Bilgisayar Korsanları, Yerel Dosya Dahil Etme Güvenlik Açıkları Olan PHP Web Sitelerini Hedefliyor
Akşaya Asokan (asokan_akshaya) •
18 Nisan 2023
Akamai, diğer siber güvenlik uzmanları tarafından yinelenen bir uyarıda, bilgisayar korsanlarının kötü kodlanmış web uygulamalarından yararlanan saldırılarda artış sağlamak için API devriminden yararlandığını bildirdi.
Ayrıca bakınız: Bugün Canlı Web Semineri | Ağ Mimarisinin Evrimi: Bilmedikleriniz Size Zarar Verebilir
İçerik dağıtım ağı devi, kötü günlerde izlediği günlük web uygulaması saldırılarının hacminin 100 milyonun çok üzerine çıkabileceğini bildiriyor. Bir API saldırısının son kurbanları arasında Avustralyalı telekom sağlayıcısı Optus da vardı (bkz: Optus Saldırganı 1,5 Milyon Avustralya Dolarılık Haraç Girişimini Durdurdu).
Web uygulaması ve API saldırılarında en fazla büyümeyi sağlayan vektör, web sitelerinden gelen PHP dosya isteklerinin uygun şekilde filtrelenmemesine dayanan bir saldırı olan yerel dosya dahil etmedir.
Akamai, internetin durumunu değerlendiren üç aylık bir raporda “PHP tabanlı web sitelerinin genellikle LFI güvenlik açıklarına sahip olduğu görülüyor” diye yazıyor. W3Tech’in verileri, sunucu taraflı programlama kullanan 10 web sitesinden yaklaşık 8’inin PHP kullandığını gösteriyor. Akamai, “Yıldan yıla bir saldırı akışı görmemiz şaşırtıcı değil,” diye ekliyor.
Filtreleme olmadan, bir LFI saldırganı PHP dosya yolunu değiştirerek bir web sunucusunda depolanan hassas içeriği elde edebilir veya uzaktan kod yürütmeye çalışabilir. Akamai, “LFI saldırıları, yıldan yıla %193’lük bir büyümeyle büyük bir artış gösteriyor” diye yazdı. Bu artış, LFI saldırılarının siteler arası komut dosyası oluşturma ve SQL enjeksiyonu dahil olmak üzere önceki en iyi vektörleri geride bırakmasını sağladı.
Akamai’nin verileri, yerine getirilen bir tahminden çok sürpriz değil. 2021’in sonlarında Cloudflare, son yarım on yıldaki üstel API büyümesinin güvenlik önlemleriyle eşleşmediği konusunda uyarıda bulundu. 2020’nin başlarında Gartner, önümüzdeki iki yıl içinde API suistimallerinin seyrekten en sık saldırı vektörüne geçeceğini tahmin etti. Akamai’nin kendisi, artan API güvenlik açıkları hakkında birden fazla kez alarm verdi.
OWASP Vakfı’nın 2023 için önerdiği en önemli 10 güvenlik açığı, “güvenli olmayan API tüketimi” de dahil olmak üzere bir dizi API güvenlik açığı içerir.
“Geliştiriciler, kullanıcı girişinden çok üçüncü taraf API’lerden alınan verilere güvenme eğilimindedir. Bu, özellikle tanınmış şirketler tarafından sunulan API’ler için geçerlidir. Bu nedenle geliştiriciler, örneğin giriş doğrulamayla ilgili olarak daha zayıf güvenlik standartlarını benimseme eğilimindedir. ve sanitasyon,” diye uyarıyor OWASP.