Aşağıda listemiş olduğum web uygulumalarında, tipik güvenlik açıkları ve yaptığımız hatalar mevcuttur. (Ben PHP’den ele aldım. Ama diğer dillerde de aynı mantıkla güvenlik açıkları çalışıp, kapatılabilir.)

1.Cross-site scripting (XSS)

XSS açıkları, saldırganın sitesine girilerek, çalışan zararlı kodlardır (javascript). Aşağıda bir örnek verelim. Request ile gelen değeri database’imize kaydettikten sonra, direk ekrana bastığımızı varsayalım.

<?php
   $Kullanici = $_REQUEST["Kullanici"];
   $Mesaj = $_REQUEST["Mesaj"];

   if($Mesaj) {
   DbyeKaydet($Kullanici, $Mesaj);
   echo "$Kullanici - $Mesaj";
 } 

?>
<input type="text" name="Mesaj" value="" />

Burada hiç bir filtreleme fonksiyonu kullanmadık. Formdan ne geliyorsa direk yazdırıyoruz. Bazı html karakterlerini form’dan gönderdiğimizi varsayalım . “<b>Merhaba” diye girdiğimiz stringi ekrana Merhaba olarak basacaktır. (Bold ile). Yani html karakterlerini biz sayfamıza gönderebiliyoruz demektir. Bu durumda salgırgan hazırlamış olduğu javascript kodlarını (cookie sniffer, iframe trojan downloader, vs…) sayfamıza yüklemeye çalışacaktır. Zararlı kod bulunan sayfaya yetkili kullanıcılar girdiği zaman çerez bilgilerini alabilir, PC’ye html yol ile virüs bulaştırabilir vb…

Korunmak için ister kendi fonksiyonumuzu yazarak, zararlı kodları ve kabul edilen html karakterler harici tüm html taglarını sildirebiliriz veya PHP ile birlikte gelen bazı hazır fonksiyonları kullanabiliriz. input_filter extension ile değişkenlerimizi filtreden geçirebiliriz.

2.Cross-site request forgery (CSRF)

Daha önceden de CSRF’den korunma ile ilgili makale yazmıştım. Yine en çok görülen websitelerde ki ortak güvenlik açıklarından biridir. Açık bir çok yerde görülebiliyor. Image src’lerine dışarıdan girilen GET methodu ile kod çalıştırma, veya Form’lardan gelen verilere, veya direk request string’ler kod yazarak uygulanabiliyor. Örnek bir uygulama yapalım. Bir eticaret sistemi kodladınız diyelim. Sepete eklenen ürünleri silme aşamasındasınız. Sepeti silme işleminde direk GET methodu ile alınan değişkene göre kontrol ettirerek, sepeti silme işlemini onaylıyorsunuz diyelim.

http://www.site.com/index.php?Olay=SepetiSil

Bu durumda Olay değişkeninde ki değer “SepetiSil” ise, direk sepeti silme işlemini yaptığınızı varsayalım. Saldırgan bunu sayfaya farklı bir şekilde değişkeni ve değeri yükleyerek işlemi farklı bir şekilde karşı tarafta çalıştırabilir. Sayfaya aşağıdaki image kodunu koyduğunu varsayalım. Browser, Image içindeki src tagını yüklemeye çalışacak, server GET methodunu algılayacak ve bu işlem çalışmış olacak.

<img src="index.php?Olay=SepetiSil" width="0" height="0" />

Sayfaya giren yetkili kişiler (Giriş yapanlar, yetkisi olanlar vs.) aynı sepeti sil işlemini GET methodu ile çalıştırmış gibi arka planda işlemi yapacaktır. Saldırgan, resmin genişlik ve yükseklik değerlerini 0 yaptığı için de, sayfada image görünmeyecek ve sayfaya girenlerin sepeti silinecek.

Korunma yolu da, güvenli çift taraf kontrollü anahtar numaraları üretmektir. Detaylı bilgi için daha önceden yazdığım makaleyi inceyelebilirsiniz.

3.Click-jacking

2010 yılına damgasını vuran, facebook click-jacking ile daha da meşhur olan bir güvenlik açığıdır. Burada mantık şu, saldırgan sayfasına javascript ile zararlı kodları çalıştırıyor. Kodlar Cursor’un ucuna gizli (opacity:0 ile) iframe koyuyor. İframe’in içine tıklanacak veriyi koyuyor. Kurban sayfaya girdiği zaman nereye tıklarsa tıklasın, gizli olarak iframe içerisinde ki, saldırganın hazırladığı yere farkında olmadan tıklıyor. Örnek uygulama için buraya girebilirsiniz.

