CyberFlow Logo CyberFlow BLOG
Oracle Pentest

Stored Procedure Güvenliğini Anlamak: Temeller ve Uygulamalar

✍️ Ahmet BİRKAN 📂 Oracle Pentest

Stored procedure güvenliği, siber güvenlik dünyasında kritik bir konudur. Bu yazıda, temel kavramları ve uygulama tekniklerini keşfedeceksiniz.

Stored Procedure Güvenliğini Anlamak: Temeller ve Uygulamalar

Siber güvenlik alanında Stored Procedure güvenliği, kritik bir öneme sahiptir. Bu blog yazısında, adım adım güvenlik analizlerini ve uygulamalarını keşfedelim.

Giriş ve Konumlandırma

Stored procedure’ler, veritabanı uygulamalarının temel taşlarıdır. Özellikle büyük ölçekli sistemlerde, karmaşık iş mantıkları ve veritabanı etkileşimleri, stored procedure’ler aracılığıyla gerçekleştirilir. Ancak, bu güçlü yapıların yeterince güvenli bir şekilde yönetilmemesi, potansiyel güvenlik açıklarına yol açabilir. İşte bu noktada, stored procedure güvenliğini anlamak, hem veri bütünlüğü hem de sistemin genel güvenliği açısından kritik bir önem taşır.

Stored Procedure Güvenliğinin Önemi

Siber güvenlik bağlamında, stored procedure’ler bir uygulamanın en savunmasız noktalarından biri olabilir. Çünkü bu prosedürler, veritabanına doğrudan erişim sağlamaktadır. Yanlış yapılandırılmış veya yeterince denetimi yapılmamış bir stored procedure, saldırganların veritabanına erişim sağlaması ve önemli bilgileri çalması için bir kapı aralayabilir. Özellikle, kasıtlı olarak bırakılan güvenlik açıkları veya kullanıcı hataları bu durumu daha da kötüleştirebilir.

Pentest (sızma testi) süreçlerinde stored procedure’lerin güvenliği, ilk aşamalardan biri olarak ele alınır. Sızma testi yapan uzmanlar, hedef sistemin hangi stored procedure’lerine erişim izninin olduğunu belirlemek için sistemdeki kullanıcı yetkilerini keşfederler. Bu, bir saldırganın hangi kaynaklara ulaşabileceğini ve hangi işlemleri gerçekleştirebileceğini anlamak için kritik bir adımdır.

Siber Güvenlikte Stored Procedure’lerin Rolü

Stored procedure güvenliğinin sağlanması, yalnızca şematik incelemelerle kalmayıp aynı zamanda savunma stratejileriyle de desteklenmelidir. Geliştiricilerin, stored procedure’lerin tasarımı sırasında hangi kullanıcıların hangi prosedürleri çalıştırabileceğini belirlemesi, gereksiz yetkileri azaltması ve en az ayrıcalık prensibine uyması gerekmektedir.

Oracle kurumsal veritabanı yönetim sistemlerinde, bir stored procedure’ün çalışma yetkisi, 'AUTHID' ifadesiyle belirlenir. Prosedür 'AUTHID DEFINER' olarak tanımlandığında, kendisini oluşturmuş olan kullanıcının yetkileriyle çalışırken, 'AUTHID CURRENT_USER' olarak tanımlandığında ise, o an kim çalıştırıyorsa onun yetkileriyle çalışır. Bu, güvenliği artıran bir yaklaşım olarak değerlendirilmektedir.

Kod İnceleme ve Güvenlik Önlemleri

Stored procedure’ler içerisinde yer alan SQL kodlarının güvenliği, sızma testlerinin en kritik bileşenlerinden biridir. SQL Injection gibi saldırı türleri, dinamik SQL kullanımları ya da dışarıdan gelen parametrelerin doğru bir şekilde filtrelenmemesiyle ortaya çıkabilir. Bu tür saldırılar, yalnızca veritabanı üzerindeki verilerin çalınmasıyla kalmayıp, aynı zamanda daha yüksek yetkilere erişim sağlaması adına kullanılabilir.

