Yeterince basit gibi görünse de iş mantığındaki güvenlik açıkları, yetkisiz erişim, oran sınırlarının aşılması veya Stripe’ta yakın zamanda ortaya çıkan bir güvenlik açığı durumunda önemli indirimlerden sınırsız yararlanma gibi bir dizi ciddi güvenlik sorununa yol açabilir. İş mantığındaki güvenlik açıklarının gerçek etkisi, yararlanılan işlevselliğe bağlıdır.
İş Mantığı Güvenlik Açığı Nedir?
İş mantığı kusurları, girdi verilerinin işlenme biçimindeki tasarım ve kodlama hatalarından, varsayımların doğrulanamamasından, uç durumların ele alınmasındaki boşluklardan, yarış koşullarından ve amaçlanan iş kurallarının ve güvenlik politikalarının ihlal edilmesine yol açan diğer kodlama hatalarından kaynaklanır. Temelde bu güvenlik açıkları, saldırganların bir uygulamanın meşru ancak kusurlu mantığını kendi çıkarları doğrultusunda manipüle etmelerine olanak tanır.
Bu güvenlik açıkları, bir saldırganın aşağıdaki gibi kötü niyetli bir hedefe ulaşmak için meşru uygulama işlevselliğini istenmeyen yollarla atlatmasına veya kötüye kullanmasına olanak tanır:
- Verilere/işlevselliğe yetkisiz erişim elde etme
- Uygulama verilerini kısıtlamaları ihlal edecek şekilde değiştirme
- Yetkisiz işlem veya operasyonların gerçekleştirilmesi
- Oran sınırlarını, kotaları veya diğer kısıtlamaları atlamak
- Ayrıcalıkların uygunsuz şekilde yükseltilmesi
İş mantığındaki güvenlik açıkları, uygunsuz erişim kontrolü ve bilgilerin ifşa edilmesi gibi geleneksel “teknik” güvenlik açıklarından farklıdır. Bazı daha teknik kuruluşlar, daha yaygın güvenlik açıklarını ele alma konusunda iyi bir kavrayışa sahip olabilir; bu da bilgisayar korsanlarının, iş mantığındaki hatalar yoluyla özelliklerden yararlanmak için daha yaratıcı bir zihniyete sahip olmalarını gerektirebilir. Teknik olarak becerikli olmayan ancak güvenlik araştırmalarına yaratıcı bir yaklaşım getiren bilgisayar korsanları, iş mantığındaki güvenlik açıklarını test etmeye daha fazla ilgi duyabilir.
İş Mantığı Güvenlik Açıklarının İş Etkisi Nedir?
Bir iş mantığı güvenlik açığının iş etkisi önemli olabilir; çünkü mali kayıplara, veri ihlallerine ve bir kuruluşun itibarının ve müşteri güveninin zarar görmesine neden olabilir.
- Mali Kayıp: Saldırganlar hileli işlemler gerçekleştirebilir, yetkisiz satın alma işlemleri gerçekleştirebilir veya finansal hesaplara/verilere erişim sağlayabilir.
- Veri İhlalleri: İş mantığı kusurları, kişisel bilgiler, mali kayıtlar veya fikri mülkiyet gibi hassas verilere yetkisiz erişime izin verebilir.
- İtibar Hasarı: Kamuya duyurulan bir veri ihlali veya bir mantık hatasının istismar edilmesi, bir kuruluşun itibarına ve güvenilirliğine ciddi şekilde zarar verebilir.
- Rekabet Dezavantajı: Fikri mülkiyet veya ticari sırlar ifşa edilerek rakiplere haksız avantaj sağlanabilir.
- Operasyonel Kesintiler: Saldırganlar, örneğin kaynakları tüketerek veya mantık kusurlarından yararlanarak sistemleri aşırı yükleyerek iş operasyonlarını kesintiye uğratabilirler.
- Uyumsuzluk Cezaları: Güvenlik açığının niteliğine bağlı olarak, özellikle finansal hizmetler sektöründe sektör düzenlemeleri veya standartlarına uyulmaması, cezalara veya sertifikaların kaybedilmesine neden olabilir.
İş Mantığı Hatalarından Hangi Sektörler Etkileniyor?
8. Yıllık Hacker Destekli Güvenlik Raporu’na göre iş mantığı hataları, HackerOne platformu aracılığıyla bildirilen tüm güvenlik açıklarının %2’sini oluşturarak en yaygın 10 güvenlik açığı arasında yer alıyor. %2 çok fazla görünmese de, 2023’e göre yıldan yıla %5’lik bir artış var; bu da iş mantığı hatalarının daha yaygın hale geldiği anlamına geliyor.
İş mantığı hatası sektöre göre ayrım yapmasa da bazı sektörlerde diğerlerine göre daha belirgindir. Finansal hizmetler sektöründeki güvenlik açıklarının yüzde ikisi, güvenlik açığının genel genelindeki sıklığıyla uyumlu olarak iş mantığı hatalarından oluşuyor.
