Mert Özkan Özcan’a fikir ve destek için
teşekkür ederim
Robotların dünyayı ele geçirdiği “korkunçlu”
senaryolardan birisini kastetmiyorum. Google ve benzeri arama motorları
tarafından kayıtlara alınmasını istemediğimiz sayfaları yazdığımız ve kısaca
aşağıdaki benzer bir tablo oluşturan robots.txt sayfasını kastediyorum.
Göreceğiniz gibi arama motorlarına açıkça “bu
sayfalara bakma” demek için kullandığımız bu sayfalar, saldırganlar için bir
bilgi madeni olabilir. 2015 yılı itibariyle “gizleyerek güvenlik” (security
through obscurity – korumaya çalıştığımız şeyleri saldırganlardan gizleyerek
bir savunma hattı oluşturma fikri) yaklaşımından hızla çıkmamız gerekiyor.
Binlerce belki de yüzbinlerce arama motorunun ve “örümceğin” sürekli gezdiği ve
endekslediğin bir yer olan internete koyduğunuz hiç bir şeyi gizlemeniz mümkün
değildir.
Sadece robots.txt dosyasına bakarak
saldırganların ulaşabileceği bilgilere birkaç basit örneği aşağıda derledim.
Örnek 1: Yetkili kullanıcı girişi tespiti
Aşağıdaki örnekte, web sayfasının yetkili kullanıcı girişinin robots.txt dosyasına yazıldığını görüyoruz.
kurum.gov.tr/administrator adresini ziyaret ettiğimizde ise aşağıdaki sayfayı görüyoruz.
Bu sayfaya bakarak kurumun Joomla içerik yönetimi sistemini kullandığı konusunda bir tahmin yürütmemiz mümkün olabilir. Giriş ekranlarını atlatmaya yönelik teknikler bu sayfa üzerinde denenebilir ve zayıf parola kullanımı, fabrika ayarlı kullanıcı/parola eşleşmesi, kaba kuvvet giriş denemesi, vb. herhangi birinin başarılı olması durumunda saldırgan hedef web sayfasını değiştirebilecek hale gelebilir.
Örnek 2: Hedef sistem tespiti
Aşağıdaki örnekte robots.txt dosyasında "/log/" adresini görüyoruz.
Bu adresi ziyaret ederek, kullanılan sistem tarafından yayınlanan özelleştirilmiş bir hata ekranına ulaşıyoruz.
Örnek 3: Güvenlik tedbiri ifşası
Bir başka kurumunun web sayfasındaki robots.txt dosyası aşağıdaki gibidir;
Bu dosyadaki adresleri ziyaret ederek aşağıdaki bilgilere rastlıyoruz;
Web sunucusu dizin yapısı ve sunucu bilgisi ifşası.
Talebin "filtreleme modülü" tarafından engellendiğini belirten uyarı mesajı.
Bu örnekte de karşımıza yetkili kullanıcı girişi ekranı çıkmaktadır. Bu seferki içerik yönetim sisteminin özel olarak geliştirilmiş olması ve geliştiren firmanın da bilgilerinin ekranda bulunması bu yapının ticari veya yaygın olarak kullanılan içerik yönetim sistemlerine göre daha az güvenli olabileceğini düşündürüyor.
Örnek 4: Kullanıcı bilgileri ve kullanım alışkanlıkları ifşası
Güvenlik ve yazılım konularında yazılar yazan ve kendini geliştiren, çok takdir ettiğim bir arkadaşımın sitesinde ise robots.txt dosyasında, pek çok şey arasında, "/statistics.html" adresini görüyoruz.
Bu adresi ziyaret ettiğimizde ise sitenin yetkili kullanıcısının bilgilerini, yazdığı yazı sayısını ve siteye en son ne zaman giriş yaptığı gibi saldırgan için önemli olabilecek bilgilere ulaşabiliyoruz
No comments:
Post a Comment