Bir siber güvenlik araştırmacısı, güçlü güvenlik önlemlerinin varlığında bile basit bir Siteler Arası Komut Dosyası Çalıştırma (XSS) güvenlik açığından, bir web uygulamasına tam yönetim erişimi elde etmek için nasıl yararlanılabileceğini gösteren beklenmedik bir keşfi ortaya çıkardı.
Yalnızca “Hay” olarak tanımlanan araştırmacı, HTTPOnly bayrak korumasını atlamak ve sonuçta yönetim paneline erişmek için bir sosyal medya platformunda depolanan bir XSS güvenlik açığından yararlandıkları gerçek dünyadaki bir etkileşimin ayrıntılarını verdi.
Bu işaret genellikle saldırganların istemci tarafı komut dosyaları aracılığıyla hesap çerezlerini çalmasını önlemek için kullanılır.
.webp)
Araştırmacı araştırmadan aşağıdaki temel bulguları gözlemlerken: –
- CloudFlare Atlaması: Araştırmacı, CloudFlare’in koruyucu önlemlerini atlatan ve uygulamanın yorum bölümüne kötü amaçlı kod eklenmesine olanak tanıyan bir veri yükünü başarıyla oluşturdu.
- Depolanan XSS Kullanımı: Güvenlik açığının depolanmış bir XSS olduğu belirlendi; bu, kötü amaçlı yükün uygulamanın veritabanında kaldığı ve kullanıcılar etkilenen sayfayı her ziyaret ettiğinde yürütüldüğü anlamına geliyor.
- Yenilikçi Saldırı Vektörü: HTTPOnly bayrağı nedeniyle çerezler çalınamayan araştırmacı, HTML DOM’u doğrudan manipüle etmek için bir yöntem tasarladı.
- Django Çerçeve Hedefleme: Saldırı özellikle “/admin” yolunda bulunan Django yönetici arayüzüne odaklandı.
- CSRF Token Çıkarma: Saldırgan, XHR/AJAX isteklerini kullanarak, önemli CSRF nonce belirteci de dahil olmak üzere yönetici sayfasının HTML içeriğini almayı başardı.
- Aynı Menşe Politikası Avantajı: Aynı etki alanı kaynağında çalışmak, saldırganın Aynı Kaynak Politikası kısıtlamalarını atlamasına ve istemci verilerinin değiştirilmesine ve silinmesine olanak tanıdı.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın
Teknik Analiz
Son veri, yönetici sayfası içeriklerini almak ve bunları saldırganın web kancasına iletmek için karmaşık bir çift JavaScript getirme işlevinden yararlandı.
Bu teknik, araştırmacıya kimlik avı veya sosyal mühendislik taktiklerine gerek kalmadan etkili bir şekilde tam yönetim erişimi sağladı.
Bu araştırma, modern güvenlik korumaları karşısında bile XSS açıklarının potansiyel ciddiyetinin altını çiziyor.
Siber güvenlik topluluğunun XSS azaltma stratejilerini yeniden değerlendirmesi ve bu tür güvenlik açıklarının daha geniş sonuçlarını dikkate alması isteniyor.
Web uygulamaları gelişmeye devam ettikçe, onları giderek daha karmaşık hale gelen saldırı yöntemlerine karşı korumaya yönelik yaklaşımlar da gelişmelidir.
Araştırmacı bu çalışmayı müşterinin resmi onayıyla yürütürken, bulgular web uygulaması geliştirmede kapsamlı güvenlik denetimlerine ve sızma testlerine olan kritik ihtiyacı vurgulamaktadır.
Ayrıca araştırma makalesi, kapsamlı güvenlik yaklaşımlarının önemini ve en temel güvenlik açıklarını bile gözden kaçırmanın potansiyel sonuçlarını gösterdi.
Analyse Real-World Malware & Phishing Attacks With ANY.RUN - Get up to 3 Free Licenses