Bozuk kimlik doğrulama, oturum yönetimi ve kimlik bilgisi yönetimi alanlarındaki zafiyetleri ifade eder. Her ikisi de bozuk kimlik doğrulama olarak sınıflandırılır, çünkü saldırganlar bir kullanıcı gibi görünmek için her iki yolu da kullanabilir.

Bu tür zafiyetler saldırganın bir web uygulaması tarafından kullanılan kimlik doğrulama yöntemlerini, yakalamasına veya atlamasına olanak sağlayabilir.

Oturum yönetimi

Bir web oturumu, belirli bir süre içinde aynı kullanıcıyla ilişkili bir dizi ağ işlemidir. Modern web uygulamaları, birden çok istek süresi boyunca her kullanıcı hakkında bilgi veya durumun saklanmasını gerektirir. Bu nedenle oturumlar, bir kullanıcının oturum süresi boyunca web uygulamasıyla yaptığı her etkileşim için geçerli olacak değişkenler (erişim hakları gibi) oluşturma yeteneği sağlar.

Web uygulamaları, her kullanıcıya her ziyaret için benzersiz bir oturum kimliği verir, web uygulamasının sitede gezinirken kullanıcıyla iletişim kurmasını sağlar. Bu oturum kimlikleri genellikle çerez bilgileri ve URL parametreleri içerisinde yer alır.

Bozuk Kimlik Doğrulama Saldırıları

Oturum çalma (Session Hijacking)

Saldırganlar kullanıcıların kimliklerini taklit etmek için, çalınan oturum kimliklerini kullanır. Oturum çalma tekniğinin en basit örneği, bir kullanıcının web uygulamasındaki oturum çerezini elde etmesiyle yetkisiz erişim elde edebilir.

Oturum Kimliği URL’sini Yeniden Yazma

Bu senaryoda, bir kişinin oturum kimliği bir web sitesinin URL’sinde görünür. Bunu herkes görebilir (örneğin, güvenli olmayan bir Wi-Fi bağlantısı sniffing yöntemleri aracılığıyla) oturumu çalınabilir.

Oturum Fiksasyonu (Session Fixation)

Oturum Sabitleme, bir saldırganın geçerli bir kullanıcı oturumunu ele geçirmesine izin veren bir saldırıdır. Oturum sabitleme saldırısının ana fikri, saldırgan web sunucusunda oturum açar. Sunucu saldırgana bir oturum IDsi tanımlar. Bu ID ile saldırganın kurbana bir link göndermesi gerek kurbanın gelen bu bağlantıyı tıklaması ve sunucusuyla iletişim kurması gerekir. Sunucu oturum işleminin önceden kurulduğunu anlar. Dolayısıyla yeni bir oturum kimliği oluşturma gereksinimi duymaz. Böylece saldırgan kurban kullanıcının oturumunu elde etmiş olacaktır.

Kimlik Bilgileri Doldurma (Credential Stuffing)

Saldırganlar şifrelenmemiş e-postalar ve parolalarla dolu bir veri tabanına eriştiğinde, genellikle diğer saldırganların kullanması için listeyi satar. Bu saldırganlar daha sonra, bir siteden çalınan kimlik bilgilerini farklı hesaplarda test eden kaba kuvvet saldırıları için botnet’leri kullanır. Bu taktik genellikle işe yarar çünkü insanlar uygulamalar arasında sıklıkla aynı parolayı kullanır. Şu anda saldırganların kullanabileceği milyarlarca güvenliği ihlal edilmiş kimlik bilgisi bulunmaktadır.

Şifre Püskürtme (Password Spraying)

Araştırmalara göre 23,2 milyon kullanıcının hesap şifreleri “123456” kullanılmakta olduğu tespit edilmiştir.

Parola püskürtme saldırıları da buradan yola çıkarak, sıklıkla kullanılan zayıf parolalar ile çok sayıda hesaba şifre tahmini yoluyla yetkisiz erişimler sağlama saldırılarıdır.

Kimlik Oltalama Saldırıları

Saldırganlar genellikle kullanıcılara güvenilir bir kaynaktan geliyormuş gibi görünen bir e-posta göndererek ve ardından kullanıcıları kimlik bilgilerini veya diğer ilgili bilgileri paylaşmaları için kandırarak kimlik bilgileri çalar.

Başarılı veri ihlallerinin %35’i 2019’da oltalama saldırısıyla başladı. Saldırganların hedefi kimlik avı yoluyla kurbanlarını cezbetmek için farklı mekanizmaları kullanmaktadır.

Bozuk Kimlik Doğrulama nasıl önlenir?

  • Çok faktörlü kimlik doğrulama uygulayın, otomatikleştirilmiş, kimlik bilgisi doldurma, kaba kuvvet ve çalıntı kimlik bilgilerinin yeniden kullanım saldırılarını önlemek için.
  • Özellikle yönetici kullanıcılar için herhangi bir varsayılan kimlik bilgisi ile uygulamayın.
  • En kötü 10.000 şifre listesine göre yeni veya değiştirilmiş şifreleri test edin ve zayıf şifre kontrolleri uygulayın.
  • Parola uzunluğu ve karmaşıklığı gibi ilkeler parola ilkeleri uygulayın.
  • Yeni oturum açtıktan sonra yüksek entropi ile yeni bir rastgele oturum kimliği oluşturan sunucu tarafında, güvenli, yerleşik bir oturum yöneticisi kullanın. Oturum kimlikleri URL’de olmamalı, güvenli bir şekilde saklanmalı ve oturum kapatma, boşta kalma ve mutlak zaman aşımlarından sonra geçersiz kılınmalıdır.
  • Başarısız oturum açma girişimlerini sınırlayın veya giderek geciktirin. Tüm hataları Loglara kaydedin ve kimlik bilgisi doldurma(stuffing), kaba kuvvet veya diğer saldırılar algılandığında yöneticileri uyarın.

Kaynakça:
owasp.org
cheatsheetseries.owasp.org
scanrepeat.com
contrastsecurity.com
owasp.org
auth0.com
hdivsecurity.com/

KVKK, ISO 27001, Bilgi ve İletişim Güvenliği Rehberi, ISO 27701, Bilgi Güvenliği, Siber Güvenlik ve Bilgi Teknolojileri konularında destek ve teklif almak için lütfen

< Önceki Sonraki >