Korunma yolları için, daha önceden de dediğim gibi verilerinizi db’ye eklemeden önce bazı karakter filtreleme fonksiyonlarından geçirmelisiniz. Örnek veriyorum, ziyaretçi defteri yaptınız. Saldırgan direk  bu zararlı kodları, güvenlik açığı bulunan ziyaretçi sistemi ile yükleyip çalıştırabilir.

4.SQL injection

Web uygulamalarında bilinen en tehlikeli güvenlik açığı türüdür. Bir çok çeşitleri vardır. (Blind, Advanced vb…) Tehlike o kadar büyüktür ki, web sitenizi barındırdığınız sunucu bile tehlikeye girebilir. Sql işlemlerinde (Insert, Update, Select vs…), kodlayıcıların güvenlik hatalarından dolayı çıkan hatalardır. Örnek vermek gerekirse,

$Id = $_GET['Id'];
mysql_query("SELECT * FROM haberler WHERE Id = $Id");

Get methodu ile alınan değer direk sql sorgusunun içine yazılarak sorgu çalıştırılıyor. Saldırgan, değişkene bir string veya integer değer değilde, sql de anlamları olan bir komut yazdığı zaman (UNION, ORDER BY, LIMIT vs…) $Id değişkeninin aldığı değerler değişiyor ve sql sorgusu içerisine giriyor. Bu durumda saldırgan, istediği gibi $Id değişkenine sorgu cümleleri yazıp, diğer tablolara veya kolon üzerindeki bilgilere ulaşabiliyor. Gelişmiş yöntemlerle sql komutları ile server da istediği Shell komutlarını çalıştırabiliyor.

Korunmak için yine php’nin hazır fonksiyonlarından faydalanabiliriz. Üst düzey bir koruma isterseniz, donanımsal firewall’lar, Açık kaynak kodlu server güvenlik sistemleri gibi (mod security) sistemlerden faydalanabilirsiniz. Ama biz ücretsizlerden faydalanalım ;) Php fonksiyonlarından olan mysql_real_escape_string ile güvenli sql sorgusu yazabilirsiniz. Tüm Request stringleri filtrelerden geçirebilirsiniz. (SQL için zararlı karakterler)

5.Shell injection

Sql injection açığı ile serverlarda komut çalıştırılabilir ( system(), exec() gibi). Korunma yolları da sql injection ile hemen hemen aynıdır. Zararlı karakterleri filtreden geçirebilirsiniz.

6.Phishing

Kullanıcıların özel bilgilerini (şifreler, kullanıcı adları, telefon numaraları, kredi kart numaraları), saldırganlar tarafından hazırlanan, bu bilgileri çalmak için kurulan sahte web sayfalarıdır. Domain isimleri, gerçek siteler ile o kadar çok benzer ki, dikkat edilmediği sürece anlaşılmaz. Korunma yöntemleri ise, web sitelerinizin kullanıcı girişlerini mutlaka SSL ile yapın. SSL sertifikası satın alın. SSL ile detaylı bilgi için buraya bakabilirsiniz.

7.Diğer Güvenlik Açıkları

Gelişen teknoloji ile her an, her sistemde farklı bir güvenlik açığı türü keşfedilebiliyor. Bu saydıklarım en bilinenleri ve tehlikeli olanları. Bu yazdıklarım harici bazı bilinen diğer güvenlik açıkları mevcuttur.

• Code injection
• Remote File Inclusion
• Local File Inclusion

Bu makalemde, yazdığınız scripte ki güvenlik açıklarını bir nevi kapatabilirsiniz. Hiç bir sistem %100 güvenli değildir.Onu da söylemek istedim. İlerideki makalelerimde bu başlıkları detaylı olarak inceleyeceğiz örnekler vererek sistemimizi ve scriptimizi korumaya çalışacağız.

İyi Çalışmalar…

Olympos.net yazarlarından Tacettin Karadeniz’in güzel bir makalesi.

Günümüz şartlarında E-Mail(Elektronik Posta) kullanımı, döküman gönderim işlemini de kolaylaştırmaktadır.

Hazırlanan bir belge, anında kullanıcıya E-Posta ile gönderilebilmektedir. Durum bu şekilde olunca zararlı uygulamaların /program(cık)ların/ yayılma olasılığı da artmaktadır. Özellikle son günlerde kullanıcıları tehlikeli duruma düşüren zararlı programlar PDF türü dosyalarla yayılmaktadır.
Bu yayılma işlemi nasıl gerçekleşmektedir?
Yayılma işlemi, .pdf belge içine gizlenen kod parçacıkları aracılığıyla, Adobe Acrobat Reader uygulamasında yer alan uygulama zafiyetinden faydalanmaktadır. PDF, Adobe firması tarafından geliştirilmiştir(Portable Document Format – Taşınabilir Dosya Formatı). Neticesinde bir çok kullanıcı tarafından kullanılan bir dosya formatı olup, kullanım oranı artmaktadır. Özellikle şirketler dökümantasyon işlerinde pdf formatını çok tercih etmektedirler.

