Merhaba, bu ilk yazımın konusunu, sektörümüzdeki en kritik süreçlerden biri olan yazılım ya da uygulama güvenliği hakkında giriş niteliğinde bir makale oluşturmak istedim. Bir yazılımın güvenliği hem kullanıcılar hem de hizmet sunan firma veya kurumlar için hayati bir önem taşımaktadır. Bilgilerin deşifre olması ve hizmeti alanında, sunanın da maddi zararının yanı sıra, hizmet sunan açısından itibar kaybı yaşamasına da sebep olan bu kritik aşama hakkında OWASP’ın maddeleri üzerinden giderek başlamak istiyorum.
Web uygulamalarındaki güvenlik açıklarının kapatılması ve bu uygulamaların güvenli bir şekilde korunmasını sağlamak için çalışmalar yapan özgür bir topluluktur. OWASP aynı zamanda güvenlikle ilgili altyapılara liderlik etmektedir. Dünya çapında yüzlerce yerel bölüm, on binlerce üye ve önde gelen eğitim ve öğretim konferansları aracılığıyla OWASP altyapısı, geliştiricilerin ve teknoloji uzmanlarının Web'i güvence altına almaları için bir kaynaktır.
OWASP, birçok firma ve web uygulama sızma testleri ile ilgili çalışmalar yapan kişilerden bilgiler toplar, bu bilgileri analiz eder ve o yıla ait en riskli 10 güvenlik zafiyetinin istatistiğini çıkartmaktadır. Bu analizleri ücretsiz olarak sunmaktadır. OWASP topluluğunun her üç ya da dört senede bir yenilediği OWASP Top 10 ismiyle güncel en popüler güvenlik zafiyetlerini listeledikleri Top 10 listesi hazırlanmaktadır. OWASP ilk 10, en yaygın 10 uygulama güvenlik açığının listesidir. Ayrıca risklerini, etkilerini ve karşı önlemlerini de gösterir. Dilerseniz OWASP’ın yazlım güvenlik açıkları için oluşturdurğu bir kategori sistemi olan cwe maddelerini beraber inceleyelim.
Kaynak/Resource: https://owasp.org/www-project-top-ten/
A01:2021 – Broken Access Control
Erişim kontrolü ya da yetkilendirme olarak adlandırılır Web uygulamalarında erişim kontrolü, kimlik doğrulama ve oturum yönetimine bağlıdır.
Temel olarak, sistemi kullanan kullancılara, en az yetki ile sistemi kullanmaları amaçlanmalıdır. Örneğin muhasabe bölümünde çalışan bir kullanıcının, üretim bölümünü kullanan bir kullanıcı ile aynı sayfalara erişim izni verilmemelidir.
Yanlış yapılandırılan CORS, yetkisiz ya da güvenli olmayan kaynaklardan API erişimine izin verir.
JWT ve Cookie bilgileri kullanarak farklı kullanıcıların bilgilerine erişilebilir ya da bu bilgiler ile erişim izni olmayan sayfalara erişim izni sağlanabilir.
URL üzerinde tutulan bilgiler kolaylıkla manipüle edilebildiği için, hasas bilgiler urlde tutulmaz. Aynı zamanda bir web sitesi, URL’ye dayalı erişimi kısıtlamak için sadece ön uç kontrolleri kullanıyorsa, ancak uygulama, URL’nin request header aracılığı ile geçersiz kılınmasına izin veriyorsa, erişim kontrollerini atlatayabilir. POST, PUT ve DELETE metotları kullanıldığında erişim kontrolleri eksiksiz bir şekilde yapılmalıdır.
Web sunucusunun dizin listesi kullanılmamalıdır. Dosyaların meta verileri, mesela git, ve yedekleme dosyalarının web kök dizini içerisinde tutulmamalıdır.
Olası bütün durumlar göz önünde tutulduğunda bütün erişim hatalarında log kaydı tutulmalıdır ve tekrarlanan hatalarda yöneticiler uyarılmalıdır.
Rate limit API kullanılarak otomatik saldırılardan kaynaklanan zarar en aza indirilebilir.
CWE-23: Relative Path Traversal
Web uygulamlarında dizin yolu belirmemiz gereken durumlarda “..” gibi tahmin edilebilir dizin bilgisi vermek ve dizin için kısıtlama getirmemek güvenlik zafiyetleri arasında yer alır.
Saldırganlar dizin (path) kısıtlaması yapılmazsa erişime açmadığımız ya da yetkisinin olmadığı dizinlere ulaşabilir.
