Siber Güvenlikte Düşük Seviye Açıklık Nedir

Merhaba, bu makalede siber güvenlik sektöründe çalışan kimselerin kullandıkları otomatize açıklık tarayıcı yazılımlarda raporlanan "Düşük" seviye açıklıkların işlevi ve müşteriye sunulacak raporda müşteriye Düşük seviye açıklığın nasıl izah edilebileceği açıklamaları yapılacaktır. Bu açıklamalar web uygulamalarına sızma testleri özelinde örneklemeler ile anlatılacaktır, fakat açıklamalar genel kapsamda da değerlendirilebilir.

Siber güvenlik dünyasında elektronik sistemlerin ve üzerinde çalışan uygulamaların güvenliği kademe anlayışıyla çalışır. Siber güvenliğe yabancı kimseler veya siber güvenlikte acemiler güvenliğe kademe anlayışıyla yaklaşıldığı bilincinde değiller ve resmin bütününü bu nedenle görememekteler. Güvenlik kademe ve kademe şeklinde çalışır. Tıpkı devletlerin birbirlerine karşı askeri güvenlikte kademe kademe güvenlik önlemleri alıyor olması gibi. Her kademe kazanç veya kayıptır.

Sektörde çalışan kimselerin müşteriye sunmak üzere hazırladıkları sızma testi raporlarında değerlendirmenin Yüksek varsa rapor elle tutulurdur / geçerlidir, yoksa çöptür şeklinde görülmesi güvenliğin g'sinin dahi anlaşılmadığını / bilinmediğini gösterir. Müşterinin Düşük seviye açıklıkları ve ehemmiyetini anlayamaması bir açıdan doğaldır, fakat aynı şey sektörde çalışan kimselerde de vardır. Düşük açıklığın ehemmiyetinin tarif edilememesi müşteri nazarında beş para etmez iş yapılmış olarak görülebilir. Bu durum tamamen işi yapan tarafın ve işin raporlamasını alan muhatabın işi bilmiyor oluşundandır.

Sektöre yabancı veya sektörde acemi kimseler otomatize açıklık tarayıcı yazılımların raporladıkları Düşük seviyeli açıklıkların ne işe yaradığını somut olarak anlamazlar. Buna ilaveten Yüksek açıklığı da esasında anlamazlar. İşi yapanın ve işi alan tarafın Yüksek açıklığa bakışları yanlış şekilde olabilmektedir. Düşük açıklığı açıklamak için önce Yüksek açıklık nedirden başlayalım.

Yüksek sayılan açıklıklar sanılmaktadır ki (sözüm SQL Injection v.b.'lerinden ve sıradan ev bilgisayarları ile web sunucuyu servis dışı bırakma saldırıları Slow Http v.b.lerinden dışarı) tuşa bas ve sız. Esasında Yüksek diye raporlanmış açıklık ile kazanç elde edebilmek için gerçek hayatta birçok şart o kapsamda var olmalıdır. Yani bir Yüksek'in çalışması için birden fazla başka yan yol / şart açık olmalıdır. Ama g'ciler (güvenliğin g'sinden anlamayanlar) bunu anlayamamaktadır. Örneğin XSS açıklığı. Yüksek açıklıktır. Fakat XSS'in gerçekten çalışması için zaman ve ayrıyetten yan şartlar açık olmalıdır. Aksi takdirde XSS açıklığı var olsa da açıklıktan kazanç elde edilemeyebilir.

G'ciler aldıkları raporda Yüksek'i görünce tamam bu iş derler, ama aslında anlamazlar. Düşük'ü anlamadıkları gibi. Yüksek diye raporlanan açıklık esasında ilgili tarafın 100% o açıklık yoluyla zarara uğrayacağını göstermez. Çünkü Yüksek açıklık yan şartlar / yollar isteyebilir (ki çoğu zaman ister). Yan şartlar / yollar açık değilse Yüksek açıklık var olsa dahi zarar görülmez. Ancak güvenliğe kademe anlayışıyla yaklaşıldığından yan şartlar / yollar bir gün imkan vermez, fakat sonra imkan verir olabilir diye Yüksek açıklık kendi başına açıklık olarak raporlanır.

