Anasayfa
Bilgi açığa çıkarma bölümü, bir web sitesinin sisteme özel bilgilerinin elde edilmesi için düzenlenen saldırıları kapsar. Sisteme özel bilgiler, yazılım dağıtımı, versiyon numaraları, ve yama seviyelerini içerir. Veya bu bilgi yedek ve geçici dosyaların yeri de olabilir. Çoğu durumda, kullanıcı gereklerini karşılamak için bu bilgiyi açığa çıkarmak gerekli değildir. Birçok web sitesi bir kısım veriyi gösterecektir, fakat mümkün olduğu durumlarda, gösterilen bu verinin boyutunu azaltmak en iyisi olacaktır. Saldırgan web sitesi hakkında ne kadar çok bilgi sahibi olursa, siteyi ele geçirmesi de o kadar kolay olur.
Dizin İndeksleme
Otomatik dizin listeleme/indeksleme, sitede esas dosya yoksa (index.html/home.html/default.htm), bir web sitesinin, talep edilen dizinin içerisindeki bütün dosyaları listelemesi şeklindeki gerçekleşen bir fonksiyonudur. Bir kullanıcı bir web sitesinin ana sayfasını talep ettiğinde, normalde URL kısmına şunları yazar: http://www.example.com – sadece etki alanı ismini kullanarak ve özel olarak dosya belirtmeyerek. Web sunucusu bu isteği değerlendirir ve dökümanın bulunduğu kök dizininde varsayılan dosyayı arar ve bu dosyayı kullanıcıya gönderir. Eğer bu dosya bulunamazsa, web sunucusu bir dizin listelemesi yapar ve sonuçları istemciye gönderir.
Aslında, bu “ls” (Unix) veya “dir” (Windows) komutunun bu dizinde çalıştırılmasıyla eşdeğerdir ve sonuçları HTML biçiminde gösterir. Saldırı ve karşı tedbir gözüyle bakarsak, istenmeyen dizin listelemelerinin yazılım açıkları ile birleşen özel bir web talebi sonucunda ortaya çıkabileceğini anlamak önemlidir. (aşağıda, örnek bölümünde incelenecek.)
Web sunucusu dizin içeriğini gösterdiğinde, bu liste genele açık olmayan bilgiler de içerebilir. Çoğu zaman web yöneticileri “gizlilik üzerinden güvenlik” ilkesine uyarlar ve eğer dökümanlara ulaşan bağlar yoksa bulunamayacağını ve kimsenin bu dökümanları okuyamayacağını varsayarlar. Bu varsayım yanlıştır. Günümüzün açıklık tarayıcıları, örneğin Nikto, ilk incelemelerinin sonuçlarına göre yaptıkları taramalara dinamik olarak fazladan dizinler/dosyalar ekleyebilir. /robots.txt dosyasını tekrar inceleyerek ve/veya dizin indeksleme içeriğini inceleyerek, açıklık tarayıcı web sunucusunu bu yeni verilerle sorgulayabilir. Potansiyel olarak zararsıza olsa da, dizin indeksleme veri kaçağına ve böylece saldırgana, sisteme yapacağı sonraki saldırılarında gerekli olacak olan bilgilerin sağlanmasına sebep olabilir.
Örnek
Takip eden bilgiler dizin indeksleme sayesinde elde edilebilir:
Yedek Dosyalar - .bak, .old veya .orig uzantılı dosyalar.
Geçici Dosyalar – bu dosyaların normalde sunucu tarafından yok edilmesi gerekir fakat bazı sebeplerden dolayı hala erişilebilir durumdalar.
Gizli Dosyalar – “.” İle başlayan dosya isimleri
İsimlendirme kabulleri – saldırgan, web sitesinin kullandığı dizin veya dosya isimleri kompozisyonunu tanımlayabilir. Örnek: Admin vs. Admin, backup vs. back-up, vb.
Kullanıcı Hesaplarını Tarama – bir web sunucusundaki kişisel kullanıcı hesabının sahip olduğu dizin, çoğu zaman kullanıcının adı ile adlandırılır.
Konfigürasyon Dosyası İçeriği – bu dosyalar giriş kontrolu verilerini içerebilir ve uzantıları genellikle .conf, .cfg veya .config’dir.
Betik İçeriği – Birçok web sunucusu betiklerin bir yer belirtilerek(örn. /cgi-bin) veya sunucuyu konfigüre ederek dosya izinlerine bağlı olarak çalıştırılmasına izin verir (örn. *nix sistemlerdeki execute biti ve Apache’nin XbitHack direktifini kullanması). Bu seçeneklere göre, eğer cgi-bin klasöründe dizin indekslemesine izin veriliyorsa, izin olmadığı halde bu klasördeki betik kodları indirilebilir, izlenebilir.