Saldırgan paylaşmak istemediğimiz ya da gizli tutulması gereken dosyalara erişebilir.
Ulaştığı kritik dosyaları okuyabilir üzerinde değişiklik yapabilir.
Eriştiği dosyalar ile brute force atakları başarılı sonuclanabilir ve sistemdeki bütün kritik verilere ulaşabilir.
Saldırya acık url http://example.com./get-files?file=test.pdf
Olası saldırı http://example.com.br/get-files?file=../../../../somedir/somefile
CWE-352: Cross-Site Request Forgery (CSRF)
Uygulamaya gelen isteklerin hangi kaynaktan ve nasıl gönderilidiğinin kontrol edilmemesi durumunda oluşan güvenlik zafiyeti CSRF ya da Session Riding olarak bilinir. Şöyle bir senoryo ile açıklamak daha anlaşılır kılacağı için direkt senoryomuza geçiyorum,
Kullanıcının oturum açmış olduğu uygulama üzerinde dışarıdan gelen veya dışarıya giden tüm istekler filtrelenmemiş ise, saldırgan basitçe kullanıcının oturumunda bulunan önemli bir bilginin değiştirildiği html form elemanlarını kendi oluşturmuş olduğu bir html sayfasına yazıp, kullanıcının oturumunun bulunduğu uygulamaya yönlendirme yapabilir. Daha sonra saldırgan yazmış olduğu html sayfasını, kullanıcı oturumu hali hazırda farklı sekme üzerinde devam ederken, bir şekilde kullanıcıya açtırmayı başarırsa ilgili kullanıcı oturumu üzerinde işlemler yapabilecektir.
Böyle bir güvenlik açığı yaşamamak için requestden gelen bilgiler daima kontrol edilmelidir.
CWE-863: Incorrect Authorization
Kullanıcıların rol yönetimleri yani yetkileri belirlenirken dikkatli davranılmalıdır. Eğer bu süreç doğru bir şekilde denetlenmezse kullanıcı, izni olmayan bölümlere erişebilir.Bu sistemde hasas verilerin açığa çıkması, hizmet reddi ve injection saldırıları ile uygulamanın dışından gelen kodların yürütülmesi ile sonuçlanabilir.
CWE-862: Missing Authorization
Uygulamada yer alan role management, iyi kurgulanması gereken bölümlerdendir. Her bir işlem için minimum yetki ya da erişim izni ile sistemin çalışması amaçlanır. Sayfalar üzerinde erişimin sürekli denetlenmesi gerekir. Aksi halde code injection ya da bilgilerin sızdırılması, istemediğimiz hizmetlerin gerçleştirilmesi gibi problemler yaşanabilir.
CWE-1275: Sensitive Cookie with Improper SameSite Attribute
Uygulamalarda kritik bilgilerin cookielerde tutulması bazı güvenlik zafiyetlerine yol açar. Uygulama kullanılırken kaydedilen cookie bilgileri, farklı bir uygulamaya kullanılmaya başlandığında burdaki cookilerin üzerine otomatik olarak eklenir. Bu da CSRF (Cross-Site-Request-Forgery)saldırılarına açık hale getirir. Login bilgileri ve diğer kritik verilerin cookielerde tutulmaması gerekir.
A02:2021 – Cryptographic Failures
2017’de Sensitive Data Exposure olarak geçen madde yeni bir cwe kategorisi olarak güncellenmiştir. Kriptografiyle ilgili hatalara üstü kapalı işaret edilse bile daha geniş kapsamda ele alınmaktadır.
Parolalar, kredi kartı numaraları, sağlık kayıtları, kişisel bilgiler bazı güvenlik kurallarına göre tutulmalıdır, AB'nin Genel Veri Koruma Yönetmeliği (GDPR) gibi veya finansal veri koruması kapsamındaysa ekstra koruma gerektirir., PCI Veri Güvenliği Standardı (PCI DSS) gibi.
Güncel ve güçlü standart algoritmaların, protokollerin kullanılmalıdır. MD5, SHA1, PKCS gibi kolaylıkla çözülebilecek şifrelemeden kaçınılmalıdır.
Kullanılacak verileri ya da dosyaları sadece kriptografi işlemleri uygulamak yerine, kimlik doğrulama(authenticated) ile beraber kriptografi işlemleri uygulanmalıdır.Kriptografi uygulanırken bütün key değerleri rastgele bir şekilde oluşturulmalı ve salt mekanızması dahil edilmelidir.
