CyberFlow Logo CyberFlow BLOG
Owasp Insecure Design

Yetkilendirme Tasarımında Yapılan Temel Hatalar: Siber Güvenlikteki Tuzaklar

✍️ Ahmet BİRKAN 📂 Owasp Insecure Design

Bu yazıda, yetkilendirme tasarımında sık yapılan hataları ve bunların siber güvenlik üzerindeki etkilerini ele alıyoruz.

Yetkilendirme Tasarımında Yapılan Temel Hatalar: Siber Güvenlikteki Tuzaklar

Yetkilendirme tasarımındaki temel hatalar, siber güvenlik için büyük tehditler oluşturabilir. Bu yazıda, bu hataları ve bunlardan nasıl kaçınılacağına dair bilgiler bulacaksınız.

Giriş ve Konumlandırma

Siber güvenlik alanında yetkilendirme, bir kullanıcının belirli kaynaklara erişim izni olup olmadığını belirleyen kritik bir süreçtir. Ancak, çoğu zaman tasarım aşamasında yapılan hatalar, bu sürecin sağlıklı işlemesini engelleyerek ciddi güvenlik açıklarına yol açabilir. Bu blog yazısında, yetkilendirme tasarımı sırasında sıkça karşılaşılan temel hataları ele alarak, okuyucuları bu tuzaklar konusunda bilinçlendirmeyi amaçlıyoruz.

Yetkilendirme Tasarımının Önemi

Yetkilendirme tasarımı, siber güvenlik stratejilerinin temel bileşenlerinden biridir. Bir sistemin güvenliği, yalnızca bir kullanıcının kimliğini doğrulamaktan ibaret değildir; aynı zamanda bu kullanıcının hangi kaynaklara erişime sahip olduğu da büyük bir öneme sahiptir. Güvenli bir sistemde, her hassas işlem için “Kim bu kaynağa erişebilir?”, “Hangi rol hangi veriyi görebilir?”, “Hangi sınırlar altında işlem yapabilir?” gibi soruların açık bir şekilde tanımlanması gerektiğini unutmamak gerekir. Aksi takdirde, kullanıcıların yetki aşımına uğraması gibi kritik güvenlik ihlalleri gerçekleşebilir.

Pentest ve Savunma Açısından Bağlam

Siber güvenlik testleri (pentest) ve sistem savunması açısından yetkilendirme, sistemin ne derece güvende olduğunu anlamak için kritik bir test alanıdır. Güvenlik uzmanları, bu testler sırasında genellikle kullanıcı kimlik doğrulama ve yetkilendirme mekanizmalarını hedef alır. Eğer yetkilendirme sürecinde bir zafiyet mevcutsa, bu durum siber saldırganların hedef sistemlere erişim elde etmesine yol açabilir. Örnek olarak, aşağıdaki gibi basit bir senaryo düşünelim:

curl http://target.local/admin/user?id=42

Yukarıdaki komut, bir kullanıcının yönetici hesabı üzerinden başka bir kullanıcının bilgilerine ulaşmaya çalıştığını gösteriyor. Eğer sistemde uygun yetkilendirme mekanizmaları yoksa, bu durum ciddi bir güvenlik açığına neden olabilir.

Okuyucuyu Teknik İçeriğe Hazırlama

Yetkilendirme tasarımındaki temel hataların anlaşılması, bu tür açıkların nasıl ortaya çıktığını anlamamız açısından büyük bir önem taşımaktadır. Bu yazıda ele alacağımız konular arasında; hassas kaynakların erişim akışları, kimlik doğrulama ile yetkilendirme arasındaki farklar, yatay ve dikey yetki hataları gibi kavramlar yer alır. Bu terimlerin açıklanması, okuyucuların yetkilendirme tasarımındaki zayıflıkları daha iyi kavramasına yardımcı olacaktır.

Temel Hatalar ve Sonuçları

Yetkilendirme tasarımındaki hataların çoğu, aynı zincir içerisinde ortaya çıkar. Öncelikle, hassas bir kaynağın varlığı kabul edilmelidir. Ardından bu kaynağa kimlerin erişeceği eksik ya da yanlış tanımlanır ve son olarak sunucu tarafında yeterli kontrol mekanizmaları uygulanmadığında, kullanıcı yetkisini aşan işlemler gerçekleştirebilir. Bu zinciri örneklerle açıklamak gerekirse:

  • Yatay Yetki Problemi: Kullanıcının yalnızca kendi verisini görmesi gerekirken, başka bir kullanıcının verisine müdahale etmesiyle sonuçlanır. Bu tipe en yaygın örnek, kullanıcıların id parametresini değiştirerek başka kullanıcıların bilgilerine erişebilmesidir.

