Broken Access Control web uygulamalarında kullanıcıların yetkileri ve izinleri doğrultusunda verilere erişmesini engellemek için OWASP TOP 10 listesinin en başında yer alan ve son yıllarda uygumalarda en çok görülen zafiyetlerden birisidir. Bir kullanıcının erişim kontrolü, rol tabanlı erişim kontrolü (RBAC) veya benzer mekanizmalarla sağlanır. Ancak bu kontroller yanlış yapılandırıldığında veya eksik olduğunda, kullanıcılar yetkili olmadıkları veriler veya işlevlerle etkileşime girebilir. Bu zafiyet modeli saldırganların yetkisiz kaynaklara erişmelerine ve kritik verileri çalmalarına, manipüle etmelerine veya silmelerine yol açabilir.
Vertical Access Control Bypass
Bir kullanıcı daha düşük yetkilere sahip bir hesapla giriş yaptıktan sonra, uygulamadaki yönetici veya yüksek seviyeli kullanıcı kaynaklarına erişmeye çalışır. Örneğin, bir kullanıcı sıradan bir müşteri hesabıyla bir e-ticaret sitesine giriş yaptıysa, admin paneline ya da diğer kullanıcılara ait verilere ulaşmaya çalışabilir.
Saldırı Yöntemi:
/admin
dizinine gitmek.
Horizontal Access Control Bypass
Kullanıcı yalnızca kendi verilerine erişebilecekken, başka bir kullanıcının verilerine izinsiz erişmeye çalışır. Örneğin, bir kullanıcı başka bir kullanıcının hesap bilgilerini veya geçmiş siparişlerini görüntülemek için URL’deki parametreyi değiştirir.
Saldırı Yöntemi:
/user/1234
URL’sini /user/5678
olarak değiştirmek.
Insecure Direct Object References (IDOR)
Uygulama bir nesneye (dosya, veritabanı kaydı, vb.) erişim sağlamak için kullanıcıdan gelen girdi parametrelerini doğrudan kullanır. Saldırganların yalnızca kendi verilerine değil, diğer kullanıcıların verilerine de erişmesini sağlayabilir.
Saldırı Yöntemi:
Forced Browsing
Erişim kontrollerinin düzgün bir şekilde uygulanmadığı durumlarda, kullanıcının erişebileceği tüm kaynakları keşfetmek için yapılan bir tekniktir. Saldırgan yanlış yapılandırılmış URL’leri ve sistem dizinlerini tarayarak gizli sayfalara ulaşmaya çalışır.
Saldırı Yöntemi:
Yazılım geliştirme ve yayınlama aşamasında gerekli kontrollerin eksiksiz yapılandırması, etkili erişim kontrol mekanizmaları, güvenli kimlik doğrulama yöntemleri ve sürekli güvenlik testleri ile bu zafiyetler minimize edilebilir. Web uygulama geliştiricileri ve güvenlik uzmanları, erişim kontrolü uygulamalarını doğru bir şekilde yapılandırarak bu tehditleri önemli ölçüde engelleyebilirler.
Broken Access Control - Yorumlar
Yapılan Yorumlar
BENZER İÇERİKLERİlginizi çekebilecek diğer içerikler
IAST ile Zafiyet İnceleme 17 Aralık 2024
RASP (Runtime Application Self-Protection) Nedir? 16 Aralık 2024
DevSecOps Nedir? 04 Aralık 2024
Güvenli Yazılım Geliştirme Standartları 07 Kasım 2024
www.irfankocak.com
İrfan KOÇAK - Tüm Hakları Saklıdır