Örneğin bir yüksek açıklığın gerçek hayatta çalışması için basitleştirilmiş bir gösterimi şu şekilde verebiliriz:

if ($şart1 && $şart2 && $şart3 && şart4 && $YüksekAçıklık){
     echo "Sızdın / Yarar Elde Ettin";
}

Burada Yüksek açıklık olarak birçok açıklık sayılabilir ve Yüksek açıklık yerine koyulan açıklığa göre şart sayısı artabilir veya azabilir. Ama XSS'den devam edecek olursak birinci şart zamandır. Yani XSS açıklığı kullanıcının davranışına göre tetiklendiğinden kullanıcının açıklık noktasına gelmesi beklenir. İkinci şart uygulama sunucusunun CORS önlemi kullanmıyor olmasıdır. Yani bu sayede uzaktaki saldırgan üçüncü taraf konumunda olan kendi sunucusuna kullanıcı bilgisini çekebilir olur. Üçüncü şart uygulama sunucusunun XSS önleyici http güvenlik başlığı kullanmıyor olmasıdır. Yani bu sayede kullanıcı açıklık noktasına geldiğinde açıklıktan etkilenebilir olur. Bu gibi şartlardan biri sağlanmazsa Yüksek açıklık XSS uygulamada yer alıyor olsa dahi açıklıktan kazanç elde edilemeyecektir. Not: Şartlar kısa süreli oturum timeout'ı kullanmıyor olması vs. şeklinde uzatılabilir.

Bundan hareketle Düşük açıklıklara gelecek olursak Düşük açıklıklar sızma / yarar elde etme yolunun önüne geçmek için ara engel kademeleridir. Kimi zaman inatçı, kimi zaman zayıf engel kademeleridir. Düşük açıklık örneğin saldırganların istihbari değeri olan hedef sistem hakkındaki verileri görmemesine dönük saklama ve sistem gizliliğini sağlamaktır. Örn; Sunucu Yazılım Bilgisinin İfşa Edilmesi düşük seviye açıklığının kapatılması sonucu saldırganların hedef sistemin yapısını görebilecekleri bir fotoğrafını çekemeyecek olması gibi. Düşük açıklık örneğin saldırganların saldırı motivasyonunu / enerjisini hedef sisteme çalışma kapsamını arttırmak yoluyla harcama, yorma, pes ettirme ile misal gizli bir açıklığın keşfine ulaşmasını engellemektir. Örn; Http Options Metodunun Açık Bırakılması düşük seviye açıklığının kapatılması sonucu saldırganların çalışma kapsamlarının arttırılması gibi. Düşük açıklık örneğin yukarıdaki Yüksek açıklık yan şartlarından biri veya birkaçıdır ve yan şartların iptal edilmesiyle sızma imkanı sunacak yüksek açıklık olsa dahi sızılamamasını sağlamaktır. Örneğin Http Güvenlik Başlıklarının Kullanılmaması düşük seviye açıklığının (yan şartının) kapatılması ile ilgili yüksek açıklık olsa dahi faydanın elde edilememesi gibi.

Büyük resmi (siber güvenlik sızma girişimlerinin kapsamını / çerçevesini) bilemeyen, göremeyen Düşük seviye açıklık mı pff der. Eften püften görür. O zaman soru; Niye sektörde bilinen tanınan yabancı açıklık tarama araçları Düşük seviye açıklıkları raporluyor? Demek ki bir işe yarıyor, değil mi? Ama ne işe yaradığını g’ciler anlamamaktalar. Düşük seviye açıklıkların ne işe yaradığını anlamak büyük resmi görmeyi gerektirir. Bunu tahminimce sektörde çalışmış, etmiş, yıllanmış ve geriye dönüp bu şekilde Düşük seviye açıklıklar üzerine kafa yoran bir çalışan birikimi sonucu görebilir. Buna tecrübe adı verilir.

Yüksek seviye açıklık XSS'den devam edecek olursak örneğin http güvenlik başlığı olan Content-Security-Policy bir ara engel kademesidir. Bu varsa avantajları ve dezavantajları bir yana yüksek seviye açıklık XSS var olsa dahi çalışmaz, işe yaramaz. Ama bakan kimse Content-Security-Policy mi, konfigurasyon ayarı mı, pff der ve Düşük seviye açıklık der sallar. Halbuki bu güvenlik kademesi olan bir sistem içerde zafiyete uğrasa da dışardan korumayı sürdürecektir. G'ciler güvenliğin kademe kademe perspektiften çalışan bir sistem olduğunu bilmezler. Sonuç olarak listelenen açıklıklara bu perspektiften bakılmalıdır.

