YORUM
Kuruluşlar, geliştirmeyi kolaylaştırmak ve vatandaş geliştiricileri güçlendirmek için az kodlu/kodsuz (LCNC) platformlara yöneldikçe, güvenlik risklerinin yönetilmesi giderek zorlaşıyor. Radarın altında kalanlardan biri LCNC tehditler, hassas kurumsal verileri açığa çıkarabilen bir saldırı vektörü olan OData enjeksiyonudur ve Microsoft’ta baskındır. Güç Platformu. Bu yeni güvenlik açığı, geleneksel koruma önlemlerinin eksik olduğu LCNC ortamlarındaki güvenlik uzmanları tarafından yeterince anlaşılamıyor.
OData Nedir?
OData veya Açık Veri Protokolü, OASIS standardı REST API’leri aracılığıyla verileri yönetmenin ve iletmenin bir yolu olarak LCNC platformlarında ilgi kazandı. Temel veri depolama modeline bakılmaksızın uygulamalar ve veri kaynakları arasında kesintisiz iletişime olanak tanıdığı için yaygın olarak benimsenmiştir. LCNC ortamlarında, SQL veritabanları, SharePoint veya Dataverse gibi çeşitli kaynaklardan veri almak için genellikle bir sorgu dili olarak kullanılır.
OData, basitliği nedeniyle LCNC platformlarında özellikle değerlidir; geliştiricilerin onu kullanmak için veritabanı uzmanı olmasına gerek yoktur ve aynı sorgu dili çok farklı veri kaynakları için kullanılabilir.
OData Yerleştirme Tehdidi
OData enjeksiyonu, daha sonra bir uygulama veya otomasyon tarafından OData sorgusu oluşturmak için kullanılacak kullanıcı girişini yönetir. Sorgu daha sonra kurumsal bir veri kaynağına uygulanır. Bu, bir saldırganın hassas kullanıcı ve kurumsal verileri manipüle etmek veya sızdırmak için yetkisiz erişim elde etmesine olanak tanır.
Sırasında SQL enjeksiyonu (SQLi) Genel olarak güvenlik uzmanları tarafından anlaşılan OData enjeksiyonu, özellikle birden fazla veri kaynağının genellikle minimum güvenlik eğitimi almış vatandaş geliştiriciler tarafından bağlandığı ve yönetildiği LCNC ortamlarında farklı zorluklar ortaya çıkarmaktadır. İlişkisel veritabanlarıyla sınırlı olan SQLi’den farklı olarak OData, özel uygulamalar ve üçüncü taraf hizmetleri de dahil olmak üzere çok çeşitli veri kaynaklarına bağlanarak bir saldırının potansiyel etkisini genişletebilir.
OData ayrıca SQL için geliştirilmiş köklü güvenlik uygulamalarından da yoksundur. Örneğin, SQLi genellikle yıllar içinde standart hale gelen bir uygulama olan parametreli sorgularla hafifletilebilir. Ancak OData enjeksiyonunun herkese uygun tek boyutlu bir çözümü yoktur. Geliştiricilerin, manuel ve hataya açık bir süreç olan özel giriş doğrulama mekanizmaları oluşturması gerekir. Ayrıca, OData enjeksiyon tekniklerine ilişkin genel farkındalık eksikliği, özel doğrulama yöntemlerinin uygulanma olasılığını daha da azaltır.
Yeni Bir Dış Saldırı Yüzeyi
LCNC ortamlarındaki OData güvenlik açıkları genellikle harici veri girişleriyle ilişkili fark edilmeyen risklerden kaynaklanır. Bunlar sıklıkla Web formları, e-posta mesajları, sosyal medya ve harici Web uygulamaları dahil olmak üzere kritik kurumsal verileri işleyen iş akışlarına entegre edilir. Bu girdiler genellikle sıkı bir doğrulama olmadan kabul edilir ve geliştiriciler ve güvenlik ekipleri bu kaynakları potansiyel riskler olarak gözden kaçırabileceğinden saldırı yüzeyini savunmasız ve çoğu zaman savunmasız bırakır.
Bu gözetim, saldırganların kötü amaçlı OData sorguları enjekte ederek bu girdilerden yararlanmasına olanak tanır. Örneğin, hassas verileri çıkarmak veya saklanan bilgileri değiştirmek için basit bir ürün geri bildirim formundan yararlanılabilir.