  • Dikey Yetki Problemi: Normal bir kullanıcının yönetimsel fonksiyonlara erişimini sağlar ki bu durum oldukça tehlikeli bir açığı ifade eder.

Açık bir yetkilendirme tasarımı, güvenli bir sistemin inşasında vazgeçilmez bir unsurdur. Bu nedenle, bu konudaki eksikliklerin farkında olmak ve gerekli önlemleri almak, siber güvenlik danışmanları ve sistem geliştiricileri için elzemdir.

Sonuç olarak, yetkilendirme tasarımında kaçınılması gereken temel hataların detaylarına inmek, güvenli bir siber ortam oluşturulması açısından kritik bir adım olacaktır. Gelecek bölümlerde bu hataların hangi şekillerde ortaya çıktığına, hangi tür zafiyetlere yol açtığına ve bunlardan nasıl kaçınabileceğimize değineceğiz.

Teknik Analiz ve Uygulama

Hassas Kaynağa Erişim Akışını Tanımak

Yetkilendirme tasarımında en kritik adımlardan biri, hassas kaynaklara erişim akışının net bir şekilde tanımlanmasıdır. Burada "hassas kaynaklar", korunması gereken kullanıcı verileri, yönetim işlevleri veya işlem kayıtları gibi erişim sınırı gerektiren alanlar anlamına gelmektedir. Bu tür kaynakların nasıl erişileceği, kullanıcıların rollerine ve yetkilerine bağlı olarak açıkça belirlenmelidir.

Bu aşamada, sistemdeki her hassas işlem için soruların yanıtlarını net bir şekilde bulmalıyız: "Kim bu kaynağa erişebilir?", "Hangi rol, hangi veriyi görebilir?" ve "Hangi sınırlar altında işlem yapabilir?" Örneğin, bir kullanıcı yönetim paneline erişim sağlarken, bu kullanıcının rolüne göre erişim izinlerinin doğrulanması gereklidir.

Örnek Senaryo

Diyelim ki bir kullanıcı, yönetim panelindeki kullanıcıları görüntülemek istemektedir. Bu durumda, rol tabanlı erişim kontrolü (RBAC) mekanizması uygulanmalıdır.

curl http://target.local/admin/user?id=42

Bu komut, kullanıcı ID'si 42 olan bir yönetici kullanıcıyı sorgulamak için kullanılabilir. Ancak kullanıcı, bu kaynağa erişim iznine sahip değilse, sistem tarafından erişim engellenmelidir.

Kimlik Doğrulama ile Yetkilendirme Arasındaki Farkı Tanımak

Bir kullanıcı sistemde oturum açtığında, bu durum kimlik doğrulamanın başarılı olduğunu gösterir; fakat bu, kullanıcının her kaynağa erişebileceği anlamına gelmez. Kimlik doğrulama, kullanıcının kim olduğunu belirlerken, yetkilendirme, kullanıcının ne yapabileceğini belirler. Bu ayrım, güvenli bir sistem tasarımı için kritik öneme sahiptir.

Örnek: Kullanıcı "alice" sisteme giriş yaptı, ancak "admin" rolüne sahip değilse, yönetici kaynaklarına erişim sağlamaması gerekir. Bu nedenle, yetkilendirme kontrollerinin doğru bir şekilde devreye girmesi kaçınılmazdır.

Yetkilendirme Açıklarının Farklı Türlerini Ayırmak

Yetkilendirme tasarımında yapılan hataların çeşitli biçimleri olabilir. Bu açıdan genel olarak üç ana kategori belirlenebilir:

  1. Yatay Yetki Hatası: Kullanıcının yalnızca kendi hesabını görmesi gerekirken, başka bir kullanıcıya ait kaynaklara erişimi söz konusu olmaktadır.
  2. Dikey Yetki Hatası: Normal kullanıcı, yönetici fonksiyonlarına erişebilmektedir. Bu durumda, sistemdeki yetkiler doğru bir şekilde tanımlanmamış demektir.
  3. İstemciye Güvenme Hatası: Rol bilgisi veya yetki, sunucu tarafında yeniden doğrulanmadan istemciden geldiği şekliyle kabul edilmektedir.