Bir saldırganın istenmeyen bir dizinin listesini elde edebilmesi için 3 değişik senaryo vardır:
Web sunucusu hatalı bir şekilde dizin indkslenmesine izin verir şekilde konfigüre edilmiştir. Karışıklık, web yöneticisinin konfigürasyon dosyasındaki indeksleme direktiflerini ayarlarken ortaya çıkabilir. Bu kadar karmaşık bir sistemin ayarlarının yapılması sırasında istenmeyen sonuçların ortaya çıkması mümkündür, mesela özel bir alt dizine indeksleme hakkı verilirken sunucunun kalan kısmında bu hak kaldırılabilir. Saldırgan gözüyle HTTP isteği az önce yukarıda belirtilen (sadece etki alanı ile) şekilde yapılır. Bir dizin istenir ve istenen sonucun alınıp alınmadığına bakılır. Saldırganlar web sunucusunun “neden” bu şekilde konfiüre edildiği ile ilgilenmezler.
Web sunucusunun bazı parçaları kapalı olduğu halde ve indeks dosyası bulunduğu halde dizin indekslemeye izin verir. Bu, dizin indeksleme için geçerli olan tek sömürü örneği senaryosudur. Birçok web sunucusunda tanımlanan sayısız açıklık bulunmaktadır ve eğer özel HTTP talepleri gönderilirse dizin indeksi ile sonuçlanabilir.
Google’ın önbellek veritabanı bir web sitesinin eski taranmasından kalma, dizin indeksi de içerebilen tarihi veriler bulundurabilir.
Kaynak
Directory Indexing Vulnerability Alerts
http://www.securityfocus.com/bid/1063
http://www.securityfocus.com/bid/6721
http://www.securityfocus.com/bid/8898
Nessus “Remote File Access” Plugin Web page
http://cgi.nessus.org/plugins/dump.p...ile %20access
Web Site Indexer Tools
http://www.download-freeware-sharewa....php?Theme=112
Intrustion Prevention for Web
http://www.modsecurity.org
Search Engines as a Security Threat
http://it.korea.ac.kr/class/2002/sof...y%20Threat.pdf
The Google Hacker’s Guide
http://johnny.ihackstuff.com/securit...ide_v1.0. pdf
Bilgi Sızıntısı
Bir web sitesi hassas verileri ifşa ettiğinde, geliştirici yorumları veya hata mesajları gibi, bu veriler bir saldırganın sistemi sömürmesine yardımcı olabilir. Hassas veri, HTML yorumlarında, hata mesajlarında, kaynak HTML kodunda veya basitçe açık bir düzyazı alanında bulunabilir. Bir web sitesini bu türlü verileri ifşa ettirmeye yarayan birçok yol bulunur. Bu türlü sızıntılar, her zaman doğrudan bir güvenlik açığı olmadığı halde, saldırgana ileriki saldırılarında yararlı bir rehber olabilir. Hassas veri sızıntısı değişik seviyerlerde risk taşıdığından mümkün olduğu kadar önlenmelidir.
Bilgi kaçağının ilk durumunda (HTML kodunda bırakılan yorumlar, hata mesajlarının açık edilmesi), açık; saldırgana dizin yapısı, SQL sorgu yapısı ve web sitesinin kullandığı anahtar işlemler hakkında yapısal bilgi verir. Çoğu zaman geliştirici HTML içerisine yorum veya hata ayıklama ve entegrasyon amaçlı betik kodu bırakır. Bu bilgi betiğin nasıl çalıştığını belirten yorumdan, en kötü durumda, geliştirmenin test aşmasında kullanılan kullanıcı adları ve parolalar olabilir.
Bilgi sızıntısı, gizli zannedilen veriler için de, web sitesi tarafından düzgün bir biçimde korunmadığında geçerlidir. Bu veri, hesap numaraları, kullanıcı tanımlayıcıları (ehliyet numarası, pasaport numarası, kimlik numarası, vb.) ve kullanıcıya özel veri (hesap bakiyesi, adres ve işlem geçmişi, vb.) içerebilir. Yetersiz kimlik doğrulama, yetersiz yetkilendirme ve güvenli iletim şifrelenmesi de veriyi koruyan ve veriye erişimde düzgün kontrolü sağlayan mekanizmalardır. Birçok saldırı, müşteri saldırıları, sıradan gözlemciler, gibi, web sitesinin korunması kapsamının dışında kalır. Bilgi sızıntısı, bu bağlamda, açık bir şekilde kullanıcıya bile gösterilmemesi gereken, gizli ve anahtar kullanıcı verilerinin ifşa edilmesiyle ilgilenir. Kredi kartı numaraları, düzgün şifreleme ve giriş kontrolü yapılsa bile bu tür ifşalardan korunması gereken kullanıcı verilerinde önemli bir örnektir.
