OWASP Top 10: Broken Authentication

Bu yazımda sizlere OWASP Top 10 listesinin 2. sırasında bulunan “Broken Authentication” saldırıları hakkında bilgi vermeye çalışacağım.

Broken Authentication Nedir?

Kimlik doğrulama ve session(oturum) yönetimi, modern web uygulamalarının temel bileşenlerini oluşturur. Kimlik doğrulama, kullanıcıların kimliklerini doğrulayarak web uygulamalarına erişmelerine olanak tanır. En yaygın kimlik doğrulama biçimi, bir kullanıcı adı ve şifre mekanizması kullanmaktır. Bir kullanıcı bu kimlik bilgilerini girer, sunucu bunları doğrular. Doğruysa, sunucu, kullanıcıların tarayıcısına bir oturum çerezi sağlar. Web sunucuların kullandığı HTTP(S) bağlantıları durum bilgisi taşımaz bu yüzden de bir session(oturum) tanımlama bilgisi gereklidir. Oturum tanımlama bilgilerinin eklenmesi, sunucunun kimin hangi verileri gönderdiğini bileceği anlamına gelir. Sunucu daha sonra kullanıcıların eylemlerini takip edebilir.

Bir saldırgan, bir kimlik doğrulama mekanizmasındaki kusurları bulabilirse, diğer kullanıcıların hesaplarına başarıyla erişebilir. Bu, saldırganın hassas verilere erişmesine izin verir (uygulamanın amacına bağlı olarak). Kimlik doğrulama mekanizmalarındaki bazı yaygın kusurlar şunları içerir:

  • Brute Force(Kaba kuvvet) saldırıları: Bir web uygulaması kullanıcı isimleri ve parolalar kullanıyorsa, saldırgan, birden çok kimlik doğrulama girişimi kullanarak kullanıcı adı ve parolaları tahmin etmelerine olanak tanıyan kaba kuvvet saldırıları başlatabilir.
  • Zayıf kimlik bilgilerinin kullanımı: Web uygulamaları güçlü parola politikaları belirlemelidir. Uygulamalar, kullanıcıların “şifre1” veya genel şifreler gibi şifreler belirlemesine izin verirse, bir saldırgan bunları kolayca tahmin edebilir ve kullanıcı hesaplarına erişebilir. Bunu kaba zorlama olmadan ve birden fazla girişimde bulunmadan yapabilirler.
  • Zayıf Session(Oturum) Cookie’lerin Kullanılması: Oturum çerezleri, sunucunun kullanıcıları nasıl takip ettiğidir. Oturum tanımlama bilgileri tahmin edilebilir değerler içeriyorsa, bir saldırgan kendi oturum tanımlama bilgilerini ayarlayabilir ve kullanıcıların hesaplarına erişebilir.

Bu sorun için alınabilecek bazı önlemler şunlardır:

  1. Brute Force(Kaba Kuvvet) saldırılarını ve parola tahminini önlemek için uygulamanın güçlü bir parola politikası uyguladığından emin olun.
  2. Brute Force(Kaba Kuvvet) saldırılarını önlemek için, uygulamanın belirli sayıda denemeden sonra otomatik bir kilitlemeyi zorladığından emin olun. Bu, bir saldırganın daha fazla kaba kuvvet saldırısı başlatmasını engelleyecektir.
  3. Çok faktörlü kimlik doğrulama uygulaması ile bir kullanıcının birden fazla kimlik doğrulama yöntemi varsa bu durumda saldırganın hesabına erişmek için her iki kimlik bilgisine de erişmesi zor olacaktır. Örneğin kullanıcı adı ve parolaları kullandıktan sonra mobil cihazına bir kod göndermek günümüzde kullanılan yöntemlerdendir.

Buraya kadar olan kısımda sizlere OWASP Top 10 listesinin 2. sırasında olan “Broken Authentication” hakkında bilgi vermeye çalıştım. Bir sonraki yazımda size OWASP Top 10 listesinin 3. sırası hakkında bilgi vermeye çalışacağım.

Bir sonraki yazımda görüşmek üzere…

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Google fotoğrafı

Google hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Connecting to %s

WordPress.com'da Blog Oluşturun.

Yukarı ↑

%d blogcu bunu beğendi: