CyberFlow Logo CyberFlow BLOG
Https Pentest

CDN ve WAF Arkasındaki Origin Sunucu Sızıntı Testi

✍️ Ahmet BİRKAN 📂 Https Pentest

CDN ve WAF arkası origin sunucularını güvence altına almak için izlenmesi gereken adımları öğrenin. Sızıntı risklerini azaltın.

CDN ve WAF Arkasındaki Origin Sunucu Sızıntı Testi

Bu blog yazısında, CDN veya WAF arkasında gizlenen origin sunucularının güvenliğini sağlamak için izlenmesi gereken temel adımlar ele alınıyor. Sızıntılara karşı savunma yöntemlerini keşfedin.

Giriş ve Konumlandırma

CDN ve WAF Arkasındaki Origin Sunucu Sızıntı Testi

Günümüzde web uygulamalarının güvencesi olarak kullanılan İçerik Dağıtım Ağları (CDN) ve Web Uygulama Güvenlik Duvarları (WAF), çeşitli tehditlerin önüne geçmek adına önemli katmanlar sunarlar. Ancak, bu güvenlik önlemleri arkasında yer alan asıl sunucular, yani "origin server", potansiyel sızıntılara karşı savunmasız kalabilmektedir. Bu bağlamda, origin sunucu sızıntı testleri, bir siber güvenlik uzmanının bu zafiyetleri tespit etmesi için kritik bir adımdır.

Origin Sunucu Nedir?

Bir web uygulamasının arka planda çalıştığı sunucu, genellikle "origin server" olarak adlandırılır. CDN ve WAF'lar, bu sunucuya talep yönlendirmesi yaparak kullanıcıların daha hızlı ve güvenilir bir şekilde verilere erişimini sağlarken, aynı zamanda kötü niyetli saldırılara karşı ortaya çıkabilecek risklerin azaltılmasına yardımcı olurlar. Ancak bu sistemlerin zayıf noktaları da bulunmaktadir ve bu zafiyetlerin test edilmesi, güvenlik açığı tespitinin ilk basamağını oluşturmaktadır.

Neden Önemlidir?

Origin sunucu sızıntı testleri, siber güvenlik alanında birkaç nedenle çok önemlidir:

  1. Zafiyetlerin Tespiti: Origin sunucunun IP adresinin yanlış yapılandırmalar, default ayarlar veya güncel olmayan protokoller aracılığıyla sızdırılması, kötü niyetli aktörler için bir tehdit oluşturur. Bu tür sızıntılar, saldırganların sistemi daha da istismar etmesine olanak tanır.

  2. Savunma Mekanizmalarının Hedefi: CDNs ve WAF'lar, sunucuları koruma işlevi gördüğü için, sızan IP adresleri üzerinden bu önlemleri geçersiz kılma girişimleri olabilir. Dolayısıyla, bu tür incelemeler, ağın güvenlik katmanlarını pekiştirme adına gereklidir.

  3. Gelişmiş Test Senaryoları: Origin sunucunuzu korumak amacıyla mutlaka gerçekleştirilmesi gereken sızma testleri, ağ üzerinde çeşitli senaryolar geliştirerek saldırı vektörlerini kontrol etme imkanı sunar.

Test Sürecinin Başlıca Adımları

Sızma testinin ilk aşaması, hedef alan adının geçmişte hangi IP adreslerine hizmet ettiğini öğrenmektir. İşte burada bazı önemli adımlar:

dig target.com any +short

Yukarıdaki komut, hedef domainin DNS geçmişini sorgulamak için kullanılabilir. Bunun yanı sıra, SSL sertifikasının parmak izini alarak ilişkili IP adreslerini belirlemek de kritik bir adımdır. Bu işlem için, Censys veya Shodan gibi araçlardan yararlanabiliriz. Şu şekilde bir çıktı almayı amaçlayabiliriz:

curl -H "Host: target.com" http://1.2.3.4

Bu tür bir istek, bir IP'nin gerçekten origin IP olup olmadığını kontrol etmemizi sağlar.

Siber Güvenlik ve Pentest Bağlamındaki Önemi

Siber güvenlik uzmanları ve pentester'lar, standart güvenlik önlemlerinin yanı sıra, daha derinlemesine analizler yaparak sızma testleri gerçekleştirmektedir. Origin sunucu sızıntı testleri, ağ güvenliğini artırmak için kritik verilere ulaşmayı ve potansiyel açılmış kapıları kapatmayı sağlar. Hedef sistemin çeşitli güvenlik riskleri altında olup olmadığını belirlemek, siber saldırılara karşı koyabilmek için azami önem taşımaktadır.

Ayrıca, kurumların siber güvenlik stratejilerini oluştururken bu tür içgörülerin dikkate alınması, hem mevcut güvenlik önlemlerinin etkinliğini artırır hem de ileride karşılaşabilecekleri tehditlere karşı hazırlıklı olmalarını sağlar. Bu süreçte, hem teknik bilgi hem de yol haritası oluşturulması hayati önem taşımaktadır.

Sonuç olarak, CDN ve WAF arkasındaki origin sunucu sızıntı testleri, siber güvenlikte önemli bir yere sahiptir. Amacımız, bu güvenlik mekanizmalarını aşarak doğrudan hedefe ulaşmanın yollarını belirlemek ve bu süreçte oluşabilecek potansiyel riskleri minimize etmektir. Gelişmiş konfigürasyonlar ve titiz değerlendirmeler aracılığıyla, hem var olan zafiyetleri tespit etmek hem de bu zafiyetlerin üstesinden gelmek mümkün hale gelmektedir.

Teknik Analiz ve Uygulama

Siber güvenlikte CDN (Content Delivery Network) ve WAF (Web Application Firewall) kullanarak web uygulamalarının arka planını gizlemek yaygın bir uygulamadır. Ancak, bu koruma mekanizmalarının arkasında yer alan origin sunucunun güvenliğini sağlamak için düzenli sızıntı testleri yapılması gerekmektedir. Şimdi, bu süreçte izlenecek adımları detaylandırarak başlamış olalım.

Adım 1: Origin Server Nedir?

Origin server, CDN veya WAF servislerinin önbelleğe aldığı, web uygulamasının asıl dosyalarının ve veritabanının barındırıldığı sunucudur. Bu noktayı belirlemek, sızıntı testlerinin temel taşıdır.

Adım 2: Sızıntı Vektörleri

Origin IP adresinin sızmasının birçok vektörü vardır. Ancak bu sızıntıları etkili bir şekilde test edebilmek için uygun yöntemlerin kullanılması gerekmektedir. Genellikle, DNS geçmişi, SSL sertifikaları, e-posta başlıkları ve favicon hash'leri gibi unsurlar bu vektörlerin başında gelir.

Adım 3: DNS History Sorgulama

Hedef domainin geçmiş IP adreslerini belirlemek için çeşitli araçlar kullanılabilir. ViewDNS veya SecurityTrails gibi hizmetler oldukça faydalıdır.

dig target.com any +short

Yukarıdaki komut, domainin DNS kayıtlarını derleyerek geçmişteki IP adreslerini gün yüzüne çıkaracaktır.

Adım 4: SSL Sertifikası Parmak İzi

Saldırganlar, hedefin SSL sertifikasını kullanarak bu sertifikaya bağlı IP adreslerini tespit edebilir. Censys veya Shodan gibi platformlar bu bağlamda faydalıdır. Sertifikayı aldıktan sonra:

curl -s -k https://target.com | openssl x509 -fingerprint -noout

Yukarıdaki komut, HTTPS isteği üzerinden sertifika parmak izini getirir.

Adım 5: E-posta Başlığı (Header) Analizi

Bir web uygulamasından gönderilen e-postalar, "Received" başlığı altında origin IP'yi içerebilir. Aşağıda bir e-posta başlığı örneği incelenebilir:

Received: from mail.target.com (1.2.3.4) by smtp.server.com

Burada 1.2.3.4, origin sunucunun IP adresidir. Bu bilgi, sızma testi için değerlidir.

Adım 6: Favicon Hash Araması

Favicon dosyasının hash değeri hesaplanarak sunucuya dair daha fazla bilgi elde edilebilir. Aşağıdaki komut ile favicon'un hash değeri bulunabilir:

curl -s https://target.com/favicon.ico | sha256sum

Hash değeri, Shodan üzerinde sorgulanarak aynı ikonu kullanan sunucular tespit edilebilir.

Adım 7: Zafiyet: Misconfigured Firewall

Origin sunucusunun güvenlik duvarı, yalnızca CDN IP'lerinden gelen isteklere izin verecek şekilde yapılandırılmalıdır. Eğer savunma duvarı açık bir yapıdaysa, bu bir zafiyettir.

Adım 8: Tespit Sonrası Doğrulama

Tespit edilen IP'nin gerçekten origin olup olmadığını belirlemek için curl komutu kullanılarak doğrudan HTTP isteği yapılmalıdır:

curl -H "Host: target.com" http://1.2.3.4

Sunucunun 200 OK veya 403 Forbidden döndürmesi, IP'nin doğruluğu hakkında bilgi verecektir.

Adım 9: Curl ile Doğrudan IP Sorgulama

Bir IP adresinin hedef domaini barındırıp barındırmadığını test etmek için bir başka yöntem de doğrudan istek yapmaktır:

curl -H "Host: target.com" http://1.2.3.4

Elde edilen çıktı, sunucunun davranışına bağlı olarak değişiklik gösterebilir.

Adım 10: CDN Provider: Cloudflare

Cloudflare gibi CDN sağlayıcıları, yanlış yapılandırılmış DNS proxy ayarları nedeniyle origin IP'lerin açığa çıkmasına sebep olabilir. Bu tür durumlar, önemli bir güvenlik açığı oluşturur.

Adım 11: Savunma ve Hardening

Origin sunucusunun güvenliği, en iyi uygulamalar kullanılarak artırılmalıdır. Dış dünyaya tamamen kapalı bir yapı, sızma testlerinde önemli bir güçlendirme sağlar.

Adım 12: Nihai Hedef: Perimeter Security

Son olarak, origin bypass testleri gerçekleştirilerek ağ sınırlarının (perimeter security) sadece CDN ile değil, sunucu seviyesinde de korunduğu doğrulanmalıdır. Bu, siber güvenlik stratejisinin temel bir parçasıdır.

İlgili güvenlik katmanlarının etkileşimi neticesinde, sadece CDN ve WAF’in değil, origin sunucusunun da etkin bir şekilde korunması önemlidir. Tüm bu adımlar dikkatlice takip edilerek, başarılı bir sızıntı testi yapılabilir ve sonucunda siber güvenlik seviyesi artırılabilir.

Risk, Yorumlama ve Savunma

Siber güvenlik ortamında, bir Origin sunucusunun sızdırılması büyük bir risk faktörü oluşturur. Özellikle CDN (Content Delivery Network) ve WAF (Web Application Firewall) gibi koruma katmanlarının ardında bulunan bu sunucular, saldırganların erişebileceği zayıf noktaları barındırabilir. İşte sızma testleri sonucunda elde edilen bulguların güvenlik anlamı, olası sıradaki zafiyetlerin etkileri ve alınması gereken profesyonel önlemler hakkında detaylı bir analiz.

Origin Sunucusunun Tanımı ve Önemi

Origin sunucusu, bir web uygulamasının temel dosyalarının ve veritabanının barındırıldığı fiziksel veya sanal bir sunucudur. CDN ve WAF tarafından korunan bu sunucular, yedekleme ve güvenlik amaçlarıyla kritik bir rol üstlenir. Ancak, sunucu IP adresinin sızması durumunda, saldırganlar doğrudan hedef alana erişim sağlayabilir. Bu nedenle, Origin sunucusunun korunması büyük önem taşır.