Altçizgi

Bu bilgiler yabancı sektörde bilinen tanınan hiçbir açıklık tarayıcı yazılımın bulduğu açıklık tanımlarında veya web site makalelerinde bahsedilmez, yer almaz. Informational (Bilgisel Açıklık), veya Düşük Açıklık olarak geçer, ve derinliğinin sebep ve sonuç halinde anlatılmadığı yüzeysel açıklamalarla sunulur. Bu makalede paylaşılan bilgiler ise sektörde çalışmış, etmiş, yıllanmış çalışanların birikimleriyle geriye dönüp Düşük seviye açıklıkları irdelediğinde anlayabilecekleri, fark edebilecekleri bilgilerdir.

Bu yazı 17.01.2020 tarihinde, saat 10:20:23'de yazılmıştır. 12.06.2020 tarihi ve 05:06:54 saatinde ise güncellenmiştir.

Yazar : Hasan Fatih ŞİMŞEK

Görüntülenme Sayısı : 2332

Yorumlar

mehmet ışık
Faydalı bilgiler için teşekkürler...
Bu yorum 09.03.2022 tarihinde, saat 11:13:36'de gönderilmiştir.

Yorum Ekle

	#Kategoriler
	->	Genel
	->	Webgoat Uygulaması
	->	DVWA Uygulaması
	->	Çeşitli Sızma Teknikleri
	->	Güvenlik Araçları
	->	Linux Temelleri
	->	Genel Kültür (Siber Güvenlik)

#Popüler Yazılar
	->	Faz Açısını Hesaplama
	->	Hub, Switch, Router, Modem, Gateway ve Access Point Farkları
	->	Ders 12 - Ajax Security > DOM-Based cross-site scripting
	->	GET ile POST Arasındaki Fark
	->	BGA Sınav Soruları 2016

#En Son Yazılar
	->	Apache Web Sunucuyu Yurt Dışı (Türkiye Dışı) Trafiğe Kapama
	->	Siber Güvenlikte Düşük Seviye Açıklık Nedir
	->	Haberleşme Teknolojisi
	->	Oyun Motoru Nedir
	->	Arp Spoofing İlave Uygulamalar