Ancak Cryptocurrency ve Blockchain kuruluşlarında %10 gibi çok daha yüksek bir oran yaşanıyor. Kripto para birimi ve Blockchain, siteler arası komut dosyası oluşturma gibi en yaygın olarak bulunan güvenlik açıklarını çözme konusunda daha deneyimli, ilerici bir teknoloji endüstrisidir. Bu nedenle güvenlik araştırmacılarının, özelliklerin istismar edilebileceği farklı yolları belirleyerek ve iş mantığındaki güvenlik açıklarını test ederek daha yaratıcı olmaları gerekir. Endüstri bu hatalara büyük değer veriyor ve toplam ödül ödüllerinin %45’ini iş mantığı hatalarına ayırıyor.
Sektörünüzün ortalamasıyla karşılaştırıldığında güvenlik açıklarınızın ne kadarının iş mantığı hatası olduğuna bir göz atın.
Stripe’ta Bulunan İş Mantığı Hatası Güvenlik Açığı Örneği
HackerOne’ın Hacktivity kaynağı, HackerOne Platformunda açıklanan güvenlik açıklarını sergiliyor. Belirli zayıflıkların nasıl tanımlandığını ve düzeltildiğini görmek için göz atın. Aşağıdaki iş mantığı hatası örneği, bir bilgisayar korsanının Stripe’ta sınırsız ücret indirimlerine izin verebilecek bir güvenlik açığını nasıl keşfettiğini göstermektedir.
Müşteri: Şerit
Güvenlik Açığı: İş mantığı hatası
Şiddet: Orta
Özet
Hacker @ian, Stripe’taki ücret indirimlerinin birden çok kez kullanılabildiği ve bunun sonucunda sınırsız, ücretsiz işlem yapılabilen bir iş mantığı güvenlik açığı keşfetti. Biraz alışılmadık olsa da, hacker gerçek bir Stripe müşterisi ve keşfi test etmek için gerçek Stripe hesabını kullandı.
Darbe
Ian’a Stripe işlemlerinde 20.000 dolarlık bir ücret indirimi teklif edildi. Stripe Destek teklifi hesabına uyguladı ve kontrol panelinde kendisine ücret indirimini kabul etmesi yönünde bir istem gösterildi. Ian, indirimi kabul etmeye paralel olarak hızlı taleplerde bulunmak için Burp Suite içindeki Turbo Intruder uzantısını kullandı. Uç noktayı 30 kez aradı ve her seferinde indirim hesabına başarıyla uygulandı ve sonuçta 600.000 ABD doları tutarında ücretsiz işlem gerçekleşti. Bilgisayar korsanı, bunun Stripe’a her indirimin yaklaşık %3’üne veya 20.000 dolarlık indirimin kötüye kullanıldığı her seferde 600 dolara mal olacağı sonucuna vardı.
İyileştirme
Başlangıçta Stripe sorunu bir çek ekleyerek çözmeye çalıştı, ancak Ian hâlâ birden fazla ödemeye izin veren bir yarış koşulunun olduğunu gösterdi. Stripe ekibi tarafından yapılan bir başka denemeden sonra Ian, güvenlik açığının tamamen çözüldüğünü ve artık istismar edilemeyeceğini doğruladı.
Stripe sorunu tam olarak çözmeyi başarmış olsa da, ciddi mali kayıplar, yasal riskler ve itibar kaybı potansiyeli, özellikle finansal platformlarda iş mantığındaki güvenlik açıklarını tespit edip düzeltmenin kritikliğini ortaya koyuyor.
Ödül
Bilgisayar korsanı, bir olaydan kaçınmalarına yardımcı olduğu için Stripe ekibinden 5.000 dolar ödül ve şükran aldı.
HackerOne ile Kuruluşunuzu İş Mantığı Açıklarından Koruyun
Bu, iş mantığındaki güvenlik açıklarının yaygınlığının ve etkisinin ciddiyetinin yalnızca bir örneğidir. HackerOne ve etik bilgisayar korsanlarından oluşan topluluk, saldırganın bir güvenlik açığını keşfetme konusundaki zihniyetini dikkate alarak, kuruluşların bu ve diğer güvenlik açıklarını tespit etmelerine ve düzeltmelerine yardımcı olmak için, hata ödülü, Hizmet Olarak Pentest (PTaaS), Kod Güvenliği Denetimi veya diğer çözümler aracılığıyla en iyi donanıma sahiptir. .
En önemli 10 HackerOne güvenlik açığının etkisi hakkında daha fazla bilgi edinmek için 8. Yıllık Hacker Destekli Güvenlik Raporunu indirin veya kuruluşunuzdaki hataları gidermeye başlamak için HackerOne ile iletişime geçin.