Örnek
Bilgi sızıntısı 3 ana kategoride incelenebilir: HTML kodunda bırakılan yorumlar, hata mesajlarının ifşası, açık bir şekilde görünebilen gizli veriler.
HTML kodunda bırakılan yorumlar:
height="59" width="591">
Burada gördügümüz gibi, geliştirici/kalite kontrol personelinden birisi resim dosyalarının görüntülenememesi halinde neler yapılması gerektiğini belirten yorum bırakmıştır. Güvenlik açığı ise, yorumun içerisinde açık bir şekilde geçen sunucu ismidir, “VADER”.
Hata mesajlarının açık edilmesine örnek, geçersiz sorgulara verilen cevaplar olabilir. Çok bilinen bir örnek, SQL sorgularıyla ilişkilendirilmiş hata mesajlarıdır. SQL enjeksiyonu saldırıları, saldırganın, sitedeki SQL sorgularının oluşturulmasının yapısı ve biçimi hakkında ön-bilgi sahibi olmasını gerektirir. Açık edilen hata mesajlarındaki bilgi, saldırgana, arkadaki veritabanında geçerli SQL sorgularının nasıl oluşturulduğu hakkında önemli bilgi sağlar.
Takip eden bilgi bir giriş formundaki kullanıcı adı kısmına tek tırnak işareti konduğunda sunucu tarafından döndürülmüştür.
Açık hata mesajı:
An Error Has Occurred.
Error Message:
System.Data.OleDb.OleDbExcepti on: Syntax error (missing operator) in query expression 'username = ''' and password = 'g''. at
System.Data.OleDb.OleDbCommand .ExecuteCommandTextErrorHandli ng (
Int32 hr) at System.Data.OleDb.OleDbCommand .ExecuteCommandTextForSingleRe sult
( tagDBPARAMS dbParams, Object& executeResult) at…
İlk hata cümlesinde sözdizimi hatası rapor edilmiş. Hata mesajı SQL sorgusunda kullanılan sorgu parametrelerini açık etmektedir: username ve password. Bu ifşa edilen bilgi saldırganın siteye yapacağı SQL enjeksiyonu saldırılarına başlaması için gereken tek eksik parçadır.
Kaynaklar
“Best practices with custom error pages in .Net”, Microsoft Support
http://support.microsoft.com/default...b;en-us;834452
“Creating Custom ASP Error Pages”, Microsoft Support
http://support.microsoft.com/default...b;en-us;224070
“Apache Custom Error Pages”, Code Style
http://www.codestyle.org/sitemanager...s-Custom.shtml
“Customizing the Look of Error Messages in JSP”, DrewFalkman.com
http://www.drewfalkman.com/resources...ErrorPages.cfm
ColdFusion Custom Error Pages
http://livedocs.macromedia.com/coldf...ML/Errors6.htm
Obfuscators :
JAVA
http://www.cs.auckland.ac.nz/~cthomb...i/hongying.pdf
Yol Takibi
Yol takibi saldırı tekniği web dökümanları kök dizininin dışında kalan dosyalara, dizinlere veya komutlara erişimi sağlar. Bir saldırgan URL’i öyle bir şekilde düzenleyebilir ki, web sitesi web sunucusu üzerindeki rastgele dosyaları çalıştırır veya görüntüler. HTTP-tabanlı arayüze sahip her makina potansiyel olarak “Yol Takibi”’ne açıktır.
Birçok web sitesi, dosya sisteminin sadece bir kısmına, genellikle “web dökümanı kök dizini” veya “CGI kök dizini” kısmını kullanıcı erişimine açar. Bu dizinler, kullanıcı erişimine açık dosyaları ve web uygulamasını çalıştırabilmek için gereken yürütülebilir dosyaları içerir. Dosya sistemindeki herhangi bir dosyaya ulaşabilmek veya komutu çalıştırabilmek için “Yol Takibi” saldırıları özel karakter dizilerini kullanır.
En genel “Yol Takibi” saldırısı, URL’de istenen kaynağın yerini değiştirmek için “../” özel karakterlerini kullanır. Birçok popüler web sunucusu web dökümanı kök dizininden çıkışı engellese de, “../” karakterlerinin değişik kodlanması, güvenlik filtrelerini aşabilir. Bu metot şekilleri arasında, eğik çizgi karakterinin geçerli veya geçersiz Unicode kodlanması (“..%u2216” veya “..%c0%af”), Windows tabanlı sistemlerdeki ters eğik çizgi karakterinin kullanılması (“..\”), URL kodlanmış karakterler (“%2e%2e%2f”), ve ters eğik çizgi karakterinin iki kez URL kodlanması (“..%255c”) bulunur.