Güvenlik Zorlukları
Çünkü çoğu vatandaş geliştiricinin resmi bir bilgisi yok. güvenlik eğitimi ve iş akışlarında kontrol edilmemiş harici girdileri kabul etmenin tehlikelerine çoğu zaman aşina olmadıklarından, OData Enjeksiyonu güvenlik açıkları fark edilmeden gelişebilir.
Ayrıca, SQL enjeksiyonunun aksine, OData sorgularında kullanıcı girişlerinin doğrulanması daha uygulamalı bir yaklaşım gerektirir. Geliştiricilerin zararlı karakterleri kaldırarak, uygun biçimlendirmeyi sağlayarak ve yaygın enjeksiyon tekniklerine karşı koruma sağlayarak girdileri manuel olarak temizlemesi gerekir. Bu süreç zaman, çaba ve çoğu LCNC geliştiricisinin eksik olduğu daha gelişmiş programlama bilgisini gerektirir.
Ayrıca, geleneksel geliştirme ortamlarında güvenlik açıkları genellikle biletleme sistemleri veya Jira gibi birikim yönetimi araçları aracılığıyla izlenir ve giderilir. Bu resmi süreç, geliştiricilerin tam zamanlı kodlayıcı olamayabileceği ve hata izleme veya güvenlik açığı yönetimini ele almak için resmi bir yola sahip olamayabileceği çoğu LCNC geliştirme ortamında mevcut değildir.
Azaltmayla İlgili En İyi Uygulamalar
OData enjeksiyonuyla mücadele proaktif bir güvenlik stratejisi gerektirir. İdeal olarak, LCNC geliştiricilerinin OData sorgu riskleri ve harici girdilerden nasıl yararlanılabileceği konusunda eğitilmesi gerekir. Vatandaş geliştiriciler tam zamanlı kodlayıcılar olmadığından bu gerçekçi değil.
Bunun yerine otomasyon, OData yerleştirme güvenlik açıklarının izlenmesinde ve tespit edilmesinde önemli bir rol oynayabilir. Güvenlik ekipleri, özellikle yeni uygulamalar ve iş akışları oluşturuldukça, LCNC ortamlarını potansiyel güvenlik açıklarına karşı sürekli olarak değerlendiren araçları dağıtmalıdır. Bu, zayıf noktaların erken tespit edilmesine yardımcı olacak ve geliştiricilere bunları nasıl düzeltebilecekleri konusunda hızlı bir şekilde eyleme geçirilebilir bilgiler sağlayacaktır.
Güvenlik ekipleri ile LCNC geliştiricileri arasındaki işbirliği bulmacanın bir diğer önemli parçasıdır. Güvenlik ekiplerine, özellikle kritik kurumsal verilerin işlendiği ortamlarda, geliştirme sürecini gerçek zamanlı olarak izlemelerine izin verilmelidir. Güvenlik açıkları belirlendiğinde güvenlik, geliştiricilerle açık bir şekilde iletişim kurmalı ve sorunların nasıl düzeltileceği konusunda özel rehberlik sunmalıdır. Bu, girdi doğrulama ve sanitasyona yönelik en iyi uygulamaların yanı sıra, mümkün olduğunda süreci otomatikleştirmeye yönelik araçları da içerebilir.
Son olarak güvenlik, LCNC geliştirme yaşam döngüsüne entegre edilmelidir. Tıpkı “sola kaydırma“Geleneksel yazılım geliştirmedeki hareket doğrultusunda, güvenlik kontrolleri en başından itibaren LCNC iş akışına dahil edilmelidir. Uygulamalar oluşturulurken güvenlik açıklarını taramak için otomatik test araçlarından yararlanılabilir, bu da OData enjeksiyon güvenlik açıklarının çatlaklardan sızma olasılığını azaltır.
LCNC’nin benimsenmesi arttıkça kuruluşların karşılaştığı tehditlerin karmaşıklığı da artacaktır. OData enjeksiyonu gibi LCNC güvenlik açıklarının artık ele alınması, işletmelerin uzun vadede güvende kalmasına yardımcı olacaktır.