ModSecurity ile Open Redirect Açığını Engelleme

ModSecurity ile web güvenlik açıklarının engellenmesi hakkındaki yazı dizimizin bu bölümünde ModSecurity kullanarak open redirect açığının nasıl engellenebileceğini ele alıyoruz. Oldukça düşük riskli bir zafiyet olarak düşünülen open redirect güvenlik açığı, hedefli phishing saldırıları (spear phishing) ile birlikte kullanıldığında oldukça fazla zarar verebiliyor, hatta kullanıcı veya web uygulamasını toptan tehlikeye düşürebiliyor.

— BÖLÜM 5: ModSecurity ile Open Redirect Açığını Engelleme —

Open Redirect Nedir?

Open redirect, web sayfalarındaki kullanıcı kontrollü girişler ile bir web sayfasının başka bir güvenlir olmayan ve kötücül sayfaya yönlendirilmesiyle oluşur. Open Redirect açığını düzeltmenin en kolay yolu, uygulama kaynak kodundaki düzeltme ile kullanıcıların sadece meşru web uygulama fonksiyonunun bir parçası olarak yönlendirildikleri URL’lerin beyaz listeye alınmasıdır (URL whitelisting). Bunun yanında eğer kaynak kodu müdahalesi pek mümkün değilse de, özelleştirilmiş bir WAF kuralı ile bu açık kapatılabilir.

Yazı dizimizin bu bölümünde ModSecurity ile open redirect açığının nasıl engellenebileceği üzerinde duracağız. Bu yazıda High-Tech Bridge referans olarak alınmıştır.

 

Örneğin alttaki open redirect zafiyetine sahip PHP script’i incelendiğinde:

ModSecurity CRS, varsayılanda bunu engellemeyecektir. Bu yüzden eğer kaynak kodlarına da direkt müdahale yetkisi yoksa yapılabilecek en iyi şey, kullanıcılar uygulama üzerinden harici bir URL bağlantısına gitmeye çalıştığında onları açık bir şekilde uyaran ve bilgilendiren bir ara sayfa (vekil/proxy) oluşturmaktır:

Vekillik yapan script de alttaki gibi olabilir:

Görüldüğü üzere yönlendirmelere otomatik olarak uyarı eklenmiş olur. Ama eğer mümkünse kaynak kodunda değişiklik yapılması her zaman için daha iyidir. Yani kaynak kodunda kullanıcıdan URL input bilgisi almamak veya URL whitelisting yapmak open redirect zafiyetini kökten çözecektir. Open redirect zafiyeti phishing saldırılarını çok daha başarılı hale getirdiği için küçümsenmeden mutlaka ivedi kapatılmalıdır.

Yazı dizimizin bir sonraki bölümünde görüşmek üzere…

M. MEKİN PESEN

YAZAR:

Özel bir kurumda kıdemli bilgi güvenliği uzmanı olarak çalışan M. Mekin Pesen, Elektrik-Elektronik Mühendisliği lisans ve Bilgi Güvenliği Mühendisliği yüksek lisans diplomaları ile CISSP, ECSA, CEH ve CCSA sertifikalarına sahiptir. Kendisi siber güvenlik ve bilgi güvenliği genel başlıkları altında çeşitli konularda uzmanlaşmaktadır.
    

E-Bültene Kaydolun, Makaleler Posta Kutunuza Gelsin

Bu yazıyı başka hiçbir yerde ve şekilde yayınlayamazsınız ve/veya kullanamazsınız. Bu yazıyı kullanmanız, başka herhangi bir uyarıya gerek kalmadan her türlü hukuki sonucu daha en baştan kabul ettiğiniz manasına gelir.