Web sunucusu, URL üzerinden, “Yol Takibi”’ni düzgün bir şekilde kısıtlasa da, web uygulmasının kendi kullanıcı girdisini düzgün bir şekilde denetlemezse, bu saldırıya açık olabilir. Bu, şablon mekanizması kullanan veya dosyadan durağan bir yazı yükleyen web uygulamalarında ortak görülen bir sorundur. Saldırının çeşitli şekillerinde, orjinal URL parametresi, web uygulamasının dinamik bir betiğinin dosya ismiyle değiştirilir. Sonuç olarak, dönen sayfa kaynak kodu gösterir, çünkü dosya yürütülebilir bir betik şeklinde değil de yazı dosyası olarak okunmuştur.
Bu teknik çoğu zaman özel karakterlerden de faydalanır, örneğin (“.”) nokta karakteri şu anda çalışmakta olan dizinin listesini göstermeye, “%00” NULL karakteri de temel dosya uzantısı kontrollerini geçmeye yarar.
Örnek
Bir web sunucusuna karşı “Yol Takibi” saldırıları:
Saldırı: http://örnek/../../../../../bir/dosya
Saldırı: http://örnek/..%255c..%255c..%255cbir/dosya
Saldırı: http://örnek/..%u2216..%u2216bir/dosya
Bir web uygulamasına karşı “Yol Takibi” saldırıları:
Orjinal: http://example/foo.cgi?home=index.htm
Saldırı: http://example/foo.cgi?home=foo.cgi
Yukarıdaki örnekte, web uygulaması foo.cgi dosyasındaki kaynak kodu gösterir, çünkü “home” değişkeninin değeri içerik olarak kullanılmıştır. Dikkatinizi çektiyse, bu durumda saldırgan, başarılı olmak için “Yol Takibi”’ne yarayan veya herhangi bir geçersiz karakter kullanmak zorunda kalmamıştır. Saldırgan aynı dizindeki başka bir dosyayı hedef almıştır.
Bir web uygulamasına karşı özel karakter dizileri kullanılarak yapılan saldırılar:
Saldırı: http://example/scripts/foo.cgi?page=.../foo.cgi%00txt
Yukarıdaki örnekte, web uygulaması foo.cgi dosyasının kaynak kodunu özel karakter dizileri kullanarak yapılan saldırı sonucu görüntülemiştir. “../” dizisi bir üst dizine çıkmaya oradan da /scripts dizinine girmeye yaramıştır. “%00” dizisi hem dosya uzantısı kontrölünü geçmek için hem de dosya okunduğunda uzantısının atılması için kullanılır.
Kaynaklar
“CERT¨ Advisory CA-2001-12 Superfluous Decoding Vulnerability in IIS”
http://www.cert.org/advisories/CA-2001-12.html
“Novell Groupwise Arbitrary File Retrieval Vulnerability”
http://www.securityfocus.com/bid/3436/info/
Tahmin Edilebilir Kaynak Konumu
Tahmin edilebilir kaynak konumu, web sitesinin gizli içeriğini veya işlevini açığa çıkarmak için kullanılan bir saldırı tekniğidir. Mantıklı tahminler yaparak, saldırı kamusal izlenime kapalı olan içeriği birer birer deneyerek arar. Geçici dosyalar, yedek dosyaları, konfigürasyon dosyaları, ve örnek dosyalar potansiyel olarak ortada bırakılmış dosyalara örnek olabilir. Bu birer birer deneyerek arama işlemi kolaydır çünkü gizli dosyalar genelde aynı şekilde isimlendirilir ve benzer yerlerde bulunur. Bu dosyalar web uygulamasının içeriği, veritabanı bilgisi, parolalar, makina isimleri, diğer hassas bölgelere olan dosya yolları hakkında hassas bilgileri içerebilir veya açıklıkları içerisinde bulundurabilir. Bu bilgilerin açığa çıkarılması saldırgan için çok değerlidir.
Tahmin edilebilir kaynak konumu saldırısı Güçlü Tarama, Dosya Sıralama, Dizin Sıralama vb. olarak da bilinir.
Örnek
Herhangi bir saldırgan kamuya açık bir web sunucusuna rastgele dosya veya dizin talebinde bulunabilir. Kaynağın bulunup bulunmadığı web sunucusunun döndüğü HTTP dönüş kodları incelenerek bulunabilir.
Birçok Yeri Tahmin Edilebilir Kaynak saldırı çeşidi bulunur.
