ModSecurity ile Dosya Yükleme Zafiyetinin Engellenmesi

ModSecurity ile web güvenlik açıklarının engellenmesi hakkındaki yazı dizimizin bu son bölümünde, ModSecurity kullanarak web uygulamalarında unutulan dosya yükleme kontrolleri nedeniyle ortaya çıkan ve sistemde arka kapılar açılmasına neden olabilecek dosya yükleme zafiyetinin engellenmesinden bahsedeceğiz.

 

Dosya Yükleme Zafiyeti (Arbitrary File Upload Vulnerability) Nedir?

Dosya yükleme zafiyeti, web uygulamalarında dosya yüklemenin doğrulanmaması/onaylanmaması veya dosyaların sisteme yüklenmeden önce yanlış doğrulanması sonucu ortaya çıkan bir güvenlik açığıdır. Birçok yerde ortaya çıkan bu zafiyeti kapatmanın birçok yolu vardır.

Birçok türü olan dosya yükleme zafiyetinin default ModSecurity CRS kuralları ile kapatılması pek mümkün olamıyor. Bu yüzden uygulamaya hakim olup, uygulamadaki zafiyete özel bir ModSecurity kuralının yazılması dosya yükleme zafiyetinin kolayca kapatılmasını sağlayacaktır.

Yazı dizimizin bu bölümünde ağırlıklı olarak High-Tech Bridge kaynağı referans olarak alınmıştır. Ayrıca dosya yükleme zafiyetiyle ilgili bir Türkçe kaynak olarak bu bağlantıdan da yararlanabilirsiniz.

 

— BÖLÜM 8: ModSecurity ile Dosya Yükleme Zafiyetinin Engellenmesi —

Alttaki dosya yükleme zafiyetine açık PHP script’ini inceleyelim:

Yukarıdaki koda göre default ModSecurity CRS kurallarının herhangi bir faydası olmayacaktır. Saldırgan alttaki haliyle bu dosya yükleme zafiyetini istismar edecektir:

Dosya başarılı bir şekilde sisteme yüklenecek ve sytem “id” komutunu alttaki URI ile çalıştıracaktır:

Alttaki özel ModSecurity kuralı ise bu zafiyetin sömürülmesini, sadece GIF, JPEG ve PNG dosyalarının sunucuya yüklenmesine izin vererek engelleyecektir:

Yazı dizimizin bu son bölümü ile bir kez daha ModSecurity CRS’in varsayılan kurallarının dikkatli bir şekilde kullanılmasının gerekliliğini ve sadece buna bağlı kalınmayarak uygulamaya ve zafiyete özel yeni ModSecurity kuralları yazmanın her zaman için çok daha isabetli olacağını göstermiş oluyoruz.

— YAZI DİZİSİ SONU —

M. MEKİN PESEN

YAZAR:

Özel bir kurumda kıdemli bilgi güvenliği uzmanı olarak çalışan M. Mekin Pesen, Elektrik-Elektronik Mühendisliği lisans ve Bilgi Güvenliği Mühendisliği yüksek lisans diplomaları ile CISSP, ECSA, CEH ve CCSA sertifikalarına sahiptir. Kendisi siber güvenlik ve bilgi güvenliği genel başlıkları altında çeşitli konularda uzmanlaşmaktadır.
    

E-Bültene Kaydolun, Makaleler Posta Kutunuza Gelsin

Bu yazıyı başka hiçbir yerde ve şekilde yayınlayamazsınız ve/veya kullanamazsınız. Bu yazıyı kullanmanız, başka herhangi bir uyarıya gerek kalmadan her türlü hukuki sonucu daha en baştan kabul ettiğiniz manasına gelir.