Örneğin, bir stored procedure içerisinde aşağıdaki gibi bir tanım, SQL Injection riskini artırabilir:

CREATE OR REPLACE PROCEDURE get_user_data (p_user_id IN VARCHAR2) AS
BEGIN
    EXECUTE IMMEDIATE 'SELECT * FROM users WHERE user_id = ''' || p_user_id || '''';
END;

Yukarıdaki kod parçasında, dışarıdan gelen p_user_id parametresinin doğrudan sorguya eklenmesi, potansiyel bir SQL Injection açığına yol açar. Burada, kullanıcı bir saldırı oluşturmak amacıyla p_user_id parametresini manipüle edebilir.

Eğitim ve Bilinçlendirme

Stored procedure güvenliğine dair bilgilendirici eğitim içerikleri ve metodolojiler, geliştiricilerin en iyi uygulamaları öğrenmesine ve uygulamasına yardımcı olmaktadır. Eğitim süreçlerinde, kod inceleme teknikleri, önleyici güvenlik stratejileri ve denetim ve izleme yöntemleri ele alınmalıdır.

Güvenli bir stored procedure geliştirmek; sadece doğru kurguyla sınırlı kalmamalı, aynı zamanda süreç boyunca sürekli olarak gözden geçirme ve denetim mekanizmaları da devreye alınmalıdır. Sonuç olarak, stored procedure güvenliği, veritabanı güvenliğinin oldukça önemli bir parçasıdır ve bu konuda yeterli bilgi ve deneyime sahip olunması, sistemlerin güvenliği için hayati öneme sahiptir.

Teknik Analiz ve Uygulama

Adım 1: Çalıştırılabilir Prosedürleri Keşfetme

Stored procedure'lerin güvenliğini sağlamanın ilk adımı, veritabanındaki çalıştırılabilir prosedürleri keşfetmektir. Bu, sızma testleri sırasında önemlidir çünkü bir kullanıcının erişim yetkisi olan prosedürleri bulmak, olası saldırı vektörlerini anlamak için kritiktir. Aşağıdaki sorgu, tüm prosedürlerin listelenmesini sağlar:

SELECT owner, object_name 
FROM all_procedures 
WHERE object_type = 'PROCEDURE';

Bu sorguyla elde edilen prosedürlerin detaylı analizi, güvenlik açıklarının belirlenmesinde yardımcı olacaktır.

Adım 2: AUTHID Kavramı ve Yetki Modeli

Oracle'da bir prosedürün hangi yetkilerle çalıştığını belirlemenin en kritik noktalarından biri, AUTHID tanımıdır. İki temel AUTHID modeli bulunur: DEFINER ve CURRENT_USER.

  • AUTHID DEFINER: Prosedür, onu oluşturan kişinin yetkileriyle çalışır. Bu, özellikle yetki yükseltme saldırılarına açık olabileceği için risk taşır.
  • AUTHID CURRENT_USER: Prosedür, o an kim çalıştırıyorsa onun yetkileriyle çalışır. Bu yöntem, daha güvenlidir ve en iyi uygulama olarak kabul edilir.

Prosedürler üzerinde yetki incelemesi yaparken bu kavramların dikkate alınması gerekmektedir.

Adım 3: Kaynak Kod İncelemesi

Stored procedure'lerdeki güvenlik açıklarını bulmanın en etkili yolu, kaynak kodu detaylı bir şekilde incelemektir. Özellikle EXECUTE IMMEDIATE komutunun kullanımı, dışarıdan gelen parametreler doğru işlenmediğinde ciddi SQL Injection riskleri doğurabilir.

Aşağıdaki sorgu, kaynak kodlarının saklandığı ALL_SOURCE görünümünden, dinamik SQL kullanan prosedürleri bulmak için kullanılabilir:

SELECT name 
FROM all_source 
WHERE text LIKE '%EXECUTE IMMEDIATE%';

Adım 4: Dinamik SQL Riskini Sorgulama

Dinamik SQL kullanmak, özellikle kullanıcı girdileriyle etkileşimde bulunurken dikkat edilmesi gereken bir konudur. Dışarıdan gelen verilerin düzgün bir şekilde filtrelenmemesi ve parametrelerin bağlanmaması, SQL Injection’a neden olabilir. Bu tür durumları önlemek için DBMS_ASSERT paketinden yararlanmak faydalı olacaktır. Bu paket, parametre girişlerini temizleme işlevine sahiptir.