Ortak dosya ve dizinlerin kör aranması:
/admin/
/backup/
/logs/
/açık_dosya.cgi
Bulnunan dosyalara uzantı ekleme: (/test.asp)
/test.asp.bak
/test.bak
/test
SevqiLeR , SayqıLaR + Rep
Dizin İndeksleme
Otomatik dizin listeleme/indeksleme, sitede esas dosya yoksa (index.html/home.html/default.htm), bir web sitesinin, talep edilen dizinin içerisindeki bütün dosyaları listelemesi şeklindeki gerçekleşen bir fonksiyonudur. Bir kullanıcı bir web sitesinin ana sayfasını talep ettiğinde, normalde URL kısmına şunları yazar: http://www.example.com – sadece etki alanı ismini kullanarak ve özel olarak dosya belirtmeyerek. Web sunucusu bu isteği değerlendirir ve dökümanın bulunduğu kök dizininde varsayılan dosyayı arar ve bu dosyayı kullanıcıya gönderir. Eğer bu dosya bulunamazsa, web sunucusu bir dizin listelemesi yapar ve sonuçları istemciye gönderir.
Aslında, bu “ls” (Unix) veya “dir” (Windows) komutunun bu dizinde çalıştırılmasıyla eşdeğerdir ve sonuçları HTML biçiminde gösterir. Saldırı ve karşı tedbir gözüyle bakarsak, istenmeyen dizin listelemelerinin yazılım açıkları ile birleşen özel bir web talebi sonucunda ortaya çıkabileceğini anlamak önemlidir. (aşağıda, örnek bölümünde incelenecek.)
Web sunucusu dizin içeriğini gösterdiğinde, bu liste genele açık olmayan bilgiler de içerebilir. Çoğu zaman web yöneticileri “gizlilik üzerinden güvenlik” ilkesine uyarlar ve eğer dökümanlara ulaşan bağlar yoksa bulunamayacağını ve kimsenin bu dökümanları okuyamayacağını varsayarlar. Bu varsayım yanlıştır. Günümüzün açıklık tarayıcıları, örneğin Nikto, ilk incelemelerinin sonuçlarına göre yaptıkları taramalara dinamik olarak fazladan dizinler/dosyalar ekleyebilir. /robots.txt dosyasını tekrar inceleyerek ve/veya dizin indeksleme içeriğini inceleyerek, açıklık tarayıcı web sunucusunu bu yeni verilerle sorgulayabilir. Potansiyel olarak zararsıza olsa da, dizin indeksleme veri kaçağına ve böylece saldırgana, sisteme yapacağı sonraki saldırılarında gerekli olacak olan bilgilerin sağlanmasına sebep olabilir.
Örnek
Takip eden bilgiler dizin indeksleme sayesinde elde edilebilir:
Yedek Dosyalar - .bak, .old veya .orig uzantılı dosyalar.
Geçici Dosyalar – bu dosyaların normalde sunucu tarafından yok edilmesi gerekir fakat bazı sebeplerden dolayı hala erişilebilir durumdalar.
Gizli Dosyalar – “.” İle başlayan dosya isimleri
İsimlendirme kabulleri – saldırgan, web sitesinin kullandığı dizin veya dosya isimleri kompozisyonunu tanımlayabilir. Örnek: Admin vs. Admin, backup vs. back-up, vb.
Kullanıcı Hesaplarını Tarama – bir web sunucusundaki kişisel kullanıcı hesabının sahip olduğu dizin, çoğu zaman kullanıcının adı ile adlandırılır.
Konfigürasyon Dosyası İçeriği – bu dosyalar giriş kontrolu verilerini içerebilir ve uzantıları genellikle .conf, .cfg veya .config’dir.
Betik İçeriği – Birçok web sunucusu betiklerin bir yer belirtilerek(örn. /cgi-bin) veya sunucuyu konfigüre ederek dosya izinlerine bağlı olarak çalıştırılmasına izin verir (örn. *nix sistemlerdeki execute biti ve Apache’nin XbitHack direktifini kullanması). Bu seçeneklere göre, eğer cgi-bin klasöründe dizin indekslemesine izin veriliyorsa, izin olmadığı halde bu klasördeki betik kodları indirilebilir, izlenebilir.
Bir saldırganın istenmeyen bir dizinin listesini elde edebilmesi için 3 değişik senaryo vardır:
Web sunucusu hatalı bir şekilde dizin indkslenmesine izin verir şekilde konfigüre edilmiştir. Karışıklık, web yöneticisinin konfigürasyon dosyasındaki indeksleme direktiflerini ayarlarken ortaya çıkabilir. Bu kadar karmaşık bir sistemin ayarlarının yapılması sırasında istenmeyen sonuçların ortaya çıkması mümkündür, mesela özel bir alt dizine indeksleme hakkı verilirken sunucunun kalan kısmında bu hak kaldırılabilir. Saldırgan gözüyle HTTP isteği az önce yukarıda belirtilen (sadece etki alanı ile) şekilde yapılır. Bir dizin istenir ve istenen sonucun alınıp alınmadığına bakılır. Saldırganlar web sunucusunun “neden” bu şekilde konfiüre edildiği ile ilgilenmezler.
