CyberFlow Logo CyberFlow BLOG
Owasp Cryptographic Failures

Token, Session ve JWT İçinde Gizli Veri Taşıma Riskleri: Bilmeniz Gerekenler

✍️ Ahmet BİRKAN 📂 Owasp Cryptographic Failures

Token, session ve JWT yapısındaki gizli veri taşıma risklerini anlamak için gerekli bilgilere göz atın. Siber güvenlikte güvenli veri yönetimi için kritik noktaları öğ...

Token, Session ve JWT İçinde Gizli Veri Taşıma Riskleri: Bilmeniz Gerekenler

Hedefiniz, geliştiricilerin token, session ve JWT içindeki gizli verileri güvenle taşıma yeteneğini artırmak mı? Bu yazımızda, veri taşıma risklerinin nasıl yönetileceğini öğreneceksiniz.

Giriş ve Konumlandırma

Giriş

Siber güvenlik alanında, veri gizliliği ve güvenliği son derece kritik bir konudur. Özellikle web uygulamalarında sıkça kullanılan token, session ve JSON Web Token (JWT) yapıları, veri taşımak için yaygın olarak tercih edilmektedir. Ancak, bu yapılar içerisinde gizli verilerin güvenli bir şekilde taşınması sıklıkla göz ardı edilmektedir. Bu yazıda, token, session ve JWT içinde gizli veri taşımanın risklerini derinlemesine inceleyeceğiz ve bu konuda dikkat edilmesi gereken noktaları vurgulayacağız.

Token ve JWT Nedir?

Token, oturum açmış bir kullanıcının kimliğini doğrulamak amacıyla sunucu ile istemci arasında taşınan bir veridir. Genellikle oturum kimliği veya kullanıcı bilgileri gibi verilerin içeren, güvenlik açısından önemli bir yapı olarak değerlendirilir. JWT, bu yapıların bir türü olup, header, payload ve signature gibi parçalardan oluşur. Payload kısmı, kullanıcı bilgilerini ve varsa diğer verileri içerir; ancak bu alanın güvenliği genellikle göz ardı edilmekte ve önemli bilgilerin burada taşınması sonucunda sızmalara yol açmaktadır.

Neden Önemlidir?

Veri gizliliği, kullanıcıların bilgilerini koruma açısından hayati bir öneme sahiptir. Özellikle kişisel bilgilerin, oturum kimliklerinin ve diğer hassas verilerin yetkisiz kişilerce erişilmesi, ciddi güvenlik ihlallerine yol açabilir. Örneğin, bir saldırganın session ID’yi ele geçirmesi durumunda, kullanıcının hesabına erişim sağlaması mümkün hale gelir. Aynı şekilde, JWT içindeki gizli verilerin ele geçirilmesi, kimlik sahtekarlığına ve bilgi sızmalarına neden olabilir.

Siber Güvenlik Bağlamında Riskler

Siber güvenlikte, token ve JWT kullanımı birçok farklı saldırı vektörüyle birlikte gelir. Bu yapıların kötü bir şekilde tasarlanması veya korunmaması, güvenlik açıklarına kapı aralayabilir. Örneğin, Base64 ile kodlanmış bir verinin kolayca okunup çözülmesi, bu yapıların güvensiz bir şekilde kullanımına örnek teşkil eder. Pek çok geliştirici bu yapıların şifrelenmiş olduğunu varsayar; oysa çoğu durumda, bu yapılar sadece kodlanmış içerik taşımaktadır.

Bu noktada, JWT’nin payload kısmının en riskli alan olduğunu belirtmek önemlidir. Geliştiricilerin bu alana hassas veriler eklemesi durumunda, istemci tarafında veya ara sistemlerde bu bilgilere kolaylıkla ulaşılması mümkündür. Dolayısıyla, hassas bilgilerin hangi alanlarda ve nasıl taşındığına dair ciddi bir ayrıma ihtiyaç vardır.

Hazırlık ve Eğitim

Bu yazının devamında, token, session ve JWT yapılarında gizli veri taşımanın riskleri daha detaylı bir şekilde ele alınacak. Kodlanmış verinin güvenliği, JWT yapısının bölümleri, imza bölümünün işlevi ve sık karşılaşılan güvenlik hataları gibi konulara değinilecektir. Okuyucuların bu yapılar içerisinde gizli verileri güvenli bir şekilde nasıl taşıyacakları hakkında bilgiler verilecektir.

Bu bağlamda, teknik bir perspektifle konunun derinliklerine inmek, hem geliştiriciler hem de siber güvenlik uzmanları için kritik bir öneme sahiptir. Bu sayede, veri taşıma süreçlerinde güvenliği ve gizliliği artırarak, olası siber saldırılara karşı daha dirençli sistemler oluşturulabilir.

