Geçtiğimiz birkaç yılda, API güvenliği nispeten niş bir konu olmaktan çıkıp manşetlerde yer alan bir konu haline geldi. PCI DSS 4.0 gibi bir dizi yüksek profilli ihlal ve uyumluluk zorunluluğu, güvenlik ekiplerini API’lerin verilere, altyapılara ve gelir akışlarına açılan ön kapı olduğu gerçeğine uyandırdı.
OWASP yakın zamanda ilk İş Mantığını Kötüye Kullanan İlk 10 Listesini yayınladı; sektörün API güvenliğini ve tüm inceliklerini ciddiye aldığının açık bir göstergesi. Wallarm’ın CEO’su ve projeye önemli katkıda bulunanlardan biri olan Ivan Novikov’un ifade ettiği gibi:
“Topluluğun iş mantığı saldırıları konusunda ortak bir dile sahip olması inanılmaz derecede önemli. Bu tür saldırılar belirli bir yazılım yığınını veya teknolojiyi aşar. Mevcut sınıflandırmalara uymuyorlar ancak bugün saldırganlar tarafından aktif olarak istismar ediliyorlar.”
Bu makalede, İş Mantığını Kötüye Kullanma konusunda OWASP İlk 10’unu, bunun neden önemli olduğunu ve en önemlisi iş mantığının kötüye kullanılması ve API’ler söz konusu olduğunda Wallarm’ın nasıl yardımcı olabileceğini inceleyeceğiz.
Bu Liste Neden Önemli?
İş mantığının kötüye kullanılması teorik bir sorun değildir; bu, tüm sektörlerde ve coğrafyalarda üretim ortamlarında günlük bir gerçekliktir. Ve daha da kötüsü, bu kusurlar nadiren daha geleneksel güvenlik açığı istismarıyla ilişkili belirgin izleri bırakıyor.
Gerçek Dünya Etkileri: RBI Uluslararası Arabaya Servis Olayı
Eylül 2025’te Burger King, Tim Hortons ve Popeyes’in sahibi Restaurant Brands International’ın (RBI International), arabaya servis operasyonlarıyla bağlantılı çok sayıda API güvenlik açığını açığa çıkardığı ortaya çıktı. Saldırganlar, uygun kontroller olmadan, arabadan sese erişmeden veya kulak misafiri olmadan kimlik doğrulama belirteçleri oluşturabilir ve ayrıcalıkları normal müşteriden yöneticiye yükseltebilir.
Bu senaryo, çeşitli OWASP İş Mantığını Kötüye Kullanma İlk 10 kategorisiyle eşleşir:
- BLA6: Eksik Geçiş Doğrulaması (MTV) – İlk kaydolma uç noktası, hesap oluşturan kişinin geçerli bir çalışan olduğuna dair herhangi bir doğrulama sağlamadı.
- BLA9: Bozuk Erişim Kontrolü (BAC) — “createToken” uç noktası, herhangi bir kullanıcının kimlik doğrulaması olmadan belirteç talep etmesine izin verdi.
- BLA9: Bozuk Erişim Kontrolü (BAC) — Ayrıcalığın müşteriden yöneticiye yükseltilmesi, rol tabanlı izinlerin uygulanmasındaki hataları gösterir.
- BLA8: Dahili Durum Açıklaması (ISD) — Canlı sesin gizlice dinlenmesi ve kişisel bilgilerin ifşa edilmesi, dahili durumun veya verilerin kasıtsız olarak ifşa edilmesi anlamına gelir.
- BLA10: Gölge İşlevinin Kötüye Kullanımı (SFA) – Açık bir GraphQL uç noktası, hem iç gözlem sorgularına izin verdi hem de e-posta doğrulamasını atlayan bir kayıt sağladı.
Daha Geniş Görünüm: Fintech ve E-ticaret
Sorun telekomünikasyonun çok ötesine uzanıyor. Fintech ve e-ticaret kuruluşları sıklıkla işlemsel iş akışının kötüye kullanılmasının kurbanı oluyor. Örneğin, saldırganlar ödemeleri iptal edip yeniden başlatabilir veya zamanlama boşluklarından ve sistem varsayımlarından yararlanmak için birden fazla paralel istek gönderebilir. Bu tür kötüye kullanımlar, aşağıdakiler de dahil olmak üzere çeşitli OWASP kategorileriyle eşleşir:
- BLA1: Eylem Sınırı Aşımı (ALO) — Kuponlar, geri ödemeler veya yeniden denemeler gibi tek kullanımlık veya sınırlı eylemlerin kötüye kullanılması.
- BLA2: Eşzamanlı İş Akışı Sırasını Atlama (CWOB) — Zorunlu iş akışı adımlarını atlamak için paralel süreçlerden yararlanma.
- BLA7: Kaynak Kota İhlali (RQV) — Kesintiye neden olmak veya avantaj elde etmek için bir sistemin kota sınırlarını aşmak.
Geleneksel Güvenlik Yetersiz Kalıyor
Kod yerleştirme veya yanlış yapılandırmalardan farklı olarak, iş mantığının kötüye kullanılması, sistemler tam olarak amaçlandığı gibi çalıştığında ancak beklendiği gibi çalışmadığında ortaya çıkar. Sonuç olarak, bu tehditler genellikle Web Uygulaması Güvenlik Duvarları (WAF’ler), tarayıcılar veya genellikle bilinen kötü amaçlı kod kalıplarını veya yanlış yapılandırmaları tespit etmek için tasarlanmış statik analiz gibi geleneksel güvenlik araçlarını atlar.
