Web Uygulamaları Nasıl Çalışır? \ Web Güvenlik Açıkları

1.GİRİŞ
Bu döküman, siber saldırıların %75’inin web tabanlı uygulamalarda olduğu bir dünyada, saldırıların nasıl gerçekleştirildiği hakkında bilgi vermek ve saldırılardan korunma yöntemleri hakkında bilgi vermektedir.

2.WEB SALDIRILARI NEDİR?
Web uygulamaları, tarayıcı arayüzü vasıtasıyla kullanıcılar için çeşitli servisler barındıran uygulamalardır. Günümüzde web uygulamaları internet kullanımının büyük bir bölümünü oluşturmaktadır. Google, Facebook ve Youtube gibi internet siteleri (mobil uygulamalar da dahil olmak üzere) aslında birer web uygulamalarıdır.

Web uygulamaları, birçok organizasyonun internete açılan arayüzü olması dolayısıyla, saldırganlar cihazlara / sunuculara sızabilmek için bu uygulamaların zafiyetlerinden yararlanarak, kişisel bilgileri ele geçirebilmekte, organizasyonları finansal zarara uğratabilmekte ve firmaların sunduğu hizmetlerde aksaklıklara yol açabilmektedirler.

Acunetix tarafından yapılan çalışmaya göre siber saldırıların %75’i web tabanlı uygulamalarda gerçekleşmektedir.

Bu dökümanda, web uygulamalarına sızmada kullanılan saldırı yöntemlerini, saldırganların bu yöntemleri nasıl kullandıklarını ve son olarak da bu metodlardan korunma yöntemlerini inceleyeceğiz. Bahsedilen saldırı yöntemleri ana başlıklar halinde aşağıdadır.

SQL Injection
XSS - Cross Site Scripting
Command Injection
IDOR
RFI / LFI
File Upload (Web Shell)

3.WEB UYGULAMALARI NASIL ÇALIŞIR?
Uygulamaların zafiyetlerini bulabilmek için ilgili teknolojinin nasıl çalıştığını anlamak gerekir. Web uygulamaları birbirleriyle iletişim kurarken çeşitli protokoller üzerinden hareket ederler. Bu protokolün adı HTTP (HyperText Transfer Protocol)’dir.

Başlangıç olarak, HTTP protokolünün OSI modelinde 7. katmanda olduğunun bilinmesinde fayda vardır. HTTP protokolünün 7. katmanda olması sebebiyle; Ethernet, IP, TCP ve SSL gibi protokoller HTTP’den önce kullanılırlar.

HTTP iletişimi sunucu ile istemci arasında gerçekleşir. İlk olarak, istemci sunucudan belirli bir kaynağı talep eder. Sunucu HTTP isteklerini belirli bir kontrol ve süreçlerden geçirdikten sonra istemciye cevap verir (HTTP Response). İstemciye ait cihaz cevabı alır ve talep edilen kaynağı uygun formatta görüntüler.

Şimdi de HTTP Request ve HTTP Response kavramlarını daha detaylı inceleyelim.

4.HTTP REQUESTS (HTTP İSTEKLERİ)

HTTP istekleri (request) sunucudan talep edilen kesin kaynaklara ulaşmak için kullanılırlar. Bu kaynaklar bir HTML dosyası, video veya json vb dosyalar olabilir. Web sunucusunun görevi alınan isteği gerekli süreçlerden geçirerek kullanıcıya sunmaktır.

Standart bir HTTP formatı olmakla birlikte, tüm istekler bu formatla uyumlu olmak zorundadır ki web sunucuları gelen istekleri anlamlandırabilsin. Eğer HTTP istekleri farklı bir formatta gönderilirse, sunucu bu isteklere anlam veremeyecek ve kullanıcıya bri hata mesajı döndürecektir. Dahası sunucu gelen isteğe göre bir servis sağlayamayacaktır ki bu da farklı bir saldırı çeşididir.

Bir HTTP isteği 3 ana bölümden oluşur.
1.Request Line : İstek hangi metotla geldi (GET, POST), versiyon bilgisi
2.Request Headers : Makina adı, cookie bilgileri, kullanıcı bilgileri vs
3.Request Message Body: : Kontrol edilecek bilgiler (username, password vs)

Şimdi ise resimdeki HTTP isteğini / talebini satır satır inceleyelim.
1. GET metodu sunucudan istenilen kaynağın ” / ” olduğunu belirtir ve “ / “ işareti ile ana sayfanın talep edildiği anlaşılır.

2. Son günlerde bir web sunucusunda birden fazla web uygulaması olabildiğinden dolayı, tarayıcılar talep edilen domain’in hangi makinada olduğuna dair makina adı bilgileri içerir (Host Header).

3. Bir web uygulaması, istemcinin bilgisayarında oturum bilgilerini kaydetmek istediğinde, bu işlemi “Cookie” ‘ler ile yapar. Dolayısıyla siteye her girdiğinizde kullanıcı bilgilerinizi tekrar tekrar hatırlamanıza gerek kalmaz.

4. “Upgrade-Insecure-Header” header’ı istemcinin SSL ile şifreli iletişim kurmak istediği anlaşılır.

5. “User-Agent” header’ında istemciye ait tarayıcıya ve işletim sistemine ilişkin bilgiler barıldırılır. Web sunucuları bu bilgileri istemciye belirli HTTP response (cevap) ‘ları gönderirken kullanırlar. Bazı otomatize edilmiş zafiyet tarayıcıları işte bu header’larda inceleme yaparlar.

6. “Accept” header’ı içerisinde talep edilen verinin hangi tipte olduğu tutulur.

7. “Accept-encoding” header’ı ile istemcinin çözümleyebileceği / anlayabileceği kodlama türü (encoding-type) saklanır. Örneğin dosya sıkıştırma algoritması hakkında bilgi edinmek istiyorsanız bu header’a bakabilirsiniz.

8. “Accept-Language” header’ı içerisinde istemciye ait yorumlanabilecek yazılım dili bilgilerine erişilebilir. Web sunucusu bu header içerisindeki bilgilerle sunulacak olan içeriği istemcinin yorumlayabileceği şekilde gönderir.

9. “Connection” header’ı HTTP bağlantısının ne şekilde olacağına dair bilgiler içerir. Eğer bu header içerisinde “close” diye birşey varsa bu bilgi, HTTP cevapları istemciye gönderildikten sonra TCP bağlantısının sonlandırılacağını söyler. Eğer “Keep-Alive” diye bir ibare görürseniz de bu durumda bağlantı devam edecektir.

10. HTTP Request Header ile HTTP Request Message arasında ilgili bilgileri ayırmak amacıyla boş bir satır vardır.

11. Web uygulamasına gönderilecek olan diğer bilgiler Request Message Body içerisinde bulunur. Eğer HTTP POST metodu kullanılmışsa, POST parametreleri burada görüntülenecektir.

5. HTTP RESPONSE (HTTP CEVAPLARI)

Sunucu bir kez HTTP isteği aldığında, gerekli kontrol ve süreçleri başlatır, sonrasında ise istenen kaynakları istemciye gönderir. Bu konuda standart bir süreç yoktur çünkü bir çok web teknolojisi ve tasarımı vardır. Sunucu istenilen kaynağın niteliğine göre veri tabanından bilgileri getirir veya gelen veriye göre süreçleri başlatır. Fakat tüm bu süreçlerden sonra HTTP Response (yanıt) Header’ın istemciye ulaşmış olması gerekir.

HTTP Response Message
1.Status Line
2.Response Headers
3.Response Body

Sunucudan bir web sitesi talep edildiğinde , Response Body içerisinde genellikle HTML kodlarından oluşan bir sayfa görünecektir. İstemci HTML kodlarını aldığında, web tarayıcısı HTML kodlarını bir takım süreçlerden geçirerek web sayfasının görüntülenmesine olanak tanır.

Şimdi HTTP Response yapısını inceleyelim.

-Status Line : HTTP versiyon bilgisi ve HTTP durum kodlarının bulunduğu bölgedir. Status Kodlarını aşağıdaki infografikte inceleyebilirsiniz.
-Response Headers : Aşağıda HTTP Response Headers kısmında sıkça karşılacağınız header bilgileri mevcuttur.
-Date : (Gün) Sunucunun istemciye gönderdiği tarih bilgisi
-Connection : (Bağlantı) Kurulan bağlantının tipi
-Server : (Sunucu) Sunucuya ait işletim sistemi ile web sunucusunun versiyon bilgileri
-Last-Modified : (Düzenleme) Bu header cache mekanizması için kullanılmaktadır.
-Content-Type : (İçerik Tipi) Gönderilen veriye ait tip bilgileri
-Content-Length: (İçerik boyutu) Gönderilen verinin boyutu

KAYNAKLAR
[1] https://www.acunetix.com/websitesecurity/web-application-attack/
[2] https://www.letsdefend.io