- Benzersiz tanımlayıcıyı sağlayarak (güvenli olmayan doğrudan nesne referansları) başka birinin hesabını görüntülemeye veya düzenlemeye izin verme
- POST, PUT ve DELETE için erişim kontrolleri eksik olan API'ye erişim.
- Ayrıcalığın yükseltilmesi. Oturum açmadan kullanıcı olarak hareket etme veya kullanıcı olarak oturum açtığınızda yönetici olarak hareket etme.
- Bir JSON Web Token (JWT) erişim kontrol belirteciyle yeniden oynatma veya kurcalama gibi meta veri manipülasyonu veya ayrıcalıkları yükseltmek veya JWT geçersiz kılmayı kötüye kullanmak için manipüle edilen bir çerez veya gizli alan.
- CORS yanlış yapılandırması, yetkisiz/güvenilmeyen kaynaklardan API erişimine izin verir.
- Kimliği doğrulanmamış bir kullanıcı olarak kimliği doğrulanmış sayfalara veya standart bir kullanıcı olarak ayrıcalıklı sayfalara göz atmaya zorlayın.
Örnekler
1. Kimliği doğrulanmış kullanıcıların profillerini düzenlemelerine izin veren bir web uygulaması, başarılı kimlik doğrulamanın ardından profil düzenleyici sayfasına bir bağlantı oluşturur:
https://example.com/edit/profile?user_id=3324
Ancak profil düzenleyici sayfası, parametrenin geçerli kullanıcıyla eşleşip eşleşmediğini özel olarak kontrol etmez. Bu, oturum açan herhangi bir kullanıcının, yalnızca kullanıcı kimlikleri havuzunu yineleyerek başka herhangi bir kullanıcı hakkında bilgi bulmasını sağlar. Bu, yetkisiz bilgileri açığa çıkarır:
[COLOR=rgb(250, 197, 28)]3325[/COLOR]
2. Başka bir örnek, bir belge paylaşım sitesi için dosyaların indirilmesine izin veren veya görüntüleyen bir yardımcı sunucu tarafı komut dosyasıdır. Dosya adını bir sorgu dizesi parametresi olarak kabul eder:
mydocument.pdf
Komut dosyası kodunun bir yerinde, parametreyi dahili bir dosya okuma işlevine iletir:
$content = file_get_contents(”/documents/path/{$_GET[file]}”);
Doğrulama veya temizleme ve güvenlik açığı bulunan bir sunucu yapılandırması olmadan, sunucunun herhangi bir dosyayı okumasını ve yansıtmasını sağlamak için dosya parametresinden yararlanılabilir. Örneğin:
https://example.com/download.php?file=
[B][I]..%2F..%2Fetc%2Fpasswd[/I][/B]
Bugün kü konu bu kadardı arkadaşlar bir daha ki konuda görüşmek üzere.