Web sunucusunun bazı parçaları kapalı olduğu halde ve indeks dosyası bulunduğu halde dizin indekslemeye izin verir. Bu, dizin indeksleme için geçerli olan tek sömürü örneği senaryosudur. Birçok web sunucusunda tanımlanan sayısız açıklık bulunmaktadır ve eğer özel HTTP talepleri gönderilirse dizin indeksi ile sonuçlanabilir.
Google’ın önbellek veritabanı bir web sitesinin eski taranmasından kalma, dizin indeksi de içerebilen tarihi veriler bulundurabilir.
Kaynak
Directory Indexing Vulnerability Alerts
http://www.securityfocus.com/bid/1063
http://www.securityfocus.com/bid/6721
http://www.securityfocus.com/bid/8898
Nessus “Remote File Access” Plugin Web page
http://cgi.nessus.org/plugins/dump.p...ile %20access
Web Site Indexer Tools
http://www.download-freeware-sharewa....php?Theme=112
Intrustion Prevention for Web
http://www.modsecurity.org
Search Engines as a Security Threat
http://it.korea.ac.kr/class/2002/sof...y%20Threat.pdf
The Google Hacker’s Guide
http://johnny.ihackstuff.com/securit...ide_v1.0. pdf
Bilgi Sızıntısı
Bir web sitesi hassas verileri ifşa ettiğinde, geliştirici yorumları veya hata mesajları gibi, bu veriler bir saldırganın sistemi sömürmesine yardımcı olabilir. Hassas veri, HTML yorumlarında, hata mesajlarında, kaynak HTML kodunda veya basitçe açık bir düzyazı alanında bulunabilir. Bir web sitesini bu türlü verileri ifşa ettirmeye yarayan birçok yol bulunur. Bu türlü sızıntılar, her zaman doğrudan bir güvenlik açığı olmadığı halde, saldırgana ileriki saldırılarında yararlı bir rehber olabilir. Hassas veri sızıntısı değişik seviyerlerde risk taşıdığından mümkün olduğu kadar önlenmelidir.
Bilgi kaçağının ilk durumunda (HTML kodunda bırakılan yorumlar, hata mesajlarının açık edilmesi), açık; saldırgana dizin yapısı, SQL sorgu yapısı ve web sitesinin kullandığı anahtar işlemler hakkında yapısal bilgi verir. Çoğu zaman geliştirici HTML içerisine yorum veya hata ayıklama ve entegrasyon amaçlı betik kodu bırakır. Bu bilgi betiğin nasıl çalıştığını belirten yorumdan, en kötü durumda, geliştirmenin test aşmasında kullanılan kullanıcı adları ve parolalar olabilir.
Bilgi sızıntısı, gizli zannedilen veriler için de, web sitesi tarafından düzgün bir biçimde korunmadığında geçerlidir. Bu veri, hesap numaraları, kullanıcı tanımlayıcıları (ehliyet numarası, pasaport numarası, kimlik numarası, vb.) ve kullanıcıya özel veri (hesap bakiyesi, adres ve işlem geçmişi, vb.) içerebilir. Yetersiz kimlik doğrulama, yetersiz yetkilendirme ve güvenli iletim şifrelenmesi de veriyi koruyan ve veriye erişimde düzgün kontrolü sağlayan mekanizmalardır. Birçok saldırı, müşteri saldırıları, sıradan gözlemciler, gibi, web sitesinin korunması kapsamının dışında kalır. Bilgi sızıntısı, bu bağlamda, açık bir şekilde kullanıcıya bile gösterilmemesi gereken, gizli ve anahtar kullanıcı verilerinin ifşa edilmesiyle ilgilenir. Kredi kartı numaraları, düzgün şifreleme ve giriş kontrolü yapılsa bile bu tür ifşalardan korunması gereken kullanıcı verilerinde önemli bir örnektir.
Örnek
Bilgi sızıntısı 3 ana kategoride incelenebilir: HTML kodunda bırakılan yorumlar, hata mesajlarının ifşası, açık bir şekilde görünebilen gizli veriler.
HTML kodunda bırakılan yorumlar:
height="59" width="591">
Burada gördügümüz gibi, geliştirici/kalite kontrol personelinden birisi resim dosyalarının görüntülenememesi halinde neler yapılması gerektiğini belirten yorum bırakmıştır. Güvenlik açığı ise, yorumun içerisinde açık bir şekilde geçen sunucu ismidir, “VADER”.