Bu tür hataların belirlenmesi, güvenli tasarım açısından son derece önemlidir.

Yatay Yetki Problemlerinin Nasıl Ortaya Çıkabildiğini Görmek

Yatay yetki hatası, kullanıcıların yalnızca kendilerine ait verilere ulaşmaları gereken durumlarda, başka kullanıcıların verilerine ulaşabilmelerine olanak tanır. Genellikle, bu durum id parametresinin değiştirilmesiyle tespit edilebilir. Eğer sunucu tarafında, kaynağın sahibini doğrulama mekanizması yoksa, bu tür bir hata oluşabilir.

Örnek İstek

Başka bir kullanıcı hesabına erişmeye çalışan bir kullanıcının isteğini oluşturmak için:

curl http://target.local/account?id=43

Bu istekte, kullanıcının yetkisi olmadan başka bir kullanıcının bilgilerine ulaşma çabası söz konusudur.

Yetkilendirme Kurallarının Neye Göre Tanımlandığını Anlamak

Yetkilendirme tasarımında sık karşılaşılan hatalardan biri, erişim kurallarının açık bir şekilde tanımlanmamasıdır. Hangi işlem için hangi kullanıcı sınıfının yetkilendirmeye sahip olduğu kesin olarak belirtilmelidir. Örneğin, bir kullanıcı hesabının yalnızca kendi verilerine erişebilmesi için gerekli kurallar net bir şekilde ortaya konulmalıdır.

Kullanıcı yetkilendirme yapılarının ve erişim kurallarının açık şekilde tanımlanması, sistem güvenliği için büyük önem taşır.

Yetki Açığının Nasıl Tasarım Problemine Dönüştüğünü Parçalamak

Yetki açığının ortaya çıkması genellikle bir zincir oluşturarak gerçekleşir. Öncelikle, hassas bir kaynak vardır. Sonrasında, bu kaynağa kimlerin erişebileceği yetersiz veya yanlış şekilde tanımlanır. Son adımda ise sunucu tarafında gerekli kontroller yapılmadığında, sonuç olarak kullanıcı yetkisini aşan işlemler gerçekleştirebilir.

Bu zinciri anlamak, güvenli bir yetkilendirme tasarımının neden rol ve kaynak ilişkisini baştan sona net bir şekilde kurması gerektiğini ortaya koyar. Kısa bir örnekle açıklamak gerekirse:

  1. Hassas kaynak tanımlandı.
  2. Erişim durumları net bir şekilde belirlenmedi.
  3. Kontrol yeterince uygulanmadı.
  4. Sonuç olarak, kullanıcı yetkilerini aştı.

Bu aşamalar, güvenli bir tasarımın başlangıç noktası olmalıdır.

Risk, Yorumlama ve Savunma

Siber güvenliğin temel bileşenlerinden biri olan yetkilendirme, yalnızca kullanıcının kim olduğunu doğrulamakla kalmayıp, aynı zamanda bu kullanıcının sistemde hangi kaynaklara ve işlemlere erişiminin olacağını da belirler. Bu süreçte yapılan hatalar, ciddi güvenlik riskleri yaratabilir. Yetkilendirme tasarımı aşamasında bilinçli bir şekilde yapılan hataları anlamak, sistem güvenliğini artırmak için kritik bir adımdır.

Hassas Kaynağa Erişim Akışını Tanımak

Hassas kaynakların korunması, siber güvenlik stratejisinin en önemli parçalarından biridir. Herhangi bir sistemde, özellikle kullanıcı verileri, yönetimsel işlevler veya işlem kayıtları gibi hassas alanlara erişim akışını tanımlamak gereklidir. Örneğin, bir uygulamada $\texttt{user_data}$ adlı bir kaynak mevcutsa, bu kaynağa kimlerin erişebileceği, hangi rol ve yetki sınırları altında işlem yapabileceği kesin olarak tanımlanmalıdır. Aksi halde, eksik tanımlar, sıfırdan bir yetki aşımına yol açabilir.

