- 23 Tem 2020
- 25
- 0
Session Management Zafieti Nedir?
Session Management Türkçe karşılığı, Oturum Yönetimi olarak bilinir.
Session Management Zafiyeti, saldırganların; parolaları, anahtarları veya oturum belirteçlerini tehlikeye atmasına veya diğer kullanıcıların kimliklerini geçici veya kalıcı olarak üstlenmek için uygulama kusurlarından yararlanmasına olanak tanır.
HTTP ve Session Management
HTTP, bilgisiz bir protokol olarak tasarlanmıştır. Web sunucularının önceki istekle ilgili herhangi bir bilgi tutmadığı anlamına gelir. Bir kullanıcının uygulamaya yeni giriş yapıp yapmadığına dair hiçbir bellek yoktur. Modern web uygulamaları, uygulamanın kullanıcı erişimi sırasında kimlik doğrulama ve yetkilendirme durumunu korumasını gerektirir.
Yabancı kaynaklarda yapmış olduğum araştırmalarımda, ŞİDDETLE TAVİSYE EDİLEN 3 MADDE dikkatimi çekti, size aktarmak istedim.
1. HTTP kullanmayın. Uygulama hem genel hem de hassas bilgilere sahipse, uygulamayı ikiye bölmek daha iyi bir seçimdir.
2. Kendi oturum yönetiminizi kullanmayın. Her zaman popüler ve iyi bilinen web geliştirme çerçevelerini (frameworks) kullanın. Birkaç kıdemli geliştiricinin kendi oturum yönetimi yeteneklerini uygulamaya eklediğini ve sefil bir şekilde başarısız olduklarını gördük.
3. Oturum doğrulaması sunucuda yapılmalıdır. Bir web sayfasının yetkili kullanıcıdan kritik bir eylem gönderilip gönderilmediğini doğrulaması gerekiyorsa, doğrulama sunucu tarafında gerçekleştirilmelidir.
Bir web uygulaması, bir kullanıcı başarıyla oturum açtıktan sonra yeni bir oturum kimliği atamazsa, uygulamada oturum düzeltme güvenlik açığı vardır. Saldırgan, geçerli bir oturum kimliği elde ederek bir kullanıcıyı oturum açmak için oturum kimliğini kullanmaya teşvik edebilir ve ardından doğrulanmış oturumu ele geçirebilir. Bu olaya; Session Fixation (Oturum Sabitleme) adı verilir.
Session Fixation (Oturum Sabitleme) saldırısından kaçınmak için oturum kimlikleri, oturum açtıktan ve oturumu kapattıktan sonra değiştirilmelidir.
Session Management Nasıl Önlenir?
1- Mümkün olduğunca otomatik kimlik bilgisi doldurma, kaba kuvvet ve çalıntı kimlik bilgilerinin yeniden kullanım saldırılarını önlemek için çok faktörlü kimlik doğrulama kullanın.
2- Özellikle yönetici kullanıcılar için herhangi bir kimlik bilgisi göndermeyin veya dağıtmayın.
3- Yeni veya değiştirilmiş şifreleri, güçlü olarak kullanın. Zayıf şifre kontrolleri uygulayın.
4- Parola uzunluğu, karmaşıklığı ve rotasyon politikalarını veya diğer modern kanıta dayalı parola politikalarını inceleyin.
5- Başarısız oturum açma girişimlerini sınırlayın veya daha fazla geciktirin. Tüm hataları kaydedin ve kimlik bilgileri doldurma, kaba kuvvet veya diğer saldırılar algılandığında kullanıcıları uyarın.
Örnek Saldırı Senaryoları / Kullanımı
SENARYO 1
Bilinen şifreler listelerinin kullanımı olan kimlik bilgilerini doldurma, yaygın bir saldırıdır. Bir uygulama otomatik tehdit veya kimlik bilgilerini doldurma korumaları uygulamazsa; uygulama kimlik bilgilerinin geçerli olup olmadığını belirlemek için bir parola sihirbazı olarak kullanılabilir.
SENARYO 2
Kimlik doğrulama saldırılarının çoğu, tek etken olarak parolaların sürekli kullanımı nedeniyle gerçekleşir. En iyi uygulamalar düşünüldüğünde, şifre rotasyonu ve karmaşıklık gereksinimleri, kullanıcıları zayıf şifreleri kullanmaya ve yeniden kullanmaya teşvik ediyor olarak görünür. Kuruluşların, bu uygulamayı durdurmaları ve çok faktörlü kimlik doğrulama kullanmaları önerilmekte.
SENARYO 3
Uygulama oturumu zaman aşımları doğru ayarlanmalıdır. Bir kullanıcı, bir uygulamaya erişmek için halka açık bir bilgisayar kullanır, "Oturumu Kapat"ı kullanmak yerine kullanıcı basitçe tarayıcı sekmesini kapatır ve uzaklaşır. Bir saldırgan bir saat sonra aynı tarayıcıyı kullanır ve kullanıcının kimliği doğrulanabilir.
KAYNAK
Session Management Türkçe karşılığı, Oturum Yönetimi olarak bilinir.