Hata mesajlarının açık edilmesine örnek, geçersiz sorgulara verilen cevaplar olabilir. Çok bilinen bir örnek, SQL sorgularıyla ilişkilendirilmiş hata mesajlarıdır. SQL enjeksiyonu saldırıları, saldırganın, sitedeki SQL sorgularının oluşturulmasının yapısı ve biçimi hakkında ön-bilgi sahibi olmasını gerektirir. Açık edilen hata mesajlarındaki bilgi, saldırgana, arkadaki veritabanında geçerli SQL sorgularının nasıl oluşturulduğu hakkında önemli bilgi sağlar.
Takip eden bilgi bir giriş formundaki kullanıcı adı kısmına tek tırnak işareti konduğunda sunucu tarafından döndürülmüştür.
Açık hata mesajı:
An Error Has Occurred.
Error Message:
System.Data.OleDb.OleDbExcepti on: Syntax error (missing operator) in query expression 'username = ''' and password = 'g''. at
System.Data.OleDb.OleDbCommand .ExecuteCommandTextErrorHandli ng (
Int32 hr) at System.Data.OleDb.OleDbCommand .ExecuteCommandTextForSingleRe sult
( tagDBPARAMS dbParams, Object& executeResult) at…
İlk hata cümlesinde sözdizimi hatası rapor edilmiş. Hata mesajı SQL sorgusunda kullanılan sorgu parametrelerini açık etmektedir: username ve password. Bu ifşa edilen bilgi saldırganın siteye yapacağı SQL enjeksiyonu saldırılarına başlaması için gereken tek eksik parçadır.
Kaynaklar
“Best practices with custom error pages in .Net”, Microsoft Support
http://support.microsoft.com/default...b;en-us;834452
“Creating Custom ASP Error Pages”, Microsoft Support
http://support.microsoft.com/default...b;en-us;224070
“Apache Custom Error Pages”, Code Style
http://www.codestyle.org/sitemanager...s-Custom.shtml
“Customizing the Look of Error Messages in JSP”, DrewFalkman.com
http://www.drewfalkman.com/resources...ErrorPages.cfm
ColdFusion Custom Error Pages
http://livedocs.macromedia.com/coldf...ML/Errors6.htm
Obfuscators :
JAVA
http://www.cs.auckland.ac.nz/~cthomb...i/hongying.pdf
Yol Takibi
Yol takibi saldırı tekniği web dökümanları kök dizininin dışında kalan dosyalara, dizinlere veya komutlara erişimi sağlar. Bir saldırgan URL’i öyle bir şekilde düzenleyebilir ki, web sitesi web sunucusu üzerindeki rastgele dosyaları çalıştırır veya görüntüler. HTTP-tabanlı arayüze sahip her makina potansiyel olarak “Yol Takibi”’ne açıktır.
Birçok web sitesi, dosya sisteminin sadece bir kısmına, genellikle “web dökümanı kök dizini” veya “CGI kök dizini” kısmını kullanıcı erişimine açar. Bu dizinler, kullanıcı erişimine açık dosyaları ve web uygulamasını çalıştırabilmek için gereken yürütülebilir dosyaları içerir. Dosya sistemindeki herhangi bir dosyaya ulaşabilmek veya komutu çalıştırabilmek için “Yol Takibi” saldırıları özel karakter dizilerini kullanır.
En genel “Yol Takibi” saldırısı, URL’de istenen kaynağın yerini değiştirmek için “../” özel karakterlerini kullanır. Birçok popüler web sunucusu web dökümanı kök dizininden çıkışı engellese de, “../” karakterlerinin değişik kodlanması, güvenlik filtrelerini aşabilir. Bu metot şekilleri arasında, eğik çizgi karakterinin geçerli veya geçersiz Unicode kodlanması (“..%u2216” veya “..%c0%af”), Windows tabanlı sistemlerdeki ters eğik çizgi karakterinin kullanılması (“..\”), URL kodlanmış karakterler (“%2e%2e%2f”), ve ters eğik çizgi karakterinin iki kez URL kodlanması (“..%255c”) bulunur.
Web sunucusu, URL üzerinden, “Yol Takibi”’ni düzgün bir şekilde kısıtlasa da, web uygulmasının kendi kullanıcı girdisini düzgün bir şekilde denetlemezse, bu saldırıya açık olabilir. Bu, şablon mekanizması kullanan veya dosyadan durağan bir yazı yükleyen web uygulamalarında ortak görülen bir sorundur. Saldırının çeşitli şekillerinde, orjinal URL parametresi, web uygulamasının dinamik bir betiğinin dosya ismiyle değiştirilir. Sonuç olarak, dönen sayfa kaynak kodu gösterir, çünkü dosya yürütülebilir bir betik şeklinde değil de yazı dosyası olarak okunmuştur.
Bu teknik çoğu zaman özel karakterlerden de faydalanır, örneğin (“.”) nokta karakteri şu anda çalışmakta olan dizinin listesini göstermeye, “%00” NULL karakteri de temel dosya uzantısı kontrollerini geçmeye yarar.
Örnek
Bir web sunucusuna karşı “Yol Takibi” saldırıları:
Saldırı: http://örnek/../../../../../bir/dosya
Saldırı: http://örnek/..%255c..%255c..%255cbir/dosya
Saldırı: http://örnek/..%u2216..%u2216bir/dosya
Bir web uygulamasına karşı “Yol Takibi” saldırıları:
Orjinal: http://example/foo.cgi?home=index.htm
Saldırı: http://example/foo.cgi?home=foo.cgi
Yukarıdaki örnekte, web uygulaması foo.cgi dosyasındaki kaynak kodu gösterir, çünkü “home” değişkeninin değeri içerik olarak kullanılmıştır. Dikkatinizi çektiyse, bu durumda saldırgan, başarılı olmak için “Yol Takibi”’ne yarayan veya herhangi bir geçersiz karakter kullanmak zorunda kalmamıştır. Saldırgan aynı dizindeki başka bir dosyayı hedef almıştır.
Bir web uygulamasına karşı özel karakter dizileri kullanılarak yapılan saldırılar:
Saldırı: http://example/scripts/foo.cgi?page=.../foo.cgi%00txt
Yukarıdaki örnekte, web uygulaması foo.cgi dosyasının kaynak kodunu özel karakter dizileri kullanarak yapılan saldırı sonucu görüntülemiştir. “../” dizisi bir üst dizine çıkmaya oradan da /scripts dizinine girmeye yaramıştır. “%00” dizisi hem dosya uzantısı kontrölünü geçmek için hem de dosya okunduğunda uzantısının atılması için kullanılır.
Kaynaklar
“CERT¨ Advisory CA-2001-12 Superfluous Decoding Vulnerability in IIS”
http://www.cert.org/advisories/CA-2001-12.html
“Novell Groupwise Arbitrary File Retrieval Vulnerability”
http://www.securityfocus.com/bid/3436/info/
Tahmin Edilebilir Kaynak Konumu
Tahmin edilebilir kaynak konumu, web sitesinin gizli içeriğini veya işlevini açığa çıkarmak için kullanılan bir saldırı tekniğidir. Mantıklı tahminler yaparak, saldırı kamusal izlenime kapalı olan içeriği birer birer deneyerek arar. Geçici dosyalar, yedek dosyaları, konfigürasyon dosyaları, ve örnek dosyalar potansiyel olarak ortada bırakılmış dosyalara örnek olabilir. Bu birer birer deneyerek arama işlemi kolaydır çünkü gizli dosyalar genelde aynı şekilde isimlendirilir ve benzer yerlerde bulunur. Bu dosyalar web uygulamasının içeriği, veritabanı bilgisi, parolalar, makina isimleri, diğer hassas bölgelere olan dosya yolları hakkında hassas bilgileri içerebilir veya açıklıkları içerisinde bulundurabilir. Bu bilgilerin açığa çıkarılması saldırgan için çok değerlidir.
Tahmin edilebilir kaynak konumu saldırısı Güçlü Tarama, Dosya Sıralama, Dizin Sıralama vb. olarak da bilinir.
Örnek
Herhangi bir saldırgan kamuya açık bir web sunucusuna rastgele dosya veya dizin talebinde bulunabilir. Kaynağın bulunup bulunmadığı web sunucusunun döndüğü HTTP dönüş kodları incelenerek bulunabilir.
Birçok Yeri Tahmin Edilebilir Kaynak saldırı çeşidi bulunur.
Ortak dosya ve dizinlerin kör aranması:
/admin/
/backup/
/logs/
/açık_dosya.cgi
Bulnunan dosyalara uzantı ekleme: (/test.asp)
/test.asp.bak
/test.bak
/test
SevqiLeR , SayqıLaR + Rep
aLkiNooS- UB Saldırı & Secruity
- Cinsiyet :
Mesaj Sayısı : 123
Kayıt tarihi : 24/12/09
Yaş : 29
Nerden : i$taNßLué - ßayRampa$a ßLéDiyé Arka$ı
İş/Hobiler : $poR,ßiLqi$iyaR !
Lakap : aLkiNooS*
- Post n°2
Geri: Web sunucuları ve web sunucuları güvenliğine,yönetimine DaR HeRşey Acgını ÖqReN..
tarafından aLkiNooS Cuma Ocak 01, 2010 9:53 pm
payLaŞım iÇin teŞeqqüRLeR !
Similar topics