Sızıntı Vektörleri ve Etkileri

Sızıntı testleri sürecinde belirli vektörlerin analiz edilmesi, veri ihlallerinin tespitinde kritik öneme sahiptir. Aşağıda, potansiyel sızıntı kaynakları ve bu kaynakların oluşturabileceği güvenlik tehditleri belirtilmiştir:

  1. DNS Geçmişi Sorgulama: Birçok kullanıcı, hedef alan adının DNS geçmişini sorgulayarak, sızan IP adreslerinin tespitinde önemli bilgiler elde edebilir. Özellikle ViewDNS veya SecurityTrails gibi araçlar kullanılarak, sızdırılmış olan IP adreslerinin güvenlik düzeyi değerlendirilebilir.

    dig target.com any +short

  2. SSL Sertifikası Parmak İzi: Saldırganlar, hedefin SSL sertifikasının parmak izini almak için Shodan veya Censys gibi araçları kullanır. Sertifika taramasından elde edilen IP’lerin belirlenmesi, potansiyel Origin IP adreslerini gün yüzüne çıkarabilir.

  3. E-posta Başlığı Analizi: Hedefin web sitesi vasıtasıyla gönderilen e-postalarda yer alan 'Received' başlıkları, Origin IP'yi açığa çıkarabilir. Saldırganlar, bu bilgileri kullanarak doğrudan sunucuya erişim sağlayabilir.

  4. Favicon Hash Araması: Sitenin favicon dosyasının hash değeri kullanılarak, benzer içerikleri barındıran diğer sunucular tespit edilebilir. Bu durum, saldırganların sızmaya çalıştığı sunucunun belirlenmesine yol açar.

  5. Yanlış Yapılandırmalar: Origin sunucusunun güvenlik duvarı, yalnızca CDN IP’lerinden gelen isteklere izin verecek şekilde yapılandırılmalıdır. Yanlış yapılandırılmış bir güvenlik duvarı, saldırganlara açık kapı bırakır.

Tespit Sonrası Doğrulama

Yukarıda belirtilen yöntemler ile tespit edilen bir IP adresinin gerçek bir Origin IP olup olmadığını doğrulamak için curl aracı kullanılarak istek gönderilmelidir. Örneğin:

curl -H "Host: target.com" http://1.2.3.4

Bu komut ile sunucunun yanıtları incelenebilir; örneğin, 200 OK yanıtı, sahanın güvenlik katmanlarının bypass edildiğini gösterebilir. Öte yandan, 403 Forbidden yanıtı, sadece CDN üzerinden erişimin kısıtlandığına işaret eder.

Profesyonel Önlemler ve Hardening Önerileri

  1. Güvenlik Duvardaki Yapılandırma: Origin sunucusunun sağlayıcı sistemine ilişkin yapılandırmalarda sıkı kontrol sağlanmalıdır. Sadece CDN IP adreslerine izin veren bir whitelist (beyaz liste) oluşturulması gerekmektedir.

  2. IP Rotasyonu ve Güncellemeler: Eğer Origin IP sızdıysa, sunucunun IP adresinin değiştirilmesi ve sürekli güncellenmesi, saldırganların keşfettiği bilgileri geçersiz kılar.

  3. Outbound E-mail Durumları: Web sunucusu üzerinden e-posta gönderimi durdurularak, harici API servislerinin kullanılması önerilir. Bu, istemci bilgilerini gizli tutulmasına yardımcı olacaktır.

  4. Perimeter Güvenliği: Sadece CDN ile değil, ayrıca sunucu seviyesi güvenlik ile de koruma sağlanmalıdır. Bu, ağ sınırlarının (perimeter) sadece CDN ile değil, aynı zamanda sunucu seviyesinde de sıkılaştırılmasına olanak tanır.

Sonuç

CDN ve WAF arkasındaki Origin sunucu üzerinde gerçekleştirilmiş sızma testleri, güvenlik açıklarının potansiyel olarak ne denli ciddi olabileceğini ortaya koymaktadır. Yanlış yapılandırmalar, sızma vektörlerinin varlığı, ve yanlış bilgi edinimi gibi durumlar, büyük tehditler oluşturabilir. Bu nedenle, profesyonel önlemler ve sürekli güncellemeler, siber tehditlere karşı kalıcı bir savunma sağlar. Önlemlerin alınması ve sistemin sürekli olarak gözden geçirilmesi, siber güvenlik ekibinin öncelikleri arasında yer almalıdır.