Teknik Analiz ve Uygulama

Kodlanmış Veri Gizli Veri Değildir

Birçok geliştirici, token veya JWT (JSON Web Token) yapısını şifreli sanmaktadır. Ancak, çoğu durumda bu yapılar yalnızca kodlanmış olup, kolayca çözülebilir. Özellikle, Base64 ile kodlanmış veriler hiçbir şekilde gizlilik sağlamaz. Bu noktada dikkat edilmesi gereken en önemli husus, token içerisine hassas bilgilerin yerleştirilmesidir. Parola, API anahtarı, kimlik numarası gibi bilgileri token içerisinde taşımak, ciddi güvenlik açıklarına yol açabilir.

Veri kodlama ve şifreleme arasındaki farkı anlamak, geliştiricilerin veri güvenliğini artırması açısından kritik öneme sahiptir. Aşağıdaki örnekte, basit bir Base64 kodlamasıyla bir kullanıcı bilgisi token’ı oluşturulmuştur:

echo -n '{"user":"admin","role":"superadmin"}' | base64

Bu komut çalıştırıldığında, kullanıcı bilgileri Base64 formatında kodlanacak ve görünür hale gelecektir. Dolayısıyla, bu tür bir token sistemi tasarımı yaparken, içeriğin şifrelenmediği ve okunabilir olduğu dikkate alınmalıdır.

JWT İçinde Verinin Taşındığı Bölüm

JWT yapısı, genelde üç ana bölümden oluşur: header, payload ve signature. Burada asıl risk çoğu zaman payload bölümündedir. Geliştiriciler, hassas verileri bu alana koyduğunda, istemci tarafında veya ara sistemlerde bu veri kolayca erişilebilir hale gelir. Bu nedenle, JWT içindeki veri alanlarının amacı iyi anlaşılmalıdır.

JWT yapısının genel görünümü aşağıdaki gibidir:

header.payload.signature

Bu yapıda, payload bölümündeki veriler genellikle kullanıcıya ait claim (hakkı temsil eden bilgiler) içerir. Bir token çözümleyici ile token içeriği incelendiğinde, payload bölümünde hangi bilgilerin yer aldığını görmek mümkündür. İstemci tarafında bu bilgilerin saklanmasının güvenlik zafiyeti oluşturacağını unutmamak gerekmektedir.

Görünebilir Veri ile Gizli Veri Arasındaki Fark

Token yapılarında her bilgi aynı seviyede risk taşımamaktadır. Örneğin, kullanıcı rolü, oturum süresi ve kimlik numarası gibi verilere ait risklerin anlamı birbirinden farklıdır. Özellikle istemci tarafında kolayca görülebilen token içerikleri içinde hangi verilerin bulunmaması gerektiğini ayırmak büyük bir önem taşır.

JWT içinde gizli veri taşımanın yanlışlığı, bu verilerin açığa çıkmasına sebep olabilir. Aşağıdaki gibi bir payload örneği, bu riskin ne kadar büyük olduğunu gözler önüne serer:

{
  "user": "admin",
  "role": "superadmin",
  "secret": "Bu çok gizli bir veridir"
}

Yukarıdaki örnekte, secret alanının JWT payload’ında yer alması, siber saldırganlara önemli bir fırsat verir.

JWT Payload İçeriğini İncelemek

JWT analizinde genellikle ikincil bölüm, yani payload, incelenmektedir. Eğer bir token bir dosyada veya terminal çıktısında görünüyorsa, nokta ile ayrılan ikinci parçayı alıp Base64 çözücüden geçirmek, içeriğin okunmasını sağlayacaktır. Bunun için şu komutu kullanabilirsiniz:

cut -d . -f2 token.txt | base64 -d

Bu işlem, token içinde yanlışlıkla taşınan gizli verileri tespit etmek için oldukça faydalıdır. Geliştiricilerin, token içeriğini analiz ederken bu tür bir teknikte bulunmaları, olası güvenlik açıklarını önceden tespit etme imkanı tanır.

İmza Bölümünün Gerçek Görevi

JWT içindeki üçüncü bölüm (signature), token verisinin değiştirilmediğini doğrulamak için kullanılmaktadır. Bu bölüm, gizlilik sağlamaz; yalnızca bütünlük ve doğrulama açısından anlam taşır. Geliştiricilerin bu farkı anlamamaları, imzalı veriyi yanlış bir şekilde şifreli veri olarak kabul etmelerine yol açabilir.

İmza bölümünün oluşturulma sürecinde, header ve payload bölümünde bulunan veriler belli bir algoritma ile imza haline getirilir. Bazı durumlarda, bu imza alanı gizliliği sağlamak için kullanılmadığı ve sadece verinin konsistensini kontrol etmeye yaradığı unutulmamalıdır.

Token Tasarımında Sık Görülen Güvenlik Hataları

Son olarak, token, session ve JWT yapılarında sık rastlanan hataları göz önünde bulundurmak gerekmektedir. Özellikle istemci tarafında görülebilen alanlara gereğinden fazla bilgi konulması, birçok güvenlik acil durumuna yol açabilmektedir. Bunun yanında, session ID'nin güvensiz bir şekilde taşınması, uzun ömürlü token kullanımı veya hassas claim'lerin açık bir şekilde iletilmesi bu riskleri artıran unsurlar arasındadır.

