A05:2021-Güvenlik Yanlış Yapılandırması

OWASP Nedir?

OWASP (Open Web Application Security Project), açık kaynaklı bir topluluk tarafından desteklenen ve web uygulama güvenliği ile ilgili en iyi uygulamaları, araçları ve kaynakları geliştiren ve yayınlayan bir organizasyondur.

Security Misconfiguration (Güvenlik Yanlış Yapılandırması)

OWASP'ın 2021 listesinde 5. sırada yer alan bu zafiyet, sunucu veya web uygulamalarında güvenlik kontrollerinin istendiği halde yanlış yapılandırmalardan dolayı uygulanamaması sonucunda ortaya çıkar.

Öne Çıkan Güvenlik Yanlış Yapılandırmalar

Güvenlik yapılandırmalarındaki hatalar, web uygulamalarını savunmasız hale getirebilecek birçok farklı senaryoya yol açabilir. En sık karşılaşılan güvenlik yanlış yapılandırmalarını aşağıda sizler için listeledim.

Varsayılan Parolalar

Birçok sistem ve uygulama, kullanıcıların kolayca tahmin edebileceği varsayılan parolalarla gelir. Bu parolaların değiştirilmemesi, hassas verilere veya sistem işlevlerine yetkisiz erişime yol açabilir.

Kullanılmayan Hizmetler

Kullanılmayan hizmetler ve uygulamalar, özellikle etkin olmayan veya yamasız bir şekilde bırakılırsa, sistemde güvenlik açıkları oluşturabilir. Saldırganlar, hassas verilere erişim sağlamak veya yetkisiz eylemler gerçekleştirmek için bu güvenlik açıklarından yararlanabilir.

Uygunsuz Dosya İzinleri

Yanlış dosya izinleri, hassas dosyalara ve verilere yetkisiz erişime izin verebilir. Bu durum, dosyalar uygun şekilde korunmadığında veya izinler herkesin verilere erişmesine izin verecek kadar geniş kapsamlı olduğunda meydana gelebilir.

Çözüm Yolları

Güvenli Yapılandırma Standartları

Sistemlerin uygun şekilde yapılandırıldığından emin olmak için İnternet Güvenliği Merkezi (CIS) veya Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) gibi yerleşik güvenlik yapılandırma standartlarını kullanın.

Sürekli İzleme

Olası güvenlik yanlış yapılandırmalarını tespit etmek için sürekli izleme ve otomatik güvenlik açığı taraması uygulayın. Sistem günlüklerinin güvenlik olaylarını yakalayacak şekilde düzgün yapılandırıldığından emin olun.

Düzenli Güncellemeler ve Yama Uygulaması

Bilinen güvenlik açıklarına karşı koruma sağlamak için tüm sistemlerin ve uygulamaların düzenli olarak güncellendiğinden emin olun. Bu hem işletim sistemi güncellemelerini hem de yazılım güncellemelerini içermelidir. Yazılım güncellemeleri, sadece ürünün kendisini değil, aynı zamanda bağlı olduğu kütüphaneleri ve bileşenleri de içermelidir.

En Az Ayrıcalık İlkesi

Kullanıcı erişimini yalnızca işlevlerini gerçekleştirmek için gerekli olan kaynaklara ve verilere sınırlayan en az ayrıcalık ilkesini izleyin. Bu, hassas verilere ve işlevlere yetkisiz erişimi önleyebilir.

Güvenlik Testi

Sistemler ve uygulamalardaki olası güvenlik yanlış yapılandırmalarını ve güvenlik açıklarını belirlemek için sızma testleri ve güvenlik açığı değerlendirmeleri dahil olmak üzere düzenli güvenlik testleri gerçekleştirin. Bu, güvenlik açıklarının kötüye kullanılmadan önce tanımlanmasına ve düzeltilmesine yardımcı olabilir.

Bu tavsiyelerle güvenliğinizi üst seviyeye çıkarabilirsiniz.

Örnek Saldırı Senaryoları

Senaryo 1: Varsayılan Hesaplar

Uygulama sunucusu, üretim sunucusundan kaldırılmış örnek uygulamalarla birlikte gelir. Bu örnek uygulamalarda, saldırganların sunucunun güvenliğini aşmak için kullandığı bilinen güvenlik kusurları bulunmaktadır. Varsayalım ki, bu uygulamalardan biri yönetici konsolunu içeriyor ve varsayılan hesapların değiştirilmediğini düşünelim. Bu durumda, bir saldırgan varsayılan şifreleri kullanarak sisteme giriş yapabilir ve kontrolü ele geçirebilir.

Senaryo 2: Dizin Listeleme

Dizin listeleme yeteneği, saldırganların sunucuda gezinmesine ve potansiyel güvenlik açıklarını bulmalarına olanak tanır. Sunucuda dizin listeleme yeteneği devre dışı bırakılmamış durumda. Saldırgan, dizinleri kolayca listeleyebileceğini keşfeder. Saldırgan derlenmiş Java sınıflarını bulur, indirir ve bunları kaynak koda dönüştürerek inceleme yapabilir. Bu durum, saldırganın uygulamada ciddi bir erişim kontrolü hatası keşfetmesine olanak tanır.

Kaynakça

1. OWASP Top 10
2. A05 2021 Security Misconfiguration
3. A05 Security Misconfiguration
4. OWASP Top 10 Explained with Examples
5. Supply Chain Security: Security Misconfigurations
6. Security Misconfiguration Nedir?
7. Security Misconfiguration — Yanlış Güvenlik Yapılandırması

---

LinkedIn: Emre Gümüş