Web uygulamaları, internet üzerinden hizmet sunumunda çok önemli unsurlardır.

Artık birçoğunun güvenlik açıklarından muzdarip olduğu haber değil. Bir web sitesi, uygun şekilde korunmadığı takdirde bireyleri önemli risklere maruz bırakabilir.

Saldırganlar, zorunlu tarama da dahil olmak üzere çeşitli teknikler kullanarak kısıtlı sayfalara ve gizli kullanıcı verilerine erişebilir.

Bu yazıda, zorunlu tarama kavramını ve nasıl çalıştığını tartışacağız.

Zorunlu Tarama Nedir?

Zorla tarama, saldırganlar tarafından URL'yi değiştirerek kısıtlı web sayfalarına veya diğer kaynaklara erişim sağlamak için kullanılan bir tekniktir. Ayrıca güçlü tarama olarak da adlandırılır. Adından da anlaşılacağı gibi, bir saldırgan, yetkisi olmayan bir kaynağa zorla göz atıyor.

Bu tür bir saldırı, web sunucusu dizinindeki dosyaları veya yetkilendirmeyi kontrol etmeyen kısıtlı URL'leri hedefler.

Bu kaynaklar, hassas veriler içeriyorsa saldırganlar için karlıdır. Web sitesinin kendisi veya sitenin müşterileri hakkında olabilir. Hassas veriler şunları içerebilir:

instagram viewer
  • kimlik bilgileri
  • Kaynak kodu
  • Yedekleme dosyaları
  • Kütükler
  • Yapılandırma
  • Dahili ağ ayrıntıları

Bir web sitesi zorunlu bir göz atma saldırısının kurbanı olabilirse, o zaman tam olarak güvenli değildir.

Yetkilendirme, kullanıcıların uygun izne sahip olmasını sağlamalıdır kısıtlı sayfalara erişmek için. Kullanıcılar, erişimlerine izin verilmeden önce kullanıcı adı ve şifre gibi oturum açma bilgilerini sağlar. Zorunlu göz atma, kısıtlı yollara erişim talep ederek bu güvenlik ayarlarını atlamaya çalışır. Geçerli kimlik bilgileri sağlamadan bir sayfaya erişip erişemeyeceğini test eder.

Zorunlu Tarama Nasıl Çalışır?

Zorla göz atma, normal kullanıcılar ve yönetici kullanıcılar gibi çeşitli kullanıcı rollerine sahip web sitelerinde yaygın bir sorundur. Her kullanıcı aynı sayfadan giriş yapar ancak farklı menü ve seçeneklere erişebilir. Ancak, bu menülerin yönlendirdiği sayfalar güvenli değilse, kullanıcı geçerli bir sayfanın adını tahmin edebilir ve doğrudan URL'sine erişmeye çalışabilir.

Çeşitli senaryolar, ister manuel olarak ister otomatik bir araç kullanılarak yapılsın, zorunlu taramanın nasıl çalıştığını gösterir. Bazı durumlara bir göz atalım.

1. Güvenli olmayan bir hesap sayfası

Bir kullanıcı bir web sitesinde oturum açar ve hesap sayfasının URL'si www.example.com/account.php? kullanıcı=4. Kullanıcı bir sayı döndürmeye devam edebilir ve URL'yi www.example.com/account.php? kullanıcı=6. Sayfa açılırsa, diğer kullanıcının bilgilerine, oturum açma ayrıntılarını bilmeye gerek kalmadan erişebilecekler.

2. Güvensiz bir sipariş sayfası

Bir e-ticaret web sitesinde hesabı olan bir kullanıcı, siparişlerinden birini www.example.com/orders/4544 adresinde görüntüler. Şimdi sipariş kimliğini rastgele olarak www.example.com/orders/4546 olarak değiştiriyorlar. Siparişler sayfasında zorunlu bir tarama zayıflığı varsa, saldırgan bu siparişe sahip kullanıcının ayrıntılarını keşfedebilir. En azından kendilerine ait olmayan bir sipariş hakkında bilgi alacaklar.

3. URL taraması

Saldırgan, web sunucusunun dosya sistemindeki dizinleri ve dosyaları aramak için bir tarama aracı kullanır. Yönetici, parola ve günlük dosyalarının ortak adlarını tarayabilir. Araç başarılı bir HTTP yanıtı alırsa, eşleşen bir kaynağın var olduğu anlamına gelir. Ardından saldırgan devam edecek ve dosyalara erişecektir.

Zorunlu Tarama Yöntemleri

Saldırgan, manuel olarak veya otomatik araçlarla zorunlu bir tarama saldırısı gerçekleştirebilir.

El ile zorlamalı taramada, saldırgan sayı döndürme tekniğini kullanır veya bir dizin veya dosyanın adını doğru bir şekilde tahmin eder ve adres çubuğuna yazar. Bu yöntem, otomatik araçların kullanımından daha zordur çünkü saldırgan aynı frekans gibi herhangi bir şeyde manuel olarak istek gönderemez.

Otomatik araçların yardımıyla zorunlu tarama, web sitesindeki mevcut dizinleri ve dosyaları taramak için bir araç kullanmayı içerir. Kısıtlanmış birçok dosya genellikle gizlidir ancak tarama araçları onları dışarı çıkarabilir.

Otomatik araçlar birçok olası sayfa adını tarar ve sunucudan elde edilen sonuçları kaydeder. Ayrıca her sayfa isteğine karşılık gelen URL'leri de saklarlar. Saldırgan, hangi sayfalara erişebileceğini keşfetmek için manuel bir araştırma yapmaya devam edecektir.

Her iki yöntemde de zorla göz atma kaba kuvvet saldırısı gibidir; şifrenizi tahmin eder.

Zorla Tarama Nasıl Önlenir

Akılda tutulması gereken bir şey var: Dosyaları gizlemek onları erişilemez yapmaz. Bir sayfaya bağlantı vermezseniz bir saldırganın ona erişemeyeceğini varsaymadığınızdan emin olun. Zorla göz atma bu varsayımı çürütür. Sayfalara ve dizinlere atanan ortak adlar kolayca tahmin edilebilir, bu da kaynakları saldırganlar için erişilebilir hale getirir.

Burada, zorunlu taramayı önlemenize yardımcı olacak bazı ipuçları verilmiştir.

1. Dosyalar için Ortak Adların Kullanımından Kaçının

Geliştiriciler genellikle dosyalara ve web dizinlerine ortak adlar atar. Bu yaygın adlar "yönetici", "günlükler", "yönetici" veya "yedekleme" olabilir. Onlara bakıldığında, tahmin etmek oldukça kolaydır.

Zorla göz atmayı uzak tutmanın bir yolu, dosyaları, anlaşılması zor, garip veya karmaşık adlarla adlandırmaktır. Bunun yerine, saldırganların kırılması zor bir somun olacak. Aynı teknik yardımcı olur güçlü ve etkili şifreler oluşturma.

2. Web Sunucusunda Dizin Listenizi Kapalı Tutun

Varsayılan bir yapılandırma, bilgisayar korsanlarının sunucunuza yetkisiz erişim elde etmesine yardımcı olabileceğinden bir güvenlik riski oluşturur.

Web sunucunuzda dizin listelemeyi etkinleştirirseniz, saldırganları davet edecek bilgileri sızdırabilirsiniz. Dizin listenizi kapatmalı ve dosya sistemi ayrıntılarını genel görünümden uzak tutmalısınız.

3. Her Güvenli İşlemden Önce Kullanıcı Kimlik Doğrulamasını Doğrulayın

Belirli bir web sayfasında site kullanıcılarının kimliğini doğrulama ihtiyacını göz ardı etmek kolaydır. Dikkatli olmazsanız, bunu yapmayı unutabilirsiniz.

Web sayfalarınızın yalnızca kimliği doğrulanmış kullanıcılar tarafından erişilebilir olduğundan emin olun. Güvenliği sağlamak için her adımda bir yetkilendirme denetimi yapın.

4. Uygun Erişim Kontrollerini Kullanın

Uygun erişim kontrollerinin kullanılması, kullanıcılara haklarına karşılık gelen kaynaklara ve sayfalara açık erişim verilmesini içerir, başka bir şey değil.

Kullanıcıların erişim iznine sahip olduğu dosya türlerini tanımladığınızdan emin olun. Örneğin, kullanıcıların yedekleme veya veritabanı dosyalarına erişmesini kısıtlayabilirsiniz.

Saldırganlarla Başa Çıkın

Herkese açık internette bir web uygulaması barındırıyorsanız, saldırganları içeri girmeye zorlamak için ellerinden gelenin en iyisini yapmaya davet ediyorsunuz. Bunu akılda tutarak, zorunlu tarama saldırılarının gerçekleşmesi zorunludur. Soru şu: Saldırganların erişmeye çalıştıklarında erişmelerine izin verecek misiniz?

zorunda değilsin. Sisteminize farklı siber güvenlik katmanları yerleştirerek güçlü bir direnç gösterin. Dijital varlıklarınızı güvence altına almak sizin sorumluluğunuzdadır. Size ait olanı güvence altına almak için ne gerekiyorsa yapın.

5 Kerelik Kaba Kuvvet Saldırıları Büyük Güvenlik İhlallerine Yol Açıyor

Çevrimiçi kullanıcılar, güvenlik ihlallerinden sürekli tehdit altındadır ve kaba kuvvet saldırıları özel bir endişe nedenidir. İşte en kötülerinden bazıları.

Sonrakini Oku

PaylaşCıvıldamakE-posta
İlgili konular
  • Güvenlik
  • Güvenlik
  • Web Geliştirme
  • Çevrimiçi Güvenlik
Yazar hakkında
Chris Odogwu (34 Makale Yayınlandı)

Chris Odogwu, yazıları aracılığıyla bilgi aktarmaya kendini adamış tutkulu bir yazardır. Eğitimli bir gazeteci, Kitle İletişim alanında lisans derecesine ve Halkla İlişkiler ve Reklamcılık alanında yüksek lisans derecesine sahiptir. En sevdiği hobisi dans etmektir.

Chris Odogwu'dan Daha Fazla

Haber bültenimize abone ol

Teknik ipuçları, incelemeler, ücretsiz e-kitaplar ve özel fırsatlar için bültenimize katılın!

Abone olmak için buraya tıklayın