Adım 5: PL/SQL Injection Türleri

Stored procedure'lerde karşılaşılan injection türleri, standart web SQL Injection'dan farklılık göstermektedir. Örneğin, Static SQL Injection, prosedür parametrelerinin bir DML sorgusunda doğrudan string birleştirme ile kullanılmasıyla gerçekleşir. Bunun yanı sıra birçok tür vardır; bu nedenle her birini tanımak ve belirli önlemler almak önemlidir.

Adım 6: Paket İçi Fonksiyonlar

Prosedürler bazen Oracle paketleri (packages) içinde bulunabilir. Paketler, birden fazla prosedür ve fonksiyonun bir araya getirilmesiyle oluşur. Bir paket içindeki yetkiler, o paketin tüm fonksiyonlarını etkileyebilir. Bu nedenle, paket tanımları ve içerdikleri prosedürler detaylı olarak incelenmelidir.

SELECT name 
FROM all_objects 
WHERE object_type = 'PACKAGE';

Adım 7: Parametre Analizi

Stored procedure'lerde kullanılan parametrelerin analizi, güvenlik için kritik öneme sahiptir. Bir prosedüre hangi argümanların gönderileceğini bilmek, olası bir sömürü (exploit) aşamasının planlamasında etkilidir. Aşağıdaki sorgu, belirli bir prosedür için argüman detaylarını elde etmeye yardımcı olur:

SELECT argument_name, data_type 
FROM all_arguments 
WHERE object_name = 'MY_PROC';

Adım 8: Wrap Edilmiş Kodlar

Oracle, kodları gizlemek için “wrap” (şifreleme benzeri karıştırma) yöntemini kullanır. Prosedürlerin kaynağını korumak için bu yöntemin kullanılması yaygındır. Ancak bu, sızma testleri sırasında şifrelenmiş kodları incelemeyi zorlaştırır. Pentesterlar genellikle deobfuscator araçları kullanarak bu kodları geri çözmeye çalışır.

Adım 9: SQLJ ve Java Stored Procedures

Oracle içerisinde Java kodları da prosedür olarak kullanılabilir. Bu, özellikle uzaktan kod çalıştırma (RCE) gibi ciddi güvenlik açıklarına yol açabilir. Java tabanlı nesneler kullanıldığında, belirli önlemlerin alınması gereklidir. Aksi takdirde, saldırganlar sistem üzerinde yetki kazanabilir.

Adım 10: Yetki Yükseltme Senaryosu

DBA yetkilerine sahip bir prosedürde, SQL Injection wykorzystılarak saldırganın "DBA" rolünü kazanması sağlanabilir. Bu tür senaryoların önüne geçmek için güvenli kod yazım kurallarına uyulmalı ve düzenli denetimler yapılmalıdır.

Adım 11: Defansif Kodlama

Geliştiricilerin, prosedürleri geliştirirken belirli güvenlik prensiplerine uymaları gerekmektedir. Defansif kodlama teknikleri kullanarak, olası güvenlik açıklarını minimize etmek mümkündür. Bunun yanı sıra, SQL sorgularında bind variables kullanılması, güvenliği artırır.

Adım 12: Denetim ve İzleme

Son olarak, stored procedure'lerin kimler tarafından ve hangi parametrelerle çalıştırıldığı düzenli olarak izlenmelidir. Denetim logları, kullanıcıların yetkisiz işlemler yapıp yapmadığını tespit etme konusunda kritik bir rol oynamaktadır. Yönetim süreçlerinin doğru yapılandırılmaması, güvenlik açıklarına davetiye çıkarabilir. Bu nedenle, denetim mekanizmalarının etkin bir şekilde çalıştığından emin olunmalıdır.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında, sızma testleri sırasında elde edilen bulguların güvenlik anlamını yorumlamak, sistemin güvenliğini artırmak için kritik bir adımdır. Stored procedure’ler, doğru yönetilmediğinde ciddi güvenlik riskleri taşıyabilir. Bu yazıda, risk değerlendirmesi ve alınması gereken profesyonel önlemlere odaklanacağız.

Risk Değerlendirmesi

Stored procedure'lerin kullanımı, birçok avantaj sağlasa da, kötü yapılandırmalar ve yanlış yetki ayarları ciddi güvenlik açığına neden olabilir. Özellikle AUTHID tanımı, bir stored procedure’ün kimin yetkileriyle çalıştığını belirler ve yanlış yapılandırıldığında, saldırganlar tarafından istismar edilebilir.