# Örnek yetkilendirme kontrolü
if ($user->role == 'admin') {
    // Admin yetkileri ile kaynak kullanımı
}

Kimlik Doğrulama ile Yetkilendirme Arasındaki Fark

Kimlik doğrulama ve yetkilendirme arasındaki farkın net bir şekilde anlaşılması, güvenlik açısından kritik bir önem taşır. Kullanıcının kim olduğunun doğrulanması (kimlik doğrulama) işlemi ile bu kullanıcının sisteme erişim yetkisi (yetkilendirme) arasında belirgin bir ayrım olmalıdır. Örneğin, bir kullanıcı sisteme erişebiliyorsa, bu onun her kaynağa erişebileceği anlamına gelmez. Kullanıcıların rol bilgileri doğrulanmadan bu tür bir erişim sağlanırsa, güvenlik açıkları gündeme gelir.

Yetkilendirme Açıklarının Farklı Türlerini Ayırmak

Yetkilendirme tasarımında yapılan hatalar, genelde üç ana kategoride toplanabilir: yatay yetki hatası, dikey yetki hatası ve istemciye güvenme hatası.

  1. Yatay Yetki Hatası: Kullanıcının yalnızca kendi kaynağını görmesi gerekirken başka bir kullanıcıya ait kaynağa erişmesi.
  2. Dikey Yetki Hatası: Normal kullanıcıların yönetici işlemlerine erişebilmesi.
  3. İstemciye Güvenme Hatası: İstemciden gelen rol veya bilgi doğrulama eksikliği.

Bu tür hatalar, doğru yetkilendirme kurallarının tanımlanmaması ile genellikle ortaya çıkar.

Yatay Yetki Problemlerinin Nasıl Ortaya Çıkabildiğini Görmek

Yatay yetki problemi, kullanıcıların sadece kendi verilerini görmesi gerekirken, başka kullanıcılara ait verilere erişebilmesi ile kendini gösterir. Örneğin, kullanıcı giriş yaptıktan sonra, yalnızca kendi verisine erişebilmesi gerekirken, ID parametresinin değişimiyle başka bir kullanıcının verisine ulaşabilmesi durumu sıkça görülür. Bu tür durumlar, sunucu tarafında uygun doğrulamaların yapılmadığını gösterir.

# Bu tür bir id parametre değişikliği, sızıntıya yol açar
curl http://target.local/account?id=43

Yetkilendirme Kurallarının Neye Göre Tanımlandığını Anlamak

Yetkilendirme kurallarının açık bir biçimde tanımlanmaması en yaygın hatalardan biridir. Bu nedenle hangi işlemin hangi kullanıcı sınıfı tarafından yapılacağına dair net cevaplar bulundurulmalıdır. Erişim kurallarının eksik ya da belirsiz kalması, yetki aşımına ve sistemin güvenliğinin riske atılmasına sebep olabilir.

Yetki Açığının Nasıl Tasarım Problemine Dönüştüğünü Parçalamak

Yetki problemi genellikle bir zincir şeklinde ilerler. İlk olarak hassas bir kaynak tanımlanır, ardından bu kaynağa kimlerin erişebileceği eksik veya yanlış bir şekilde belirlenir. Son olarak, sunucu tarafında güvenilir kontrol mekanizmaları yeterince iyi uygulanmadığında, kullanıcı yetkilerini aşan işlemler gerçekleştirebilir. Bu zincirin her bir halkasında, tasarımda yapılacak basit değişiklikler ile sistemin güvenliği artırılabilir.

Sonuç Özeti

Yetkilendirme tasarımında yapılan temel hataların anlaşılıp giderilmesi, siber güvenlik pratiğinde büyük bir öneme sahiptir. Kimlik doğrulama ve yetkilendirme arasındaki farkın net bir şekilde belirlenmesi, yukarıda belirtilen yetki türleri ile ilgili anlayışların pekiştirilmesi, güvenli bir uygulama geliştirme sürecinin olmazsa olmazlarıdır. Yapılan risk değerlendirmeleri ve tanımlamalar ile sistemin siber saldırılara karşı dayanıklılığı artırılabilir. Unutulmamalıdır ki, güvenli bir sistemin inşası yalnızca teknik önlemlerle değil, aynı zamanda tasarım aşamasında yapılan doğru değerlendirmelerle mümkündür.