Session Management Zafiyeti, saldırganların; parolaları, anahtarları veya oturum belirteçlerini tehlikeye atmasına veya diğer kullanıcıların kimliklerini geçici veya kalıcı olarak üstlenmek için uygulama kusurlarından yararlanmasına olanak tanır.
HTTP ve Session Management
HTTP, bilgisiz bir protokol olarak tasarlanmıştır. Web sunucularının önceki istekle ilgili herhangi bir bilgi tutmadığı anlamına gelir. Bir kullanıcının uygulamaya yeni giriş yapıp yapmadığına dair hiçbir bellek yoktur. Modern web uygulamaları, uygulamanın kullanıcı erişimi sırasında kimlik doğrulama ve yetkilendirme durumunu korumasını gerektirir.
Yabancı kaynaklarda yapmış olduğum araştırmalarımda, ŞİDDETLE TAVİSYE EDİLEN 3 MADDE dikkatimi çekti, size aktarmak istedim.
1. HTTP kullanmayın. Uygulama hem genel hem de hassas bilgilere sahipse, uygulamayı ikiye bölmek daha iyi bir seçimdir.
2. Kendi oturum yönetiminizi kullanmayın. Her zaman popüler ve iyi bilinen web geliştirme çerçevelerini (frameworks) kullanın. Birkaç kıdemli geliştiricinin kendi oturum yönetimi yeteneklerini uygulamaya eklediğini ve sefil bir şekilde başarısız olduklarını gördük.
3. Oturum doğrulaması sunucuda yapılmalıdır. Bir web sayfasının yetkili kullanıcıdan kritik bir eylem gönderilip gönderilmediğini doğrulaması gerekiyorsa, doğrulama sunucu tarafında gerçekleştirilmelidir.
Bir web uygulaması, bir kullanıcı başarıyla oturum açtıktan sonra yeni bir oturum kimliği atamazsa, uygulamada oturum düzeltme güvenlik açığı vardır. Saldırgan, geçerli bir oturum kimliği elde ederek bir kullanıcıyı oturum açmak için oturum kimliğini kullanmaya teşvik edebilir ve ardından doğrulanmış oturumu ele geçirebilir. Bu olaya; Session Fixation (Oturum Sabitleme) adı verilir.
Session Fixation (Oturum Sabitleme) saldırısından kaçınmak için oturum kimlikleri, oturum açtıktan ve oturumu kapattıktan sonra değiştirilmelidir.
Session Management Nasıl Önlenir?
1- Mümkün olduğunca otomatik kimlik bilgisi doldurma, kaba kuvvet ve çalıntı kimlik bilgilerinin yeniden kullanım saldırılarını önlemek için çok faktörlü kimlik doğrulama kullanın.
2- Özellikle yönetici kullanıcılar için herhangi bir kimlik bilgisi göndermeyin veya dağıtmayın.
3- Yeni veya değiştirilmiş şifreleri, güçlü olarak kullanın. Zayıf şifre kontrolleri uygulayın.
4- Parola uzunluğu, karmaşıklığı ve rotasyon politikalarını veya diğer modern kanıta dayalı parola politikalarını inceleyin.
5- Başarısız oturum açma girişimlerini sınırlayın veya daha fazla geciktirin. Tüm hataları kaydedin ve kimlik bilgileri doldurma, kaba kuvvet veya diğer saldırılar algılandığında kullanıcıları uyarın.
Örnek Saldırı Senaryoları / Kullanımı
SENARYO 1
Bilinen şifreler listelerinin kullanımı olan kimlik bilgilerini doldurma, yaygın bir saldırıdır. Bir uygulama otomatik tehdit veya kimlik bilgilerini doldurma korumaları uygulamazsa; uygulama kimlik bilgilerinin geçerli olup olmadığını belirlemek için bir parola sihirbazı olarak kullanılabilir.
SENARYO 2
Kimlik doğrulama saldırılarının çoğu, tek etken olarak parolaların sürekli kullanımı nedeniyle gerçekleşir. En iyi uygulamalar düşünüldüğünde, şifre rotasyonu ve karmaşıklık gereksinimleri, kullanıcıları zayıf şifreleri kullanmaya ve yeniden kullanmaya teşvik ediyor olarak görünür. Kuruluşların, bu uygulamayı durdurmaları ve çok faktörlü kimlik doğrulama kullanmaları önerilmekte.
SENARYO 3
Uygulama oturumu zaman aşımları doğru ayarlanmalıdır. Bir kullanıcı, bir uygulamaya erişmek için halka açık bir bilgisayar kullanır, "Oturumu Kapat"ı kullanmak yerine kullanıcı basitçe tarayıcı sekmesini kapatır ve uzaklaşır. Bir saldırgan bir saat sonra aynı tarayıcıyı kullanır ve kullanıcının kimliği doğrulanabilir.
KAYNAK
Kod:
https://www.coveros.com/understanding-session-management-one-of-owasp-top-10-part-1/
https://affinity-it-security.com/what-is-a-session-management-vulnerability/
https://wiki.crashtest-security.com/broken-authentication-and-session-management
https://www.computer.org/csdl/magazine/sp/2010/05/msp2010050048/13rRUxYrbSR