AUTHID Çeşitleri:

  1. AUTHID DEFINER: Bu durumda prosedür, onu oluşturan kullanıcının yetkileriyle çalışır. Bu durum, kodun yetkilerini artırmak için kullanılabilir ve yetki yükseltme saldırılarına zemin hazırlar.
  2. AUTHID CURRENT_USER: Bu türde, prosedür, o an kim çalıştırıyorsa onun yetkileriyle işler ve daha güvenli bir yaklaşımdır.

Örneğin, bir stored procedure’de AUTHID DEFINER kullanılması durumunda, saldırganlar, prosedürü kullanarak yüksek yetkili bir kullanıcının yetkilerine erişebilir. Bu, veritabanında manipülasyon yapmak için son derece riskli olabilir.

Yanlış Yapılandırma ve Zafiyetler

Sızma testleri sırasında, sistemdeki pek çok yanlış konfigurasyon ortaya çıkarılabilir. Örneğin, EXECUTE IMMEDIATE ifadesini içeren prosedürler, dışarıdan gelen parametrelerin doğru filtrelenmemesi durumunda SQL Injection'a açık hale gelir. Dinamik SQL kullanımı, parantez içindeki verilerin düzgün şekilde temizlenmemesi durumunda saldırganların kod üzerinde kontrol elde etmesine olanak tanır.

Örnek bir SQL Injection zafiyeti:

CREATE OR REPLACE PROCEDURE vulnerable_procedure(p_id IN NUMBER) AS
    sql_stmt VARCHAR2(100);
BEGIN
    sql_stmt := 'SELECT * FROM users WHERE id = ' || p_id;
    EXECUTE IMMEDIATE sql_stmt;
END vulnerable_procedure;

Yukarıdaki örnekte, dışarıdan gelen p_id parametresi kontrol edilmediği için, bu prosedür SQL Injection’a açık bir hale gelir.

Sızan Verilerin Etkisi

Stored procedure’lerdeki güvenlik açıkları, sızan verilerin yanı sıra topoloji ve servis tespiti gibi sonuçlara yol açabilir. Saldırganlar, zafiyetleri kullanarak veri tabanındaki hassas bilgilere ulaşabilir, verileri çalabilir veya değiştirebilir. Bu durum, hem organizasyonun maliyetine hem de itibarına büyük zarar verebilir.

Profesyonel Önlemler ve Hardening Önerileri

  1. Gelişmiş Yetki Yönetimi: Stored procedure'lerde AUTHID CURRENT_USER kullanarak, kullanıcıların yalnızca kendi yetkileriyle işlem yapmasını sağlayın. Yetkilerin en az düzeyde olmasını sağlamak, güvenliği artırır.

  2. Dinamik SQL Kullanımını Sınırlama: Dinamik SQL kullanmak zorunda kalıyorsanız, DBMS_ASSERT gibi güvenlik paketlerinden yararlanarak parametreleri temizlemelisiniz.

  3. Parametre Kontrolü: Prosedürler, kullanıcıdan gelen tüm parametreleri açık bir şekilde doğrulamalıdır. Ayrıca, Bind Variables kullanmak, string birleştirme yerine güvenli bir çeşit parametre geçişi sağlar.

  4. Kaynak Kod İncelemesi: Stored procedure’lerin kaynak kodu düzenli aralıklarla gözden geçirilmeli ve potansiyel zafiyetler için tarama yapılmalıdır.

  5. Denetim ve İzleme: Hangi kullanıcıların hangi prosedürleri çalıştırdığını izlemek için denetim mekanizmaları kurmak, anormal aktivitelerin tespit edilmesine olanak tanır.

Sonuç

Stored procedure güvenliği, bileşenlerin doğru yapılandırılması ve sızma testlerinin sürekli uygulanması aracılığıyla artırılabilir. Prosedürlerin yönetimi ve izlenmesi, potansiyel saldırıları önlemede kritik bir rol oynar. Yukarıda belirtilen önlemler, siber saldırılara karşı sisteminizi daha dayanıklı hale getirebilir ve güvenlik açıklarını minimize edebilir. Uygun önlemler alındığında, stored procedure’ler verimli ve güvenli bir şekilde kullanılabilir.