Ön Yüz Kodlarında Gizli API Anahtarları Sorunu
Gizli API anahtarlarının ele geçirilmesi, yazılım güvenliği konusunda uzun zamandır var olan bir sorundur. Ancak, ön yüz kodlarındaki bu sorunun boyutu, Intruder araştırma ekibinin yaptığı detaylı bir çalışma ile gözler önüne serildi.
42,000 Gizli Bilgi Ortaya Çıktı
Intruder’ın yeni gizli bilgi tespit yöntemiyle yapılan inceleme, 5 milyon uygulamada 334 farklı gizli bilgi türü arasında toplamda 42,000’den fazla açık anahtar ve token bulundu. Bu tokenlar arasında, düşük değerli test anahtarlarının yanı sıra, üretim kodunda aktif ve kritik derecede önemli kimlik bilgileri de yer almakta. Bu durum, birçok kuruluşun güvenlik kontrollerini bypass etmekte.
Etkilenen Sistemler
CVE-xxxx veya benzeri spesifik CVE atıfları bulunmamakla birlikte, bazı önemli sistem açıkları gündeme geldi:
- Kod Deposu Tokenları: GitHub ve GitLab gibi platformlara ait 688 token bulunmuş olup, birçoğu hâlâ aktif durumda.
- Proje Yönetimi API Anahtarları: Linear uygulaması için kullanılan API anahtarı, doğrudan ön yüz koduna gömülmüştü.
- Diğer Üzerindeki Hizmetler: CAD yazılım API’leri, e-posta platformları, otomasyon platformları, PDF dönüştürücüler gibi birçok hizmette gizli bilgiler tespit edildi.
Gizli Bilgiler Neden Görmezden Geliniyor?
Geleneksel Tarayıcılar JavaScript’i “Konuşmuyor”
Geleneksel güvenlik tarayıcıları, tanımlı yollar üzerinden ve belirli düzenli ifadelerle gizli bilgileri aramakta. Ancak, bu yöntemlerin sınırlamaları var ve JavaScript dosyaları gibi bazı kaynakları göz ardı edebiliyorlar. Örneğin, bir tarayıcıdan beklenen isteklerin çoğu, bu eski sistemle gerçekleştirilmemekte.
Static Application Security Testing (SAST) araçları, kaynak kodunu analiz ederek bazı açıkları yakalayabilse de, JavaScript ile ilgili gizli bilgileri tespit etmede yetersiz kalıyor.
DAST Dileması
Dinamik Uygulama Güvenlik Testi (DAST) araçları, genellikle uygulama güvenlik taramaları için daha etkili bir yöntem sunmakta. Ancak, bu araçların yapılandırma karmaşıklığı ve maliyetleri nedeniyle, birçok kurum her uygulama için DAST değerlendirmesi yapmamaktadır.
Gizli Bilgilerinizi Gizli Tutun
Shift-left kontrolleri önemlidir. SAST, depo taramaları ve IDE güvenlik önlemleri, önemli sorunları yakalayarak büyük bir bölümü önlemektedir. Ancak, bu araştırma, gizli bilgilerin üretime aktarılırken geçebileceği yolların tümünü kapsamadığını göstermekte. Otomasyon ve yapay zeka ile üretilen kodların artmasıyla bu sorun daha da büyüyebilir.
Sonuç olarak, Single Page Application (SPA) tarama yöntemleri, gizli bilgilerin üretime ulaşmadan önce yakalanmasına olanak tanımakta. Kuruluşlar, gizli anahtarları ifşa etmemek için bu tür önlemleri mutlaka almalıdır.
Güncellemelerinizi yapmayı ve gereksiz açık portları kapatmayı unutmayın. Ayrıca, gizlilik için bir gizli bilgi yönetim politikası oluşturabilirsiniz.