PCI DSS 4.0 Zorunluluğu
PCI DSS 4.0 Gereksinim 6.2.4’ün mantık istismarının tespitini ve önlenmesini açıkça zorunlu kılmasıyla, güvenlik ekipleri artık bunu bir uç durum olarak ele alamayacaktır. OWASP İş Mantığını Kötüye Kullanma Konusunda İlk 10, sektöre giderek yaygınlaşan ve karmaşıklaşan bu tehditleri değerlendirmek, önceliklendirmek ve bunlara karşı savunma yapmak için önemli bir çerçeve sağlar.
OWASP İş Mantığını Kötüye Kullanma İlk 10 (2025)
| Suistimal etmek | Darbe |
| BLA1: Eylem Sınırının Aşılması (ALO) | Senkronize olmayan istekler veya tekrarlanan eylemler, kullanım sınırlarını aşar (ör. kuponun kötüye kullanılması, geri ödemenin tekrar oynatılması). |
| BLA2: Eşzamanlı İş Akışı Sırasını Atlama (CWOB) | Saldırganlar zorunlu iş akışı adımlarını atlamak için eşzamanlılıktan yararlanır. |
| BLA3: Nesne Durumu Manipülasyonları (OSM) | İş kurallarını atlamak için beklenmedik durumlardaki nesneleri değiştirmek (örneğin, ödemeden önce nakliye). |
| BLA4: Kötü Amaçlı Mantık Döngüsü (MLL) | Sonsuz veya yinelenen döngüler kaynakları tüketir veya iş akışlarını kesintiye uğratır. |
| BLA5: Artifact Ömür Boyu Sömürü (ALE) | Amaçlanandan daha uzun süre dayanan belirteçlerin, oturumların veya kimlik bilgilerinin kötüye kullanılması. |
| BLA6: Eksik Geçiş Doğrulaması (MTV) | İş akışı geçişleri gerekli doğrulama gerekmeden devam eder (örn. onayı atlayarak). |
| BLA7: Kaynak Kota İhlali (RQV) | Hizmeti düşürmek için sistem kaynağı kotalarının tüketilmesi veya kullanılması. |
| BLA8: Dahili Durum Açıklaması (ISD) | Sistem davranışı, istemeden hassas dahili durumu ortaya çıkarır. |
| BLA9: Bozuk Erişim Kontrolü (BAC) | Erişim kurallarının yetersiz uygulanması yetkisiz eylemlere olanak tanır. |
| BLA10: Gölge İşlevinin Kötüye Kullanılması (SFA) | Kamu kullanımına yönelik olmayan belgelenmemiş veya gizli işlevlerden yararlanmak. |
Wallarm, API’lerdeki İş Mantığını Kötüye Kullanmaya Karşı Nasıl Korur?
İş mantığı kusurları incedir ve geleneksel araçlarla tespit edilmesi zordur. Bu nedenle Wallarm’ı API’lerde bunlara karşı savunma yapacak şekilde sıfırdan tasarladık; sadece yüzeyde değil, uygulama mantığının derinliklerinde de.
Saldırganlar iş akışlarından yararlandığında Wallarm, isteklerin rotadan saptığını tespit ederek API’lerin nasıl çalışması gerektiğine dair görünürlük sağlar. Örneğin, bir saldırgan artık kalmış belirteçlerden yararlanmaya veya çok adımlı akışları manipüle etmeye çalışırsa, iş mantığı tanımlamamız, davranışsal temel oluşturma ve durum bilgisi incelememiz, tutarsızlığı hasar meydana gelmeden önce yakalar.
Dahası, şema doğrulamamız veri türleri üzerinde sıkı kontroller uygulayarak gevşek mantığı atlayabilecek kaçakçılık girişimlerini durdurur. Mantık döngüleri, tekrarlar veya eşzamanlılık kusurları ortaya çıktığında anormallik tespitimiz, belirteç doğrulamamız ve hız sınırlamamız, kaynak tükenmesini veya mali suiistimali önlemek için uyum içinde çalışır.
Ayrıca erişimin yalnızca uç noktalarla ilgili olmadığını, bağlamla da ilgili olduğunu anlıyoruz. Wallarm, yetkilendirme kontrollerini değerlendirir, durum geçişlerini doğrular ve her API türünde her çağrıda kota sınırlarına uyulmasını sağlar. İş mantığı saldırılarını azaltmak, bir isteği engellemekten veya bir IP adresini engellemekten daha fazlasını gerektirir. Bu saldırılar uygulama düzeyinde gerçekleşir ve Wallarm, davranışın oluştuğu API oturumunu engelleyerek bunları azaltır.
Basitçe söylemek gerekirse, OWASP İlk 10 kategorisinin her biri Wallarm platformundaki bir koruma özelliğiyle eşleşir. Ancak daha da önemlisi, sistemimiz mantığı, güvenlik duruşunuzun yaşayan, gelişen bir katmanı olarak ele alır; sadece bir kontrol listesi öğesi değil.