#Arşiv
	► 2014 ► Ekim (1) • Blog Maceram Başlar ► Kasım (7) • Parazit ve Gürültü Arasındaki Fark Nedir? • Stack ve Heap Arasındaki Fark • Sinyal Denkleminin Anlamı • Periyot ve Frekans Nedir? • Faz Açısını Hesaplama • Üniversite Öğrencilerinin Sağlık Aktivasyonu • Nesne Yönelimli Programlama Nedir ► Aralık (3) • Skype'ta Birbirimizin Sesini Nasıl Duyuyoruz? • Hub, Switch, Router, Modem, Gateway ve Access Point Farkları • Askerlikle İlgili Sorular ► 2015 ► Ocak (1) • Dev Firmaların Mülakatlarda Sorduğu 15 Çetin Soru ► Şubat (4) • Yapay Zeka İnsanı Geçemez • Webgoat Nedir? • Ubuntu 14.04 LTS Linux'a Webgoat Kurulumu • Windows'a Webgoat Kurulumu ► Mart (1) • Ders 1 - Introduction(Giriş) ► Nisan (3) • Ders 2 - General > Http Basics • Ders 3 - General > Http Split • Ders 4 - Access Control Flaws > Using an Access Control Matrix ► Mayıs (7) • Ders 5 - Access Control Flaws > Bypass a Path Based Access Control Scheme • Ders 6 - Role Based Access Control > Stage 1 • Ders 7 - Role Based Access Control > Stage 2 • Ders 8 - Role Based Access Control > Stage 3 • Ders 9 - Role Based Access Control > Stage 4 • Ders 10 - Access Control Flaws > Remote Admin Access • Ders 11 - Ajax Security > Same Origin Policy Protection ► Haziran (4) • Ders 12 - Ajax Security > DOM-Based cross-site scripting • Ders 13 - Ajax Security > Client Side Filtering • GET ile POST Arasındaki Fark • Ders 14 - Ajax Security > DOM Injection ► Temmuz (7) • Ders 15 - Ajax Security > XML Injection • Ders 16 - Ajax Security > JSON Injection • Ders 17 - Ajax Security > Silent Transactions Attacks • UML Sınıf Diyagramları • UML Sınıf Diyagramı İlişkileri • Association vs. Aggregation vs. Composition • Ders 18 - Ajax Security > Dangerous Use of Eval ► Ağustos (2) • Ders 19 - Ajax Security > Insecure Client Storage • Ders 20 - Authentication Flaws > Password Strength ► Eylül (11) • Ders 21 - Authentication Flaws > Forgot Password • Ders 22 - Authentication Flaws > Basic Authentication • Ders 23 - Authentication Flaws > Multi Level Login 1 • Ders 24 - Authentication Flaws > Multi Level Login 2 • Ders 25 - Buffer Overflows > Off-by-One Overflows • Ders 26 - Code Quality > Discover Clues in the HTML • Ders 27 - Concurrency > Thread Safety Problems • Ders 28 - Concurrency > Shopping Cart Concurrency Flaw • Ders 29 - Cross-Site Scripting (XSS) > Phishing with XSS • Ders 30 - Cross-Site Scripting (XSS) > Stage 1: Stored XSS • Ders 31 - Cross-Site Scripting > Stage 2: Block Stored XSS using Input Validation ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2016 ► Ocak (27) • DVWA Nedir? • Windows'a DVWA Kurulumu • Ubuntu 14.04 LTS Linux'a DVWA Kurulumu • Ders 1 - DVWA'ya Giriş • Ders 2 - Brute Force (Low Level) • Ders 3 - Brute Force (Medium Level) • Ders 4 - Command Injection (Low Level) • Ders 5 - Command Injection (Medium Level) • Ders 6 - Command Injection (High Level) • Ders 7 - Cross Site Request Forgery (Low Level) • Ders 8 - File Inclusion (Low Level) • Ders 9 - File Inclusion (Medium Level) • Ders 10 - File Inclusion (High Level) • Ders 11 - File Upload (Low Level) • Ders 12 - File Upload (Medium Level) • Ders 13 - File Upload (High Level) • Ders 14 - SQL Injection (Low Level) • Ders 15 - SQL Injection (Low Level) II • Ders 16 - SQL Injection (Medium Level) • Ders 17 - Blind SQL Injection (Low Level) • BGA Sınav Soruları 2016 • Ders 18 - Blind SQL Injection (Medium Level) • Ders 19 - Reflected XSS (Low Level) • Ders 20 - Reflected XSS (Medium Level) • Ders 21 - Reflected XSS (High Level) • Ders 22 - Stored XSS (Low Level) • Ders 23 - Stored XSS (Medium Level) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2017 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2018 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (1) • Ve Blog'a Döndüm ► Ekim (0) ► Kasım (6) • Metasploit Framework'e Giriş • Metasploit ile Bir Sızma Uygulaması (ms08-067) • Metasploit Saldırı Aşamaları (Özet) • Metasploit Komutları • Metasploit Detay Bilgiler • Metasploit Detay Bilgiler (Özet) ► Aralık (0) ► 2019 ► Ocak (0) ► Şubat (0) ► Mart (2) • Arp Spoofing Saldırısı Nedir ve Nasıl Yapılır • Arp Spoofing İlave Uygulamalar ► Nisan (0) ► Mayıs (0) ► Haziran (1) • Oyun Motoru Nedir ► Temmuz (1) • Haberleşme Teknolojisi ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2020 ► Ocak (1) • Siber Güvenlikte Düşük Seviye Açıklık Nedir ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2021 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2022 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (1) • Apache Web Sunucuyu Yurt Dışı (Türkiye Dışı) Trafiğe Kapama ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2023 ► Ocak () ► Şubat () ► Mart () ► Nisan () ► Mayıs () ► Haziran () ► Temmuz () ► Ağustos () ► Eylül () ► Ekim () ► Kasım () ► Aralık () ▼ 2024

#Giriş

	ID	:
	Şifre	: