AWS Kimlik Bilgileri Hırsızlığı Nasıl Yapılır?
.git Deposu Açıklığı Nedir?
Küçük Bir Detay Uzaktan Kod Çalıştırmaya Nasıl Yol Açar?
Self-XSS’den Site Genelinde Hesap Ele Geçirme Nasıl Gerçekleşir?
Bir Numarayı Değiştirerek Hassas Verileri Ortaya Çıkarma Mümkün mü?
AWS Kimlik Bilgileri Hırsızlığı Nasıl Yapılır?
Server-Side Request Forgery (SSRF), bulut tabanlı uygulamalar için önemli bir güvenlik açığıdır. Kullanıcıdan alınan URL’lerden kaynakları çekmeye çalışan bir web uygulaması, saldırganların istekleri manipüle etmesine izin verebilir. Örneğin, bir ev taşıma uygulamasında yapılan testlerde, uygulamanın saldırganın web sunucusuna bir webhook isteği gönderdiği ve 302 yönlendirmesi ile AWS’nin meta veri hizmetine yönlendirildiği görülmüştür. Bu yönlendirme sonucunda uygulama, AWS kimlik bilgilerini içeren hassas bir meta veri yanıtı kaydetmiştir. Saldırgan bu kimlik bilgileri ile IAM izinlerini belirleyebilir ve bulut ortamında derinlemesine erişim sağlamak için ilerleyebilir.
.git Deposu Açıklığı Nedir?
Açık bir .git deposu, genellikle güvenlik taramaları sonucu ortaya çıkar. Bir ekip olarak, peşine düştüğümüz bir güvenlik taramasında, .git deposunun kamuya açık bir web uygulamasına ait olduğunu keşfettik. Kaynak kodu incelendiğinde, doğrulama aşamasını atlatan bir açıklık bulundu. Yönetim aracına eriştikten sonra, bir SQL enjeksiyonu açığına rastladık. Bu açık, bir üniversitenin veritabanına erişim sağladı. Eğer bir saldırgan bu açığı değerlendirirse, öğrencilere ve personele ait hassas bilgilere ulaşabilir. Küçük bir yapılandırma hatasının nasıl büyük bir güvenlik riski haline gelebileceği burada açıkça görüldü.
Küçük Bir Detay Uzaktan Kod Çalıştırmaya Nasıl Yol Açar?
Bir belge imzalama uygulamasında, PDF imzalandıktan sonra metadata kısmında "ExifTool" yazısının geçtiğini fark ettik. ExifTool’un geçmişteki kritik açıkları göz önüne alındığında, daha fazla inceleme yapmak istedik. Uygulama bu aracın sürümünü açıklamadığı halde, yapılan testler sonucu bu aracın CVE-2021-22204 açığına sahip olduğu doğrulandı. Kötü amaçlı bir PDF oluşturup yükleyen ekibimiz, başarıyla uzaktan komut çalıştırma elde etti. Bu erişim, saldırganın sunucudaki diğer açıkları kullanmasına ve kök erişim elde etmesine yol açabilirdi.
Self-XSS’den Site Genelinde Hesap Ele Geçirme Nasıl Gerçekleşir?
Cross-site scripting (XSS), özellikle kullanıcı etkileşimi gerektirmeyen oturum ele geçirme saldırıları için güçlü bir saldırı vektörüdür. Genellikle düşük riskli olarak görülen ‘Self-XSS’ açıkları, başka bir açıkla birleştiğinde tehlikeli hale gelebilir. Bir açık artırma uygulamasında, kullanıcıdan gelen bir HTTP isteği başlığının yansıtıldığı bir Self-XSS açığı belirlendi. Normal şartlarda, bu durum zararsız görünse de, daha fazla testler sonucunda bir önbellek zehirlenmesi açığı da ortaya çıktı. Bu iki açığın bir araya getirilmesiyle, ekibimiz uygulamayı Self-XSS yüklemesini kullanıcıların tümü için önbelleğe alıp sunmaya ikna edebildi. Bir saldırgan, tüm kullanıcı hesaplarını, yönetici hesapları dahil olmak üzere, ele geçirebilirdi.
Bir Numarayı Değiştirerek Hassas Verileri Ortaya Çıkarma Mümkün mü?
API zafiyetleri düşündüğünüzden daha yaygındır. Bunlar arasında IDOR (Insecure Direct Object Reference) açıkları, bir istekte kimlik değişikliği yapmaktan başka fazla çaba gerektirmez. Saldırgan için asıl zorluk, çalıştırmanın ötesinde, doğru kimlik avına çıkmaktır. Doğru bir uç noktayı bulmak, yetki veya kimlik doğrulama olmadan kullanılabilen ve hassas verileri açığa çıkarabilen bir uç noktayı tanıtmaktır. Ekip, API’lerde sık sık IDOR, eksik kimlik doğrulama ve bozuk yetkilendirme zafiyetlerini tespit eder. Örneğin:
GET /organisations/edit_user?user_id=1001: Saldırgan, kullanıcı profillerini değiştirebilir.GET /prod-applicantresumes/12031.pdf: Saldırgan, iş başvurusunda bulunanların özgeçmişlerine erişebilir.POST /Order/Download, OrderNo=10202: Saldırgan, müşteri sipariş bilgilerine ulaşabilir.
Bu örnekler, API zafiyetlerinin basit ama sonuçlarının büyük olabileceğini gösterir. Tek bir numarayı değiştirerek, diğer müşterilere ait bilgilerin bulunduğu veritabanları indirilebilir.
Bu gerçek dünya örnekleri, zafiyetlerin kontrol altında tutulmadığında önemli ihlallere nasıl dönüşebileceğini gösteriyor. Saldırganlar beklemez; her zaman yeni giriş noktalarını arıyorlar. Önemli olan adım, saldırganların internette neler bulabileceğini anlamaktır.