Bu yazımda E-Posta iletimde karşılaştığım bir .pdf belgesi üzerinde gerçekleştirdiğim analizi anlatacağım.

E-Postalarımı kontrol ederken “Re:Doc” adı altında bir e-posta gördüm (Resim 1). Gelen postayı incelediğimde,ekindebir .pdf dosyası yeralmaktaydı (Resim 2). Bu pdf dosyasını incelemek için kayıt altına aldım.

Kaynak + Devamı

Merhaba arkadaşlar,
Farklı bir makale ile karşınızdayım. Son zamanlarda adını sıkça duyuran bir konu. Siber terör.
Nedir bu siber terör? Nasıl olur ? Siber teröristler neler yaparlar-yapabilirler ? gibi soruları cevaplamaya çalışacam.

Teknoloji ve internet o kadar gelişti ki, interneti günümüzün her alanında kullanıyoruz.
İş görüşmelerinde maillerimizi kullanıyoruz, alışveriş yapacağımız zaman e-ticareti kullanıyoruz, sosyal medya araçları ile, (twitter, facebook vs.) arkadaşlarımızla görüşüyor, kısa mesajlar yazıyoruz. İnternet bankacılığını kullanarak, borçlarımızı, faturalarımızı ödüyoruz, e-devlet kapısından yine aynı şekilde bilgilerimize bakabiliyor, güncelleyebiliyoruz, şehirdışı ve yurtdışı uçuşlarımız için online olarak bilet alabiliyoruz vs. vs…
Çok uzatabiliriz. İnternet o kadar hayatımızla bütünleşmiş ki, her yerde ona ihtiyaç duyuyoruz.

Peki 1 günümüzün internetsiz olduğunu düşünelim ? Neler olurdu sizce ?
En büyük sistemlerden başlayalım isterseniz. Banka sistemleri ve finansal firmalardan hiç bir işlem yapılamazdı. Uçak’larda kullanılan radarlar ve hava durumu rapor sistemlerinin bağlantıları kesilirdı, uçuşlar yapılamazdı. E-Devlet ve yargıtay’da kullanılan tüm sistemler kullanılamaz olurdu. E-ticaret’ten parasını kazanan büyükten küçüğe tüm firmalar zarara uğrardı. Hastane otomasyon sistemleri kitlenir, yapılan ve yapılacak işlemlerin hepsi askıda kalırdı. İnternet ile uğraşan herkes, bu zararı görürdü.

Bu kullandığımız internet karşımıza silah olarak çıksa ne olurdu ? Yani silah olarak kullanan teröristler olsa…

Siber teröristler bilgisayarları, bilgisayar sistemlerini, interneti kullanarak yapacağı bu terör eylemleri ile, bir ülkenin ekonomisini derinden etkileyebilirler. Oldukça büyük maddi zararlar doğurabilirler.

Teknoloji geliştikçe internet, hayatımızın her noktasına giriyor. Okulda, iş yerlerinde, otobüslerde, uçaklarda vs…
Telekom şirketleri, hosting firmaları ve datacenterlar. Bu internet trafiğini korumak ve güvenli hale getirmek için binlerce dolarlık yazılımları, cihazları kullanıyorlar. Türkiye’de malesef dışa bağımlılığımız teknoloji ve internet’te de var. Şuan da çoğu banka sistemleri, devlet kurumları yurt dışından alınmış cihazlarla korunuyor. (cihazların isimlerini biliyorsunuz ztn, fortinetin fortigate’i, israil’li bir firma üretimi olan checkpoint vs. vs..).

Olası bir siber saldırıda, tehlike oranımız malesef yüksek durumda. En basitinden ürünlerimizin (yazılımlar, firewalllar vs.) çoğu yurt dışından alınıyor. Bu çok üzücü bir şey tabi ki. Türünün tek örneği olan “Stuxnet” adlı virüsün, İran’ın nükleer sistemlerini kontrol etmek amaçlı yazılan bir bilgisayar virüsünü duyduk.

Haberlerde duyuyoruz. İşte hackerlar milyon dolarları çaldılar, hackerlar banka soydu… Bir siber terör’de bu gibi işlemler küçük kalır.

Siber teröristler ciddi bir şekilde hazırlanmış ve yeterli alt yapıları varsa bir ülkenin;

• Uydu sistemlerini kontrol edebilir ,insansız hava uçaklarını, radarları, hatta füzeleri bile ele geçirebilirler,
• TV, radyo kanallarını sağlayıcı sistemlerini kontrol edebilirler,
• GPS uydu sistemlerini devre dışı bırakabilirler,
• Askeri sistemlerin kullandığı bazı sistemleri kontrol edebilirler,
• İnternet omurgasına vereceği zararlar saymakla bitmez,
• Borsa ve finansal firmaları vururlar,
• Tüm online hizmet veren şirketlerin, kurumların, firmaların maddi zararları milyon dolarları bulur…
• vs. vs…

Siber tehditlerin en çok rastlandığı ülkemizde bir an önce güvenliğin alınması ve eğitimlerin yaygınlaştırılması gereklidir.

Seyfullah KILIÇ

CSRF açıkları genellikle form doğrulamalarında, POST’larda ve GET’lerde görülebilir. Image yoluna aldatma olarak GET metoduyla istenilen query strinler de işletilebilir. Örneğin bir mesaj sistemi yaptık. İlgili kişilere göre yetki sistemini de ayarladık (moderatörler ve yöneticiler silme, değiştirme, onaylama vs.. işlemlerini yapabilme gibi) diyelim. Normal kullanıcıların işlem yapmaması için de güvenlikleri aldık diyelim. Gelelim burada CSRF açığından oluşabilecek güvenlik açıklarına…

Değiştirme, onaylama, silme olaylarını GET yöntemi ile adresten aldığımızı düşünelim (?P=Delete&Id=146). Bu linke giren yetkili kullanıcılar, veritabanında ki 146. idli veriyi silebilirler (?). Sayfanın içine <img src=”?P=Delete&Id=146“  /> image kodunu yazdıktan sonra, sayfaya giren daha önceden girişini yapmış yetkili kullanıcılar ilgili işlemin aynısını yapabilecekler. Farklı bir örnek olarak, bir sayfadan GET yöntemi ile gönderilen verilerinde aynı yöntemi tetikleyeceği unutulmamalıdır. Bir mail geldi diyelim. Kişi, linke tıklamanızı istiyor. Link boş bir html sayfası açıp o anda yönlendirme yaparak bu adresi açtığını düşünelim. O tıklayan kişi yine sisteme giriş yapmış, ve yetkili kullanıcıysa, yine “Delete” stringini görecek ve silme işlemi yapılacaktır.

Bu açıktan korunmanın en güvenli ve hızlı yolu, session kontrolü dür.  Db işlemlerinizden hemen önce session kontrolü yaparak, sayfanın oluşturulan session ile mi geldiğini kontrol ettirebilirsiniz.

Php’de örnek vereyim.

//Mesaj inputu poş ise.
if(empty($_POST["Mesaj"])) {
$_SESSION["anahtar"] = md5(rand(0,9999));
//Random olarak üretilen md5 sessiona atılıyor.

//Form yazdırılıyor.
echo ‘
<form method=”POST”>
<input type=”text” name=”Mesaj” />
<input type=”submit” value=”Gönder” />
<input type=”hidden” name=”token” value=”‘ . $_SESSION['anahtar'] . ‘” size=50″ />
</form>’;
}
//Eğer post işlemi var ve Mesaj değişkeninin içi doluysa
elseif(isset($_POST["Mesaj"])) {
//Sayfadan gelen “token” değeri oluşturulan session ile aynıysa işlemler yapılıyor
if( $_POST["token"] == $_SESSION['anahtar'] ) {
echo(“Giriş Başarılı<br><br>”) . $_POST["Mesaj"];
$_SESSION['anahtar'] = ”; //SESSIONımızı boşalttık ;)
}
else {
//Gelen değer eşit değilse hatayı bas ;)
die(“Doğrulama Yanlış !!!”);
}
}

Burada sayfa post edilmediyse rand ile oluşturulan md5 i session a atıyor. Sonra input hidden nesnesine oluşturulan md5 atanıyor.Post edildiyse oluşturulan en son session ile, Post’tan gelen inputdaki token değeri ile karşılaştırma yapılıyor. Eşitse işleme devam ediliyor. Değilse işlem sonlandırılıyor.

Bu sistem hem flood ı önlemekte, hemde gizli olarak farklı yerden gelen POST, GET ve image içinde ki request değerlerinden korumaktadır.

Form doğrulamarında, kodlarla uğraşmam bana hazır bişiler lazım diyosanız da reCAPTCHA sistemini öneririm.

Firefox’un, Yazılımcılara ve Web’cilere güzel eklentilerinden biri olan Firebug’da javascript ve DOM’u tarayıcıda değiştirerek, bir web sitede oluşan güvenlik açıklarına bakacağız.

Firefox için Firebug’u indirmek için tıklayın.
Çektiğim Video’yu indirmek için tıklayın.