Session Fixation (Oturum Sabitleme), Hijacking Saldırısı Nedir? [Örnekli]

Web güvenliğindeki popüler konulardan olan session fixation, session hijacking saldırısına örneklerle bir bakalım.

Meali oturum sabitleme olan session fixation nedir ?

Bir uygulamaya login olunduktan sonra id yenilenmiyorsa session fixation zafiyetinden bahsedilir. Oturum sabitleme açığından faydalanarak bir saldırgan kullanıcının/kurbanın oturumunu çalabilir, bu eyleme de session hijacking denir.

Oturum sabitleme saldırısında, saldırgan bildiği bir id ile, kullanıcının oturum açma işlemini gerçekleştirmeden önce kullanmasını sağlar ve bu sayede kurbanın, saldırgan tarafından gönderilen url ile oturuma başlamasıyla saldırgan kullanıcının oturumunu ele geçirmiş olur.

Session Hijacking için kullanılan dört ana method vardır:

  1. Session Fixation

    Aşağıda detaylıca göreceğiz.

  2. Session Sniffing

    Saldırgan bir dinleyici/izleyici yöntemiyle (örn: Wireshark ile), session id ‘ye ulaşıyor olması, bkz:


  3. XSS (Cross-Site Scripting)

    Saldırgan, zararlı JavaScript kodu ile kurbana hazırlanmış bir bağlantı gönderirse, kurban bağlantıyı tıkladığında JavaScript çalışacak ve saldırgan tarafından verilen talimatları tamamlayacaktır. Örnek olması açısından session id ekrana bastırılmıştır, tabi ki saldırgana da gönderilebilir.


    <SCRIPT>alert(document.cookie);</SCRIPT>

     

  4. Malware (Kötü Amaçlı / İstenmeyen Yazılımlar)

    Bir kullanıcının bilgisi olmadan tarayıcı cookie dosyalarını çalmak için browser hijacking yöntemini kullanabilir.

 

SESSION FIXATION

Şimdi adım adım bir bakalım

  1. Saldırgan web sunucusunda oturum açar ,
  2. Sunucu bir SID / oturum id ‘si tanımlar,
  3. Bu session ID ile saldırganın kurbana bir link göndermesi gerekir,
  4. Kurbanın gelen bu bağlantıya tıklaması ve sunucuyla bağ kurması gerekir,
  5. Sunucu oturum işleminin önceden zaten kurulduğunu görür ve yeni bir oturum kimliği oluşturma gereksinimi duymaz. (işte zafiyet burada)
  6. Böylece saldırgan oturuma erişmiş olur.

 

Bu saldırıyı en iyi anlatan görsel diyebiliriz sanırım.

URL tabanlı basit ve anlaşılır bir görsel.

 

Session Fixation Örnek Video

Continue reading

Normlar (Kurallar) Hiyerarşisi – Hans Kelsen

Hukuk normları, hukuk devletlerinin vazgeçilmez unsurlarından birisidir. Hans Kelsen tarafından öngörülen Normlar Hiyerarşisi ‘ne bir göz atalım.

Öncelikle Normlar Hiyetarşisi’nin büyükten küçüğe sıralanışı şu şekildedir:

ANAYASA > KANUN > KHK > TÜZÜK > YÖNETMELİK > Diğerleri (yönerge, tebliğ, genelge, talimat).

İlgili başlıklar aşağıda piramit sıra düzenine göre paylaşılacaktır.

 

NORMLAR

Anayasa nedir? diyerek başlayalım.

Anayasa, aslında bir sözleşmedir. Egemenlik haklarının kullanım yetkilerinin içeriğindeki haliyle devlete verildiğini belirten toplumsal sözleşmelerdir. Normal Hiyerarşisi’ne göre de diğer bütün hukuki kurallardan üstündür, hiçbir kanun, kişi ya da yapı anayasaya aykırı olamaz.

( Ne güzel değil mi? )

Dünyanın ilk anayasası, 1787 tarihli ABD anayasasıdır.

Türkiye’de 1924 Anayasası ”Devletin rejimi Cumhuriyettir.” Maddesinin değiştirilemeyeceğini belirtmiştir.

Continue reading

SYN Saldırısı – SYN, ACK Paketi, Kullanılan Araçlar Nelerdir? Nasıl Tespit Edilir, Engellenir ?

Merhabalar,

Şu aralar aktif olarak güvenlikle ilgililenmeye başladım ve düzensiz olarak (:)) sizlerle güvenlik kategorisi altında bazı makaleler paylaşacağım. Bugün SYN, SYN saldırısı nedir, SYN ve ACK paketi nedir, SYN saldırısı nasıl tespit edilir, bu saldırıda kullanılan araçlar nelerdir, SYN saldırısı nasıl engellenir?  başlıklarıyla başlayalım. (Kısa ve öz bir makale olmasına dikkat edeceğim.)

SYN nedir?

TCP ‘ye özgü bir özelliktir ve TCP oturumlarını başlatmak için kullanılır.

SYN Saldırısı Nedir ?

SYN saldırısı (SYN flood) kısaca, bir hizmet engelleme saldırısıdır. Peki çalışma mantığı nedir? Art arda istekler göndererek (SYN requests) sunucu kaynaklarını tüketmeyi amaçlar. Bu tanım size bir yapıyı anımsattı mı ? SYN saldırısı aslında bir DoS / DDoS atak çeşitidir. DoS atak nedir ? Denial of Service ‘ten gelir yani yukarda da bahsettiğimiz gibi servisin engellenmesidir. Gündelik hayattan örnekleyerek gitmek gerekirse, bir bankaya gittiğinizi düşünün ve burada 5 gişe ve 30-40 kişilik bir bekleme salonu kapasitesi olduğunu varsayalım. İçeriye bir anda 200 kişinin girmeye çalıştığını ve aslında bu kişilerin gerçek birer müşteri olmadığını ve meşgul etmek için gittiğini düşünün aynı zamanda ya da sonrasında gelen gerçek müşteriler ise gişe görevlilerinden hizmet alamamış ve böylece hizmet engellenmiş olacak.

Ayrıca syn ataklarının bir DoS saldırı çeşiti olduğunu söylemiştik (en sık kullanılanı diyebiliriz) peki bunların arasındaki bağlantı nasıldır derseniz? DoS saldırısı syn paketleri ile yapılırsa bu syn atak olur.

  • Teknik yapısı hakkında:

Continue reading

SMSlerin / Mesajların Sonundaki Kodlar (B001,B002,B003), Tanımları ve Şikayet

Merhabalar,

Epeydir bir şeyler karalama fırsatım olmamıştı, şu sıralar cep telefonlarımıza gelen sms’lerin / mesajların sonlarındaki mesaj kodlarının (B001, B002, B003, B016) merak konusu ve halkın genelinde hala bir soru işareti olduğu için kısaca bunlardan bahsetmek istedim.

Reklam amaçlı sürekli gelen sms ‘lerin verdiği rahatsızlık neticesinde geçtiğimiz zamanlarda BTK bu konuya ilgi göstermişti ve izinsiz gönderilen sms’lerfin suç teşkil edildiği duyurulmuştu. Peki bu sms ‘lerin sonlarındaki kodlarla ne ilgisi var bunun ? BTK kısa bir süre önce, planladığı bir hizmeti hayata geçirdi ve artık kurumlardan gelen SMS ‘lerin sonunda bazı kodlar yerleştirme kararı aldı.

BU UYGULAMA NE İŞE YARAYACAK?

Continue reading