Configuration ve Settings dosyaları birbirinden bağımsız olacak şekilde kriptografi işlemleri uygulanmalıdır.
Önemli verileri taşımak için FTP ve SMTP gibi eski protokolleri kullanmamalıdır.
CWE-261: Weak Encoding for Password
Uygualamarda şifrelerin korunması hayati bir önem taşır. Şifrelerin korunmadan saklanması ile ilgili güvenlik açığını kapsar. Bazen encode-decode işlemleri base64 gibi basit bir yöntemle korunmaya çalışılsa da bu güvenliği sağlamaya yetmez.
CWE-327: Use of a Broken or Risky Cryptographic Algorithm
Kolaylıkla çözülebilen kriptografik algoritmana kullanmaktan doğan güvenlik açıklarını kapsar.
Rainbow Algoritmaları Nedir?
Parolaların şifrelenmiş yani hash halinin bulunduğu tablodur. En çok tercih edilen parolaların oluşturduğu rockyou wordlist içerisinde yaklaşık 15 bin parola vardır ve brute-force saldırı yapmak isteyenler tarafından kullanılmaktadır.
CWE-523: Unprotected Transport of Credentials
Login işlemleri sırasında, requestin yaşam döngüsü boyunca servera geçiş sırasında kullanıcı bilgilerini korumak için yeterli önlem alınmamasını kapsar.
A03:2021 – Injection
İki ana başlık altında inceleyebiliriz. Query String kullanarak veri tabanına erişim sağlanıp ,veritabanındaki bilgileri görüntülenebilir ya da değiştirilebilmesi sql injection olarak adlandırlır. Bir diğer alt başlık code injetion, uzaktan kod çalıştırmanın diğer adıdır.Saldırgan uygulama ara yüzünü kullanarak kötü amaçlı kodları sisteme uyarlayarak sistemi kullanma yeteneği kazanır. İnjectiondan kaynaklanan güvenlik açıkları için iki taraflı doğrulama(validation) kuralları işletilir.
Bir diğer yönetem de, sistemde toplu kayıtlar gösterilirken, kayıt gösterimine limit koymaktır.Bu durumu şu sekilde izah edebilirim,
· Verilerin dar bir tarih/saat aralığından döndürülmesini sağlayan bir tarih aralığı sınırı uygulanabilir
· İşlenen veya döndürülen satır sayısını sınırlandırılabilir. Bu, çok fazla verinin okunmasını veya döndürülmesini engeller. Büyük sonuç kümelerini önlemenin yanı sıra, işlenen verileri sınırlamak, parametrelerden bağımsız olarak iyi bir performans sağlayabilir.
· Bir kullanıcının hiçbir filtre olmadan her şeyi aramasına veya olası tüm sonuçları döndürmesine izin vermek, muhtemelen düşük performans gösterecektir.
CWE-20: Improper Input Validation
Uygulamada kullanıcıdan alınan bilgiler her bir adımda validationlar ile doğrulanmalıdır. Aksi takdirde uygulamamıza inputlarda yetersiz doğrulamalardan kaynaklanan hatalar sonucunda uygulamanın kullanımı saldırganın yönetimine geçebilir.
CWE-91: XML Injection (aka Blind XPath Injection)
Xml kullanımında aşamlar sıkı bir güvenlik kontrolünden geçirilmelidir.Xml’e özgü <", ">", """, ve "&" özel karakter kullanılarak sistemin saldırganın kontrolüne geçmesi olası bir güvenlik açığıdır.
CWE-90: Improper Neutralization of Special Elements used in an LDAP Query ('LDAP Injection')
Uygulamamızda kullanılan LDAP queryleri yardımı ile bazı aşamaların atlanarak kaynaklara yetkisiz erişim sağlanabilir
A04:2021 – Insecure Design
Güvenli uygulama ve güvenli tasarım birbirinden farklı kavramlardır. Güvenli olmayan tasarıma oluşturulmasında en önemli faktör, geliştirilmekte olan yazılım veya sistemin doğasında bulunan iş riskini ön görememek ve dolayısıyla hangi düzeyde güvenlik tasarımının gerekli olduğunun belirlenememesidir.
Tıpkı temeli zayıf olan bir ev gibi düşünülebilir yazılım tasarımı dayanıklı değilse, bir saldırı senaryosunda kötü niyetli kullanıcılara ve hatta yüksek kapasite ile kullanıldığında normal kullanıcı tabanına karşı koyamayabilir. Bu nedenle, planlama ve tasarım aşamasında çok fazla düşünülmelidir.
Korunma yöntemleri,
Olası saldırı düzeyine bağlı olarak sistemdeki uygulama katmanları ve ağ katmanlarını ayrılmalıdır.
İki ortam birbirinden tamamen izole bir şekilde ele alınmalıdır. Bu amaçla, TPM (Trusted Platform Module), TEE (Trusted Execution Environment), HSM (Hardware Security Module), uygulama konteyneri gibi teknolojiler kullanılabilir. Ayrıca servis tabanlı mimari (SOA, mikro servis) tasarım örüntülerinin kullanılması, güvenlik katmanları ve işlevlerinin birbirlerine ve diğer yazılım bileşenlerine bağımlılığını azaltacağından mimari tanımlanırken tercih edilen bir yaklaşım olmalıdır.
Kullanıcıların kaynak tüketimi sınırlandırılmalıdır.
Sadece kritik kısımlarda değil uygulamanın her katmanında unit test ve entegrasyon testleri yazılmalıdır.
CWE-73: External Control of File Name or Path
Kullanıcıların dosya eklemesi gibi senoryolar olduğunda, yüklenen dosyaların isimleri ve dosya yolları kontrol edilmelidir. Saldırgan, sistemi kullanmak istediğinde dosya dizin bilgilerine ulaştığında kendisine yetki vererbilir ,dosyaların üzerine yazabilir ya da dosyaların kontorlünü ele geçirebilir.
CWE-642: External Control of Critical State Data
Sistem bilgilerinin ya da kullanıcı bilgilerinin yetkisiz kişilerin erişilebileceği şekilde tutulmasıdır. Saldırgan cookie ya da dosyada tutulan bilgileri kullanabilir ya da değiştirebilir.
CWE CATEGORY: Business Logic Errors
Saldırganın sistemin işleyiş mantığını kavradıktan sonra manipüle etmesi olarak tanımlanır. Girişleri doğrulama, bellek yönetimi, kullanıcı izinleri yine bu madde içine dahil edilir.
A05:2021 – Security Misconfiguration
Bir sunucu ya da web uygulaması içinde güvenlik kontrollerinin uygulanamamasıdır. Uygulamanın herhangi bir basamağında yer alan gözden kaçırmalar ya da "geçici" olarak adlandırlan işlemlerden, uygulamanın beklenen ağ davranışı ve bağlantı gereksinimleriyle ilgili yanlış varsayımlardan oluşur. Bu güvenlik açığının %21’i virüs koruma programlarının kullanılmamasından kaynaklanır.
Bir uygulama için açık olan, gereksiz yönetim bağlantı noktaları. Bunlar, uygulamayı uzaktan saldırılara maruz bırakır. Çeşitli internet hizmetlerine giden bağlantılar. Bunlar, kritik bir ortamda uygulamanın istenmeyen davranışını ortaya çıkarabilir.
Hata mesajlarında uygulama ya da sistemin işleyişi hakkında verilen bilgi mesajları güvenlik açığı oluşturur.
Bir üst sürüme geçecek şekilde güncelleme yapıldığında güvenlik ayarları baştan sona yeniden test edilmelidir. Fakat aynı şekilde geçersiz, güncel olmayan kütüphaneler ve yazılım uygulamaları da güvenlik açığı oluşturmaktır.
Cloud sistemler kullanırken her adımın otomatikleşmesi ve doğru bir şekilde konfigure edilmesi zorunludur.( AWS, shared responsibility model (paylaşılan sorumluluk modeli) ile kullanılan cloud sistemlerde tüm alt yapıyı koruma sorumluluğunu alır, fakat ilgili yazılımda güvenlik duvarı düzgün bir şekilde yönetilmelidir.
Bütün bunlara dikkat etmenin yanı sıra , uygulamamızda güvenlik konfigurasyonları otomatik hale getirilmelidir. Sistemde kullandığımız bütün dosyalar encrypt edilerek kullanılmalıdır.
CWE-260: Password in Configuration File
Uygulama içinde kullanılan şifre bilgileri yanlış yapılandırma neticesinde kolaylıkla ele geçirilebilir.
CWE-756: Missing Custom Error Page
Kullanıcıya veya o an yaşanılan duruma özgü sistemin işleyişi hakkında detaylı bilgi veren hata mesajlarını kapsar.
CWE-1004: Sensitive Cookie Without 'HttpOnly' Flag
XSS, saldırılarına zemin hazırlar. XSS, Saldırganlar, genellikle web sitesinin yazılımındaki bir güvenlik açığından yararlanarak,bir web sayfasına kendi komut dosyalarını ya da kodlarını enjekte edebilirler. Kabaca bu saldırı türü, script kodları üzerinden (genelde javascript) bir web sayfasına saldırı yapılmasıdır. XSS saldırılarında çoğunlukla tarayıcıda saklanan bilgiler, cookielere saldırı amacı ile gerçekleştirilir.
CWE-614: Sensitive Cookie in HTTPS Session Without 'Secure' Attribute
Cookie kullanırken, script dilinde erişimin kapatılması için HTTP ONLY özelliği aktif hale getirilmelidir.Domain ve Path bilgileri cookiede tutulmaz.
Yanlış kullanım Doğru kullanım
Cookie cookie = new Cookie(Id); Cookie cookie = new Cookie(Id);
Response.addCookie(cookie); Cookie.SetSecure(true); //atlanan adım
A06:2021 – Vulnerable and Outdated Components
Web uygulamaları geliştirilirken kullandığımız çok fazla kütüphane ve framework OWASP’ın 6.maddesini oluşturur. Sadece güncel paketleri/sürümleri kullanmak ile çözemeyeceğimiz durumlar oluşabilir, en son değişiklikler ile bazı özellikler kaybolabilir ve bağımlılıktan doğan başka güvenlik açıkları meydana gelebilir. Bütün bunlara database management system (DBMS) ve runtime environments dahildir.
Böyle bir güvenlik açığından kaçınmak için ise:
Kullanılmayan özellikler, componentler ve bağımlılıklar uygulamadan kaldırılmalı ve oluşturulurken minumum düzeyde bağımlılık sağlanmalıdır.
Client Side ve Server Side olmak üzere, kullanılan her özellik güncellendiğinde, güvenlik testleri tekrar edilmelidir.
2016 yılında Panama Hukuk firması olan, Mossack Fonseca’nın önemli belgeleri Drupal-WordPress CMS eklentisinin güncel olmayan versiyonun kullanılması neticesinde meydana gelmiştir. İki aşamalı güvenlik doğrulama en popüler çözümler arasındadır.
A07:2021 – Identification and Authentication Failures
Sistemdeki kullanıcıların giriş yaparken kimlik doğrulanmasındaki hataları ve eksik adımları kapsayan güvenlik zafiyetidir. Kullanılan şifreler encrypte ve hash mekanizmalarının yanı sıra salt kullanarak kaydedilmelidir.
Hash ve Salt(Tuz) Nasıl Çalışır?
Hash, parolaların tekrar eden algoritmaları ile şifrelenmesidir. Hash algoritmaları tek yönlü çalışır. Deterministik yani girdi değişmeği sürece aynı hash çıktısı alınır. Saltda ise, hash mekanizmasından önce çalışan rastgele bir metin parolanın istenilen kısmına eklenir. Böylece aynı parola girilmiş olsa bile sunucu tarafında, client bilgisayarların bilgisi olmadan, salt bilgisi de eklenmiş olarak hashlenir ve sistemde tutulur. Böylece şifreler daha güvenli hale getirilir. Günümüzde Salt Data, Tuz verisi, Hash’in olmazsa olmaz bir parçası olmalıdır.
CWE-521: Weak Password Requirements
Tahmin edilebilir ya da zayıf olan parola işlemlerinin tamamını kapsar.
CWE-304: Missing Critical Step in Authentication
Kullanıcı kimliğinin doğrulanmasında eksik adımlar olduğunu işaret eder. Saldırganlar bu adımı kolaylıkla atlayıp sistemi kullanabilir.
CWE-300: Channel Accessible by Non-Endpoint
Uygulamaların arasında haberleşen endpointler arasında kimlik doğrulama adımlarının hepsi sağlanmalıdır.
CWE-384: Session Fixation
Uygulamalarda sıklıkla yer alan sessionda tutulan oturum bilgileri güvenlik açığı yaratabilir. Bir Session Fixation saldırısında, kurban saldırgan tarafından bilinen belirli bir Oturum Kimliğini kullanması için kandırılır.
