CyberFlow Logo CyberFlow BLOG
Owasp Broken Access

Siber Güvenlikte Broken Access Control ve IDOR Temelleri

✍️ Ahmet BİRKAN 📂 Owasp Broken Access

Broken Access Control ve IDOR, kısıtlı erişim izinleriyle ilgili kritik güvenlik açıklarını içerir. Bu yazıda bu kavramların temelini keşfedeceksiniz.

Siber Güvenlikte Broken Access Control ve IDOR Temelleri

Kullanıcı yetkilendirmesini aşmak ve erişim kontrollerini bypass etmek üzerine detaylı bir rehber. Siber güvenlikte Broken Access Control ve IDOR konusunda bilmeniz gerekenler.

Giriş ve Konumlandırma

Giriş

Günümüzde dijital ortamda güvenlik ihlalleri, siber güvenlik uzmanları ve organizasyonlar için ciddi bir tehdit oluşturmaktadır. Bu tehditlerin başında ise, "Broken Access Control" olarak adlandırılan ve yetkilendirme mekanizmalarının zayıf olduğu durumlar yer almaktadır. Erişim kontrolü, bir sistemin izin verilen kullanıcıları ve onların hangi kaynaklara erişim hakkına sahip olduğunu yönetir. Kötü yapılandırılmış veya eksik erişim kontrolü, kötü niyetli kullanıcıların sistemin içindeki hassas verilere ulaşmalarına ve bu verilere zarar vermelerine neden olabilir.

Broken Access Control Nedir?

Broken Access Control, bir web uygulamasının veya sisteminin, yetki kontrolü mekanizmalarında ki hatalardan kaynaklı olarak, yanlışlıkla yetkisiz kullanıcıların belirli kaynaklara erişmesine olanak tanıyan bir güvenlik açığıdır. Bu tür bir zafiyet, kullanıcıların veya sistemlerin yetkilendirilmiş olmadan hassas bilgi ve kaynaklara erişebilmesine yol açar. Örnek vermek gerekirse, bir e-ticaret sitesinde, yalnızca belirli bir kullanıcının erişmesi gereken bir profil sayfasına, kötü niyetli bir kullanıcı tarafından erişim sağlanabilir.

IDOR Nedir?

IDOR (Insecure Direct Object References), kullanıcıların erişim izinleri doğru bir şekilde kontrol edilmediğinde ortaya çıkan bir başka yaygın güvenlik açığıdır. Bu tür açıklar, bir kullanıcının, kendi izinleri dışında bireysel nesnelere (örneğin diğer kullanıcıların profil sayfaları) doğrudan erişim sağlamasına neden olabilir. Bu tür bir zafiyet, genellikle sistemlerin kullanıcı girişini yeterince güvence altına almadığı durumlarda görülür.

Örneğin, bir kullanıcının profil bilgilerini almak için URL'yi kullanarak bir istek gönderdiğimizde, URL'deki kullanıcı ID'sini değiştirmek, farklı bir kullanıcıya ait verilere ulaşmamıza neden olabilir. Bu, bir web uygulaması için ciddi sonuçlar doğurabilir.

Neden Önemlidir?

Siber güvenlikte Broken Access Control ve IDOR gibi zafiyetleri anlamak ve bu zafiyetlere karşı korunmak, yalnızca bir güvenlik uzmanının değil, aynı zamanda tüm organizasyonların öncelikli bir sorumluluğudur. Erişim kontrolü hatalarını tespit edebilmek, kullanılan uygulamaların güvenliğini arttırmakta ve potansiyel veri ihlallerinin önüne geçmektedir.

Saldırganların sıklıkla kullandığı yöntemlerden biri olan bu tür erişim kontrol hataları, sistemlerin bütünlüğünü, gizliliğini ve erişilebilirliğini tehdit eder. Ayrıca, veri ihlalinin yanı sıra, itibar kaybı ve maddi zararlar gibi sonuçlar da doğurabilir.

Pentest (Sızma Testi) Bağlamında

Pentest işlemleri itibarıyla, Broken Access Control ve IDOR zafiyetleri bir test senaryosunun önemli bileşenleridir. Güvenlik uzmanları, sistemlerdeki zafiyetleri tespit ederek, organizasyonların daha etkili bir güvenlik politikası geliştirmelerine yardımcı olurlar. Bu bağlamda, sistemlerin güvenlik kontrollerinin eksiksiz bir şekilde uygulandığından emin olmak, saldırıya uğrama riskini önemli ölçüde azaltmaktadır.

Sızma testleri sırasında, penetrasyon uzmanları, bu tür zafiyetlerin varlığını kontrol etmek için çeşitli araçlar ve teknikler kullanarak sistem üzerinde detaylı bir analiz yaparlar. Bir güvenlik uzmanı olarak, bu tür zafiyetleri değerlendirmek, sağlarım zayıflıkları tespit etmek ve gerekli düzeltmeleri belirlemek amacıyla hem stratejik hem de teknik beceriler gereklidir.

Hazırlık

Bu blog içeriği, okuyucuların Broken Access Control ve IDOR kavramlarını anlamalarına ve bu zafiyetler hakkında ileri düzey bilgiler edinmelerine yönelik hazırlanmıştır. İlerleyen bölümlerde, bu zafiyetlerin nasıl tespit edileceği ve giderileceği konularına dair pratik bilgiler ve yöntemler sunulacaktır. Okuyucuların, konunun teknik detaylarına hazırlıklı olabilmesi için temel kavramlar ve pratik örneklerle zenginleştirilmiş bir içerik sunacağız.

Teknik Analiz ve Uygulama

Broken Access Control: Temel Kavramlar ve Önemi

Siber güvenlik alanında, "Broken Access Control" (BAC), kullanıcıların sistemdeki kaynaklara yetkisiz erişim sağladığı durumları ifade eder. Erişim kontrolü, kullanıcının kimlik doğrulama ve yetkilendirme süreçleri üzerinden belirli kaynaklara ne şekilde erişebileceğini yönetir. Eğer bu mekanizmalar etkili bir şekilde çalışmıyorsa, kötü niyetli kullanıcılar sistemde verilere veya işlemlere yetkisiz erişim sağlayabilir.

Bu bağlamda, "Insecure Direct Object References" (IDOR) terimi, kullanıcıların erişim sağlaması gereken nesnelere (örneğin, kullanıcı profilleri, belgeler veya sistem kaynakları) erişim kontrolünün yeterince sağlam olmamasını ifade eder. Bu tür aksamalar, genellikle URL manipülasyonu yoluyla ortaya çıkar.

Kullanıcı Yetkilendirmesini Aşmak

Kullanıcı yetkilendirmesi aşılırken, genellikle URL parametreleri veya API istekleri üzerinden işlemler yapılır. Örneğin, bir e-ticaret uygulamasında bir kullanıcının profil bilgilerine erişim sağlamak isteyen bir kullanıcı, kendi kullanıcı adı ve şifresiyle giriş yaptıktan sonra ilgili URL'yi kullanarak profil bilgilerine erişim sağlayabilir.

curl https://target.com/profile?id=1

Bu şekilde, 'id' parametresi değiştirildiğinde, başka bir kullanıcının bilgilerine erişim sağlanabilir. Bu tür bir saldırı gerçekleştirilebilmesi için gerekli olan, kullanıcının iç yapıyı ve veri akışını iyi analiz etmesidir.

Yetki Aşımı Keşfi

Bir web uygulaması üzerinde yetki aşımını keşfederken, kullanıcıların yetkilerini aşabilmek için eksik bir yetki kontrolü aramak kritik öneme sahiptir. Örneğin, bir kullanıcı panelinde, normal bir kullanıcı olarak admin yetkilerine ulaşmaya çalışıyorsanız; URL veya istek parametrelerindeki ID’leri değiştirerek daha yüksek yetkilere erişimin mümkün olup olmadığını test etmelisiniz.

curl -X GET /user?id=1

Bu örnekte, kullanıcıların ID’lerini manipüle ederek, başka kullanıcıların bilgilerine veya yönetici paneline erişmeye çalışabilirsiniz.

Erişim Kontrolünü Aşmak

Erişim kontrolünü aşmak için sistemin sunduğu API'leri analiz etmek gerekmektedir. Eğer uygulama doğru bir erişim kontrolü sağlamıyorsa, kullanıcıların kendi profilleri dışındaki verilere ulaşmaları kolaylaşır. Örneğin, bir kullanıcının profil sayfasına eriştiğinizde, oradan admin paneline geçmek için mevcut URL’yi kullanarak sızmaya çalışabilirsiniz.

GET /user/profile?id=2

Bu aşamada, kullanıcı profili URL'sini manipüle ederek, diğer kullanıcıların sayfalarına ulaşım sağlamanız mümkündür.

Yetki Kontrol Hatası

Bir diğer yaygın problem, yetki kontrol hatalarıdır. Bu durumda, kullanıcıların yalnızca kendilerine ait verilere erişmeden, diğer kullanıcıların verilerine ulaşabilmeleri söz konusu olabilir. Örneğin, belirli bir URL'ye eriştiğinizde, URL yapısında zayıf noktalar tespit edebilirseniz, bu zayıflıktan yararlanarak farklı kullanıcıların profillerine erişim sağlayabilirsiniz.

GET /user?id=2

Bu tür durumlar, siber güvenlik uzmanlarının sistemleri değerlendirmesi açısından önemli riskler taşır. Bu yüzden, web uygulamalarında erişim kontrol mekanizmalarının sağlam bir şekilde uygulanması zaruridir.

Uygulama ve Test Süreçleri

Web uygulamalarında erişim kontrollerinin doğru bir şekilde uygulanıp uygulanmadığını test etmek için, siber güvenlik uzmanları genellikle şu adımları izler:

  1. Uygulamanın kullanıcı yetkilendirme sistemini anlayın.
  2. URL ve HTTP isteklerinde ID değişiklikleri yaparak erişim testleri gerçekleştirin.
  3. Bulunan tüm zayıflıklar ve hataların bir listesini çıkararak, gerekli düzeltmeleri uygulamak için geliştirici ekibiyle paylaşın.

Sonuç olarak, Broken Access Control ve IDOR gibi zayıflıklar, siber güvenlikte ciddi riskler oluşturur. Bu nedenle, bu tür güvenlik açıklarının zamanında tespit edilmesi ve kapatılması, hem kullanıcı verilerinin korunması hem de işletme itibarının sağlanması açısından hayati bir öneme sahiptir.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında, özellikle broken access control (BAC) ve Insecure Direct Object Reference (IDOR) gibi zafiyetler, sistemlerin güvenliğini tehdit eden önemli unsurlardan biridir. Bu bölümde, siber saldırıların risklerini değerlendirecek, zafiyetlerin etkilerini açıklayacak ve uygun savunma stratejilerini ele alacağız.

Elde Edilen Bulguların Güvenlik Anlamı

Sistem güvenliği değerlendirmelerinde bulgular, bir güvenlik açığının varlığına işaret eden önemli ipuçları sunar. Örneğin, bir e-ticaret sisteminde, kullanıcıların sadece kendi profillerine erişim izni varken, başka bir kullanıcının profili üzerinde yetki aşımına uğramışsa, bu durum ciddi bir risk oluşturur. Kullanıcı kimlik bilgileri ve oturum bilgileri kullanılarak, yetkisiz erişimle başka kullanıcıların verilerine ulaşmak mümkün hale gelir.

Aşağıdaki örnek, bunun ne denli kritik bir sorun olduğunu göstermektedir:

GET /profile?id=2 HTTP/1.1
Host: hedefsite.com

Yukarıdaki HTTP isteği, kullanıcı ID'si 2'ye ait bir profilin görüntülenmesi için yapılmıştır. Eğer sistem uygun erişim kontrollerini uygulamıyorsa, bu isteği yapan kötü niyetli bir kullanıcı, başka bir kullanıcının verilerine ulaşabilir.

Yanlış Yapılandırma ve Zafiyetlerin Etkisi

Yanlış yapılandırma, sistemlerin güvenliğini etkileyen en yaygın sebeplerden biridir. Uygulamalardaki yetki kontrollerinin eksikliği, ilgili kullanıcıların sadece kendi verilerine erişim ile sınırlı kalmayıp, başka kullanıcıların verilerini de görmesini mümkün kılabilir.

Bir şirket örneği düşünelim: Bir kullanıcının profilinde, yalnızca kendi bilgileri göstermesi gereken durumlarda, yetkisiz bir erişim ile başka kullanıcıların bilgileri açığa çıkabilir. Bu durumda, ortaya çıkan sonuçlar hem bireysel kullanıcıların mahremiyetini ihlal eder hem de şirketin itibarını zedeler. Araştırmalar, zayıf erişim kontrollerinin büyük veri ihlallerinin yüzde 30’unu oluşturduğunu göstermektedir.

Sızan Veri, Topoloji ve Servis Tespiti

Sızma testleri esnasında elde edilen veriler, ağ topolojisini anlamak için hayati önem taşır. Örneğin, bir şirkete ait kullanıcı paneline erişildiğinde, sistemde var olan envanter ve kullanıcıların rollerine dair bilgiler, potansiyel zafiyetlerin saptanmasında kullanılabilir. Bu tür bilgiler, kötü niyetli aktörlerin, ağda hangi sistemlerin daha savunmasız olduğunu belirlemesine olanak tanır.

Ayrıca, sızma testleri sırasında kullanılan araçların bir kısmı, sistemdeki potansiyel erişim noktalarını tespit edebilir. nmap komutu ile bir sistemin hizmetleri ve portları hakkında bilgi edinmek, savunma stratejileri belirlemek adına faydalı bir yöntemdir:

nmap -sV hedefsite.com

Yukarıdaki komut, belirtilen hedef üzerinde çalışan servislerin ve açık portların tespit edilmesini sağlar. Bu bilgiler, bir saldırganın hedef sistemde hangi noktaları istismar edebileceğini anlamasına yardımcı olur.

Profesyonel Önlemler ve Hardening Önerileri

Kırık erişim kontrolü ve IDOR gibi zafiyetlerin önlenmesi için uygulayabileceğiniz bir dizi önlem bulunmaktadır:

  1. Etkili Yetkilendirme Testleri: Kullanıcı rolleri ve yetkilerini detaylı bir şekilde test edin. Her kullanıcının sadece gerekli verilere erişim sahibi olduğundan emin olun.

  2. Doğru Hata Yönetimi: Uygulamanızın hata yönetim süreçlerini gözden geçirin. Hatalı isteklerde kullanıcıya ne tür bilgiler sunulduğuna dikkat edin. Sadece genel hata mesajları vermek, güvenlik açığını gizler.

  3. Erişim Kontrollerinin Sıkılaştırılması: Arka planda erişim kontrol listelerini (ACL) uygulayın ve bu listeyi sık sık güncelleyin. Kullanıcıların yapmadıkları işlemleri yapma yetkilerini kaldırın.

  4. Düzenli Güvenlik Testleri: Yazılım geliştirme sürecinizde sızma testlerini dahil edin. Zafiyetler bulunmadan giderilmelidir.

  5. Eğitim: Kullanıcılara güvenlik farkındalığı eğitimi verin. Özellikle kimlik avına karşı dikkatli olmalarını sağlayın.

Sonuç

Broken access control ve IDOR, siber dünyada yaygın olarak karşılaşılan zafiyetlerdir. Bu tür zafiyetlerin etkileri derin olabilir ve bireylerin mahremiyetini tehdit edebilir. Yukarıda belirtilen profesyonel önlemler alındığında ve sistem güvenliği sürekli olarak gözetim altında tutulduğunda, saldırganların bu açıkları istismar etme olasılığı azaltılabilir. Siber güvenliğin dinamik bir süreç olduğunu unutmamak gerekir; sürekli gelişim ve adaptasyon gerektirir.