Siber güvenlik araştırmacıları, daha az bilinen bir teknikle tetiklenen web ihlallerinde önemli bir artış olduğunu bildirmişlerdir: ana bilgisayar başlığı enjeksiyonu.
Bu sofistike saldırı vektörü, bilgisayar korsanlarının çok sayıda web uygulamasını tehlikeye atmasını, hassas bilgileri çalmasını ve hem işletmeler ve güvenlik uzmanları arasında web sitesi işlemleri yaratan alarm zillerini değiştirmesini sağladı.
Bu saldırının merkezinde, HTTP ana bilgisayar başlığı modern web sitelerinin nasıl çalıştığının temel kısmının manipülasyonu var.
.png
)
Bir kullanıcı bir siteyi ziyaret ettiğinde, tarayıcıları sunucuya hangi web sitesine erişildiğini söyleyen bir ana bilgisayar başlığı içeren bir HTTP isteği gönderir.
Ortada paylaşılan rapora göre, birçok web uygulaması bağlantılar oluşturmak, güvenlik kurallarını uygulamak veya isteklerin nasıl işlendiğini belirlemek için bu başlığa güvenir.
Ancak, uygulama ana bilgisayar üstbilgisini doğru bir şekilde doğrulayamaz veya sterilize edemezse, saldırganlar kötü niyetli değerler enjekte edebilir.
Bu gözetim, şifre sıfırlama zehirlenmesinden önbellek zehirlenmesine ve hatta siteler arası senaryolara kadar çeşitli istismarlar için kapıyı açar.
Gerçek dünya sömürüsü
Siber suçlular giderek daha fazla göz ardı edilen veya zayıf yapılandırılmış ana bilgisayar başlık uygulamalarını hedeflemektedir.
Son ihlallerde, saldırganlar, örnek.com yerine evil.com gibi kötü niyetli bir ana bilgisayar değerine sahip istekler oluşturmak için araçlar kullandılar.
Uygulama, şifre sıfırlama bağlantıları oluşturmak veya yönlendirme oluşturmak için ana bilgisayar değerine güveniyorsa, kullanıcılar bilmeden kimlik bilgilerini veya oturum belirteçlerini doğrudan saldırganın sunucusuna gönderen bir bağlantı alabilir.
Örnek kötü niyetli istek:
GET /reset-password?user=alice HTTP/1.1
Host: attacker.comSunucu, doğrulama olmadan ana bilgisayar başlığını kullanarak şifre sıfırlama bağlantılarını oluşturursa, bir kurban aşağıdakileri içeren bir bağlantı içeren bir sıfırlama e -postası alabilir:
https://attacker.com/reset?token=abcdefBunu tıklamak, sıfırlama jetonunu saldırgana teslim eder.
Örneğin, güvenlik analistleri tarafından belgelenen bir dizi koordineli saldırı sırasında, bilgisayar korsanları şifre sıfırlama iş akışlarını zehirlemek için ana bilgisayar başlık kusurlarını kullandı.
Sıfırlama isteyen kurbanlar, saldırganın kontrolü altındaki alanlara bağlantılar içeren e -postalar aldı. Hacker’ların hesapları hızlı bir şekilde ele geçirmesine izin vererek, kimlik doğrulama jetonlarını teslim eden bu bağlantıları tıklamak.
Konak başlık enjeksiyonunun etkisi çok kapsamlıdır. Hesap kaçırmanın ötesinde, bu güvenlik açığı aşağıdakiler için kullanılabilir:
- Güvenlik duvarlarını atlayın ve dahili kaynaklara erişin
- Meşru alanlar aracılığıyla kimlik avı saldırılarını başlatın
- Kötü niyetli içerik sunmak için önbellek sistemlerini manipüle edin
- Daha fazla kritik güvenlik açıklarına yükselin
Güvenlik uzmanları, varsayılan güvenlik ayarlarına dayanan kuruluşların özellikle risk altında olduğu konusunda uyarıyor, çünkü birçok platform ana bilgisayar başlığını otomatik olarak sterilize etmiyor.
Bu saldırılara karşı koymak için, geliştiriciler ana bilgisayar başlığını izin verilen bir güvenilir alan listesine karşı doğrulamalı ve anahtar işlevlerde tasarlanmamış kullanıcı girişini kullanmaktan kaçınmalıdır.
Web uygulaması güvenlik duvarları (WAF) anormal ana bilgisayar başlıklarını tespit etmek için yapılandırılmalıdır ve düzenli güvenlik denetimleri, bu tür güvenlik açıklarını kullanılmadan önce ortaya çıkarmaya yardımcı olabilir.
Ana bilgisayar başlığı enjeksiyonu spot ışığının altına girdikçe, gelişen tehdit manzarası web uygulamalarının yüzünü hatırlatır.
SOC ekibini kurmak mı? -SOC ekibiniz için ücretsiz Ultimate SIEM Fiyatlandırma Kılavuzu’nu (PDF) indirin -> Ücretsiz İndir