OzzTech - Bozuk Kimlik Doğrulama

Bozuk Kimlik Doğrulama

Bozuk Kimlik Doğrulama

İşletmenizin kullanıcı kimliğine bürünme riski altında olup olmadığını ve bu konuda ne yapılması gerektiğini nasıl anlarsınız? Bozuk kimlik doğrulama, saldırganların çevrimiçi meşru kullanıcıları taklit etmek için yararlandığı çeşitli güvenlik açıklarını kapsayan bir terimdir. Genel olarak, bozuk kimlik doğrulama, iki alandaki zayıflıkları ifade eder:

  1. oturum yönetimi
  2. kimlik bilgisi yönetimi.

Her ikisi de bozuk kimlik doğrulama olarak sınıflandırılır, çünkü saldırganlar bir kullanıcı gibi görünmek için her iki yolu da kullanabilir:

  1. ele geçirilmiş oturum kimlikleri veya
  2. çalınmış oturum açma kimlik bilgileri.

Saldırganlar, bu zayıflıklardan yararlanmak için, büyük kimlik bilgilerini doldurma saldırılarından belirli bir kişinin kimlik bilgilerine erişmeyi amaçlayan yüksek düzeyde hedeflenmiş şemalara kadar çok çeşitli stratejiler kullanır.

Son yıllarda, bozuk kimlik doğrulama saldırıları en kötü veri ihlallerinin çoğuna neden oldu ve güvenlik uzmanları bu yeterince tanınmayan tehdit hakkında alarm veriyor. Açık Web Uygulaması Güvenliği Projesi (OWASP), onu 2017'den bu yana en büyük web uygulaması güvenlik risklerinin "İlk 10" listesine dahil etti. 2020 yılına kadar, bozuk kimlik doğrulama ikinci sıraya yükseldi.

Aşağıda, bozuk kimlik doğrulama konusuyla ilişkili zayıflıkların neler olduğunu ve işletmelerin bunlara karşı nasıl korunabileceğini açıklayacağız.

Oturum Yönetimi Kusurları Saldırılara Kapı Açar

Oturum yönetimi, bozuk kimlik doğrulamanın bir parçasıdır, ancak iki terim genellikle yan yana listelenir, bu nedenle insanlar “kimlik doğrulamanın” yalnızca kullanıcı adları ve şifreleri ifade ettiğini varsaymaz. Web uygulamaları, bireysel kullanıcıları tanımlamak için oturumları ve kimlik bilgilerini kullandığından, saldırganlar her iki mekanizmayı kullanarak onları taklit edebilir.

Oturum Yönetimi Temelleri

Bir web oturumu, aynı kullanıcıyla belirli bir süre içinde ilişkilendirilen bir dizi ağ işlemidir. Diyelim ki bir sosyal medya sitesine girdiniz ve hesabınıza giriş yapmadan önce bir süre göz gezdirdiniz. Yorum yapmak istediğiniz, giriş yapmanızı gerektiren ilginç bir gönderi buldunuz. Birkaç yorum bıraktıktan sonra, oturumu kapatıp web tarayıcısı penceresini veya sekmesini kapatıyorsunuz. Web sitesine geldiğiniz andan itibaren yaptığınız her şey bir seanstı. Web uygulamaları, kimlik doğrulamadan önce ve sonra oturumları izleyebilir.

Web uygulamaları, her kullanıcıya, her ziyaret için benzersiz bir oturum kimliği verir; bu, web uygulamasının sitede gezinirken kullanıcıyla iletişim kurmasını sağlar. Bu oturum kimlikleri genellikle tanımlama bilgileri ve URL parametreleri biçimini alır.

Oturum yönetimi, o oturumun parametrelerini nasıl tanımladığınızla ilgilidir. Örneğin;

  • Bir kullanıcının oturumunu otomatik olarak kapatmadan önce bir oturum ne kadar sürebilir?
  • Oturum kimliklerini nasıl düzenler ve iptal edersiniz?
  • Bir kullanıcının IP adresine ne kadar güvenli bir şekilde bağlılar?

Kullanıcı oturum açtığında, bir kullanıcının web uygulamasıyla kimliği doğrulanmış bir oturum oluşturduğunu unutmamak önemlidir. Sonuç olarak, OWASP, kimliği doğrulanmış bir oturumun oturum kimliğinin, kullanıcı adı ve kullanıcı adı gibi uygulama tarafından kullanılan en güçlü kimlik doğrulama yöntemine geçici olarak eşdeğer olduğunu belirtir. parola. Ele geçirilen bir oturum kimliği, çalınan bir oturum kimliği kadar güçlüdür.

Oturum Yönetimi Saldırıları

Oturum çalma

Uygun güvenlik önlemleri olmadan, web uygulamaları, saldırganların, kullanıcıların kimliklerini taklit etmek için çalınan oturum kimliklerini kullandığı oturum ele geçirmeye karşı savunmasızdır. Oturum kaçırmanın en basit örneği, bir uygulamadan çıkış yapmayı unutan ve ardından cihazından uzaklaşan bir kullanıcıdır. Bir bilgisayar korsanı daha sonra oturumlarına devam edebilir.

Oturum Kimliği URL'sini Yeniden Yazma

Oturum kaçırmanın bir başka yaygın yolu da “URL rewriting (yeniden yazma)”dır. Bu senaryoda, bir kişinin oturum kimliği bir web sitesinin URL'sinde görünür. Bunu görebilen herkes (örneğin, güvenli olmayan bir Wi-Fi bağlantısı aracılığıyla) oturuma geri dönebilir. Zoombombing böyle oldu.

Seans Fiksasyonu

Genellikle gözden kaçan en iyi uygulama, bir kullanıcıya kimlik doğrulamadan önce ve sonra aynı kimliği vermek yerine, bir kullanıcı oturum açtıktan sonra oturum kimliklerini döndürmektir. Bunu yapamayan web uygulamaları, oturum kaçırmanın bir çeşidi olan oturum sabitleme saldırısına karşı savunmasızdır.

Oturum sabitleme saldırısının arkasındaki ana fikir, saldırganın kurbanın kullanacağı oturum kimliğini önceden belirlemesidir. Saldırgan daha sonra kurbana önceden belirlenmiş oturum kimliğini içeren bir bağlantı gönderebilir. Bağlantı, kurbanın oturum açmasını gerektiren bir kaynağa işaret eder.

Web uygulaması oturumda kurbanın kimlik doğrulama durumunu sürdürürse, saldırgan kurban oturum açtıktan sonra kurbanın kimliğine bürünmek için bu önceden belirlenmiş oturum kimliğini kullanabilir. Saldırgan veya kurban bu oturum kimliğini sunucuya sunsun, sunucu oturum kimliğinin kimliği doğrulanmış bir oturuma karşılık geldiğini belirleyin ve korunan kaynaklara erişim verin.

Geliştiriciler, oturum açtıktan sonra web uygulamasının meşru kullanıcıya yeni bir oturum kimliği vermesini sağlayarak saldırganın kurbanı takip etmesini engelleyebilir. Web uygulaması oturum kimliğini döndürdüğünde, önceden belirlenmiş oturum kimliği işe yaramaz hale gelir.

Saldırganlar Zayıf ve Ele Geçirilmiş Kimlik Bilgilerinden Yararlanıyor

Son yıllarda saldırganlar, limit dışı sistemlere erişmenin en kolay yolunun başka birinin kimlik bilgileriyle oturum açmak olduğunu keşfettiler. Phishing ve çalıntı kimlik bilgilerinin kullanılması artık bir veri ihlali yürütmek için en yaygın iki mekanizmadır.

Kötü niyetli aktörler, kullanıcıları parolalarını ifşa etmeleri için çalmak, tahmin etmek veya kandırmak için çeşitli yöntemler kullanır.

Kimlik Bilgileri Doldurma

Saldırganlar, şifrelenmemiş e-postalar ve parolalarla dolu bir veritabanına eriştiğinde, sık sık diğer saldırganların kullanması için listeyi satar veya verir. Bu saldırganlar daha sonra, bir siteden çalınan kimlik bilgilerini farklı hesaplarda test eden kaba kuvvet saldırıları için botnet'leri kullanır. Bu taktik genellikle işe yarar çünkü insanlar uygulamalar arasında sıklıkla aynı parolayı kullanır.

Bozuk Kimlik Doğrulama

Şu anda saldırganların kullanabileceği milyarlarca güvenliği ihlal edilmiş kimlik bilgisi var. Çoğu zaman, kullanıcılar liseden beri kullandıkları şifrenin tüm hesapları için bir iskelet anahtarı haline geldiğini bile bilmiyorlar.

Şifre Püskürtme

Parola püskürtme, biraz kimlik bilgisi doldurmaya benzer, ancak çalınan parolalardan oluşan bir veritabanı üzerinde çalışmak yerine, bir kullanıcının hesabına girmek için bir dizi zayıf veya yaygın parola kullanır. Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC) tarafından 2019 yılında yapılan bir anket, 23,2 milyon hesabın şifre olarak "123456" kullandığını, milyonlarca hesabın ise spor adları, küfürler ve her zaman popüler olan "password" kullandığını buldu.

Parola püskürtme, bir tür kaba kuvvet saldırısıdır, ancak genellikle çok sayıda başarısız oturum açma girişiminden sonra IP adreslerini engelleyen otomatik kilitlemelerle kayar. Bunu, tek bir kullanıcı üzerinde parola ardı ardına denemek yerine, aynı parolayı her seferinde bir kullanıcı deneyerek yapar.

Kimlik Avı Saldırıları

Saldırganlar genellikle kullanıcılara güvenilir bir kaynaktan geliyormuş gibi davranan bir e-posta göndererek ve ardından kullanıcıları kimlik bilgilerini veya diğer ilgili bilgileri paylaşmaları için kandırarak kimlik avı yaparlar. Bir kuruluştaki herkese aynı sahte e-postayla ulaşan geniş tabanlı bir girişim olabilir veya belirli bir hedefe göre uyarlanmış bir "spear phishing'' saldırısı biçimini alabilir.

Saldırganlar için spear phishing, özellikle yararlı olabilir. Bu saldırı tekniğini, birinin duygularını kişisel bilgilerine dayanarak manipüle etmek için kullanabilirler. Örneğin, konu satırında "kız kardeşinizin resimleri" olan bir e-posta geldiyse, kız kardeşinizin adından bahsettiği için çok daha fazla etki yaratır.

Başarılı ağ ihlallerinin %35'inin 2019'da spear phishing saldırısıyla başladı. Saldırganların hedefli kimlik avı yoluyla kurbanlarını cezbetmek için farklı mekanizmaları bulunuyor. Bu saldırganlardan bazıları %19'u ek kullandı, %15'i kötü amaçlı bir bağlantı içeriyor ve %1'i bir hizmet aracılığıyla kimlik avı kullanılıyordu.

Artık çoğu kuruluş kimlik avı saldırılarına aşina olduğu için müşterilerini şüpheli e-postaları açmamaları konusunda uyarır. Ancak tüm bunlara rağmen bu konuda "kurumsal duyarlılığın" hala ne yazık ki %5 civarında. Yani bu demek oluyor ki 20 çalışanınız varsa, bunlardan biri yine de bir phishing e-postasını tıklayabilir.


İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.