Saldırgan, güvenlik açığı bulunan uygulamayı, kötü niyetli isteklerini oturumun yasal sahibi tarafından yapılıyormuş gibi kandırabilir. Sunucu Oturum Kimliğini kabul eder ve oturumu kimliği doğrulanmış kullanıcıyla ilgili bilgilerle doldurur. Saldırgan daha sonra, güvenliği ihlal edilmiş Oturum Kimliğini istekleriyle birlikte ileterek kurbanmış gibi uygulamadaki eylemleri gerçekleştirebilir. Kullanıcının oturum kimliği, oturum açma sırasında rastgele oluşturulmak yerine önceden sabitlendiğinden, bu saldırının adı Session Fixation "oturum sabitleme" saldırısı olarak adlandırılır.
A08:2021 – Software and Data Integrity Failures
Yazılım ve veri bütünlüğü hataları, bütünlük ihlallerine karşı koruma sağlamayan kodlar ve altyapı ile ilgilidir. Bu tip güvenlik açıklarından kaçınmak için:
Bileşenlerin bilinen güvenlik açıkları içermediğini doğrulamak için OWASP Dependency Check veya OWASP CycloneDX gibi toollar kullanılmalıdır.
Oluşturma ve dağıtma süreçlerinde kodun bütünlüğünü sağlamak için CI/CD ardışık düzenine uygun ayırma, yapılandırma denetimine sağlanmalıdır.
Kullanılan kütüphaneler ve bağımlılıklar (npm, maven) konusunda dikkatli bir inceleme yapılmalıdır.
Verilerin doğru kaynaktan geldiğini anlamak için dijital imza ve buna benzer doğrulamalar tercih edilmelidir.
CWE-494: Download of Code Without Integrity Check
Saldırganlar, ana sunucunun güvenliğini riske atarak DNS üzerinden saldırılarını gerçekleştirebilir ve aktarımlar sırasında kendi kodlarını kaynak kodlarıyla değiştirebilir.
CWE-830: Inclusion of Web Functionality from an Untrusted Source
Third party fonksiyonları uygulamaya dahil etmek her zaman risk içerir. Kaynak güvenli olsa bile, bu kaynaktan aktarım sırasında yazılım değiştirilebilir.
A09:2021 – Security Logging and Monitoring Failures
Bu madde doğrudan bir güvenlik açığı olmamakla beraber, eksik tutulan log kayıtları olası bir saldırı durumunda hatanın bulunmasını zorlaştırır. Bu nedenle log kayıtlarını izlemek ve bu kayıtların işlevsel şekilde tutulması oldukça önemlidir.
Log kayıtları tutulurken, login olma, başarısız login vb işlemler mutlaka log kayıtlarında yer almalıdır.
Kayıtlar gerçek zamanlı olarak tutulmalıdır.
Log kayıtlarını tutan sunucunun arızasının oluşma ihtimaline göre yedek alınarak tutulması önemlidir.
DevSecOps ekipleri, şüpheli etkinliklerin hızlı bir şekilde tespit edilip yanıtlanması için izleme ve uyarılar oluşturmalıdır. Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) 800-61r2 ve üzerinde bir kurtarma planı oluşturulmalıdır.
CWE-778: Insufficient Logging
Güvenlik açısından kritik bir olay meydana log kayıtlarındaki eksik bilgi tutulduğunda hatayı bulmak zorlaşır.
CWE-532: Insertion of Sensitive Information into Log File
Log kayıtlarında tutulacak olan bilgiler saldırganlara yol göstermemelidir.
Özellikle Server log kayıtları, kullanılmayan uygulamalar hakkında bilgi tutarken tam path bilgisini içerebilir, bazen de kullanıcı adı ya da parolalar burada kayıt altına alınmış olabilir.
A10:2021 – Server-Side Request Forgery (SSRF)
SSRF, bir saldırganın sunucuya giden istekleri kontrol etme mekanizmasına verilen isimdir. Kendisi adına istekte bulunabildiği gibi gelen istekleri kontrol etme yeteneği kazanır. Web uygulamalarında özellikle yazılım güncellemeleri gibi uzak bir kaynaktan erişim yapılması gerektiğinde sunucular arası istekleri tetikleyebilir.
CWE-918: Server-Side Request Forgery (SSRF)
Bu güvenlik açığı sebebi ile,
· Uzaktan erişimle kötü amaçlı kodları sistemde çalıştırabilir,
· Sunucu üzerindeki kritik dosyalara erişim sağlayabilir,
· IP kontrolünü atlatabilir.
· Host tabanlı kimlik doğrulama servislerini atlatabilir.
· ASP.NET’te trace.axd veya AWS ortamında metadata API’leri gibi herkese açık olmayan kaynakları okuyabilir.
Kaynaklar / Sources: