Otomatik Yazılımların Eksikleri

Yasir bu blogu ilk açtığında geliştirdiği Tool için günce amaçlı açmıştı ancak sonrasında hepimizin birşeyleri kaleme aldığı bir platform haline geldi. Bu yazımda sizlere otomatikleştirilmiş web penetrasyon testlerindeki araçların göremediği ve çok kritik bazı noktalardan bahsetmek istiyorum.

Belki blogu takip eden geliştirici arkadaşlar var ise aşağıdaki problemleri ele almalarının sektör içerisinde kullanılan~kullanılacak araçlar için faydalı olacağını düşünmekteyim;


HTML Inputlarının Etkisi

Bazen sayfa içerisindeki kontrolün, örnek verilebilecek en iyi kontrol sanırım listbox, değişmesi durumunda arkaplanda yapılan ajax istekleri veya sayfa yenilenmeden değişen url. Yasir'in geliştirdiği tool içerisinde bununla ilgili olarak raporla kısmında input kontrollerinin,hidden inputların tutulduğu adresinlerin ve ajax isteklerinin döndüğü adreslerin özellikle el ile kontrol edilmesini tavsiye etmekteyiz.
Inputlar ile ilgili olarak yaşanan bir diğer sorun ise file upload açıklarının doğru bir şekilde tam olarak kontrol edilmemesi. Kısacası içerisinde input ile datanın döndüğü tam sayfaların el ile kontrol edilmesi her zaman testin sonuçlarını daha kesin bir şekilde gösteriyor olacaktır.


Üyelik ve Yönetim Katmanı

Genel olarak sitelerde yapılan penetrasyon testlerinin bir çoğu kullanıcı adı ve parola girildikten sonra site içerisindeki session bilgilerini programa yüklenmesi ile yapılmakta. Ancak bu aşamada ve bu kullanıcı modüllerinde gözden kaçan en büyük risklerden birisi de sistem tarafından gönderilen bazı email içeriklerindeki adreslerin kontrol edilmemesi ve atlanmasıdır. Bu konuda örnek vermek gerekirse sistem tarafından gönderilen email validasyon içerisindeki urlin SQL Injection barındırması olabilir. Veya url içerisindeki yer alan mantıksız programlama hatalarından dolayı bir aktivasyon kodu ile 1+ üyenin aktivasyonun yapılabilmesi görülebilir.


Draje Yönetimler

Penetrasyon testlerindeki en büyük sorunlardan birisi de eğer web tarafından bakıyorsak , genelde sadece web uygulamasının ön yüzünü yani kullanıcının etkileşimde bulunduğu kısımın test edilmesi ve bu testin kesinlikle yetkili alanında(admin panelinde) yaptırılmamasıdır. 2010 yılından önce ve hala bir çok kişinin hatırlayacağı üzere admin paneline girdikten sonra admin panelinden atılabilen shell ile veya yapılabilecek bir SQL injection zaafiyetinin saldırısı ile birt üst yetkiye geçmek veya tüm sunucuyu ele geçirmek mümkündü.
Başlığı draje olarak seçmemin sebebi bu tarz uygulamalar dışarıdan sömürülmesi zor ancak içeriye giriş yapıldığında esnek(yumuşak) önlemlerden dolayı ortaya çıkan büyük risk.


Parola Politikaları

Elle yapılan penetrasyon testleri ile otomatikleştirilmiş araçlar ile yapılan testlerin sonuçlarını karşılaştırdığımızda ortaya çıkan problemlerden birisi de budur. Daha doğrusu şu anki mevcut araçların eksiklerinden birisi budur. Elimizde şöyle bir örneğin olduğunu düşünelim(tecrübeden değinilmektedir) SQL injection açığı ile elde edilen parolaların ve emaillerin domain yönetimi ve hosting yönetimi (veya FTP) ile aynı olması, şuanda piyasada bulunan araçların hiçbirisi elde edilen bu parolaların FTP veya diğer katmanlarda brute force edilerek pentesti daha etkili bir şekilde tamamlamamaktadır. FTP kullanıcı adının ise neredeyse tüm gördüğüm projelerde kullanıcı için açılan (directAdmin paneli için örnek /home/tg) dizin ile FTP/Hosting yönetiminin aynı olması.



Üretim ve Live Farklı

Penetrasyon testlerinin genelde geliştirme ortamında yapılması her zaman ortaya çıkan raporlardan veya sonuçların doğru olduğunu ne yazık ki göstermiyor. Geliştirme ve live ile aradaki web sunucusu veya veritabanı versiyonlarının farklılıkları bile ciddi oranda farklılık gösterebilmektedir.
Küçük bir tecrübeden adını paylaşmak istemediğim büyük,yabancı bir haber kaynağına otomatik tool ile yaptığımız pentest ile fark ettiğimiz en ilginç durum lokasyon ve ipden kaynaklanan bazı sayfalara erişilememesi ancak bu sayfalardan 200 yanıtı alarak testin başarılı geçtiğini görmemiz.


Yazar ~ Yuri

5 yorum

Author
avatar

Simdi reklamlar

Reply
Author
avatar

sağ üstte çarpı var bildinmi, reklam sevmeyenlere hitap ediyor. her tarayıcıda vardır ama çok da anlatmayayım reklama girer ;)

Reply
Author
avatar

Basit ve orta tabanlı web sunucuları için otomatik yazılım test olarak zaman kaybı için idealdir. Büyük sağlam sunucular için fazla işe yaramadığına hemfikirim. Güçlü görünen hedef sistem manuel test gerektrir. bunu yapacak insanlar nadir. Zaman öyle olmuşki güvenlik uzmanıyım diyerek geçinen insanlar yeteneklerinin az olduğundan dolayı otomatik yazılım kullanarak testler yapıyorlar. Bu nedenle başarılı güvenlik uzmanları az. Kendini geliştiren az sayıda insan var. (Emeğinize ellerinize sağlık.)

Reply
Author
avatar

Windows için kullanabileceğimiz aircrack-n gibi wifi hack programları varmı pcnin dahili wifi kartını kullanacak olan ?

Reply
Author
avatar

Emeğinize sağlık kolay gelsin.

Reply