Taşıma amacı ile gizlilik amacı birbiriyle karıştırılmamalıdır. Her iki kavram arasında ayırım yapabilmek, güvenli bir uygulama tasarımı için elzemdir. Geliştiricilerin bu konulara dikkat etmesi, yüksek seviyede güvenlik sağlanmasına yardımcı olacaktır.

Risk, Yorumlama ve Savunma

Kodlanmış Veri Gizli Veri Değildir

Siber güvenlik alanında sık karşılaşılan hataların başında, token ve JWT (JSON Web Token) gibi mekanizmaların yanlış anlaşılması gelmektedir. Birçok geliştirici, bu yapıların güvenli ve şifreli veriler taşıdığını düşünebilir. Ancak, sıkça karşılaşılan bir durum; bu yapıların yalnızca kodlanmış verileri barındırmasıdır. Özellikle Base64 kodlaması kullanıldığında, veri üzerinde hiçbir şifreleme yapılmaz ve bu veri kolayca okunabilir. Örneğin, bir token içindeki hassas veriler, yalnızca aşağıdaki gibi basit bir komut ile çözülebilir:

echo eyJ1c2VyIjoiYWRtaW4iLCJyb2xlIjoic3VwZXJhZG1pbiJ9 | base64 -d

Bu durum, özellikle parolalar, API anahtarları veya diğer hassas oturum bilgilerini token içerisine koymanın son derece riskli olduğu gerçeğini gözler önüne sermektedir.

JWT İçinde Verinin Taşındığı Bölüm

JWT yapısının temel görünümü üç bölümden oluşur: başlık (header), yük (payload) ve imza (signature). Burada, en büyük risk aslında yukarıda bahsedilen yük bölümündedir. Eğer geliştirici hassas verileri bu alana yerleştirirse, bu bilgiler istemciler veya aracı sistemler aracılığıyla kolaylıkla erişilebilir hale gelir. Dolayısıyla, hangi bilginin yükte bulunması gerektiğini belirlemek kritik bir öneme sahiptir.

Görünebilir Veri ile Gizli Veri Arasındaki Fark

Token yapılarında tüm bilgiler eşit derecede risk taşımaz. Kullanıcı rolleri, oturum süreleri gibi bazı veriler daha düşük bir risk profiline sahipken, sessiz bir şekilde aktarılması gereken kimlik numarası gibi veriler daha yüksek bir risk taşır. İstemci tarafında rahatlıkla erişilebilen veya çözülebilen içeriklerde gizlilik gerektiren verilerin bulunmaması gerektiği belirleyici bir noktadır.

JWT Payload İçeriğini İncelemek

JWT'lerin payload'u, birçok durumda incelemek için kullanılan alandır. Eğer bir token terminal çıktısında mevcutsa, payload bölümünü ayırarak Base64 üzerinden çözmek için aşağıdaki komut kullanılabilir:

cut -d . -f2 token.txt | base64 -d

Bu işlem, yanlışlıkla token içinde taşınan gizli verilerin tespit edilmesine yardımcı olur. Geliştiricilerin bu tür verileri istemci tarafında taşımaktan kaçınmaları gerektiği konusunu vurgulamak önemlidir.

İmza Bölümünün Gerçek Görevi

JWT içindeki imza bölümü, asıl hedefi verinin değiştirilmediğini doğrulamaktır. Bu bölüm, token'ın gizliliğini sağlayamaz; sadece bütünlüğünü kontrol eder. Eğer bu fark anlaşılmazsa, geliştirici imzalı veriyi yanlışlıkla şifreli veri zannederek büyük bir güvenlik açığı yaratabilir.

Token Tasarımında Sık Görülen Güvenlik Hataları

Token, Session ve JWT yapılarında sıkça yapılan temel hatalardan biri; istemci tarafında gösterilmesi gereken alanlara gereğinden fazla bilgi koymaktır. Ayrıca, taşıma amacıyla kullanılan session ID'lerin güvensiz bir şekilde taşınması ya da çok uzun ömürlü token kullanımı gibi durumlar ayrıca güvenlik riskleri oluşturur. Hassas claim değerlerinin açık bir şekilde iletilmesi, siber saldırganların bu bilgilere ulaşmasını kolaylaştırır. Bu nedenle, veri gizliliği ve taşıma amacı arasındaki net farkı anlayarak tasarım yapmak kritik önem taşımaktadır.

Sonuç

Token, session ve JWT yapılarını kullanırken dikkat edilmesi gereken kritik noktalar bulunmaktadır. Her bir bölümde taşınan verilerin gizliliği ve güvenliği ihmal edilmemelidir. Yanlış yapılandırmalar ve zayıf tasarımlar, veri sızıntılarına ve oturum ele geçirmelere yol açabilir. Dolayısıyla, geliştiricilerin bu yapıların dinamiklerini iyi anlaması ve buna göre uygun güvenlik önlemlerini almaları büyük önem taşımaktadır. Uygulamalar geliştirilirken yazılımın bütün noktalarında güvenlik sağlamanın yanı sıra, ardında yatan teknik anlayışla bir bütünlük oluşturmak, siber tehditlerin önlenmesine katkı sunacaktır.