Kulağa yeterince basit geliyor, ancak iş mantığı güvenlik açıkları, yetkisiz erişim, oranı sınırlarını atlama veya yakın tarihli bir şerit güvenlik açığı, önemli indirimlerin sınırsız bir şekilde geri alınması gibi bir dizi ciddi güvenlik sorununa neden olabilir. İş mantığı güvenlik açıklarının gerçek etkisi, sömürülen işlevselliğe bağlıdır.
İş mantığı güvenlik açığı nedir?
İş mantığı kusurları, girdi verilerinin nasıl işlendiğindeki tasarım ve kodlama hatalarından kaynaklanmaktadır, varsayımların doğrulanamaması, kullanım kenar durumlarında boşluklar, yarış koşulları ve amaçlanan iş kurallarının ve güvenlik politikalarının ihlaline yol açan diğer kodlama hataları. Özünde, bu güvenlik açıkları saldırganların bir uygulamanın meşru ama kusurlu mantığını kendi yararlarına manipüle etmelerini sağlar.
Bu güvenlik açıkları, bir saldırganın kötü amaçlı bir hedefe ulaşmak için istenmeyen yollarla meşru uygulama işlevselliğini atlatmasına veya kötüye kullanmasına izin verir:
- Verilere/işlevselliğe yetkisiz erişim elde etmek
- Uygulama verilerinin kısıtlamaları ihlal etmesi
- Yetkisiz işlemler veya işlemler yapmak
- Oran sınırlarını, kotaları veya diğer kısıtlamaları atlamak
- Artan ayrıcalıklar uygunsuz bir şekilde
İş mantığı güvenlik açıkları, yanlış erişim kontrolü ve bilgi açıklaması gibi geleneksel “teknik” güvenlik açıklarından farklıdır. Bazı daha teknik kuruluşlar, daha yaygın güvenlik açıklarını ele alma konusunda iyi bir kavrayışa sahip olabilir, bu da bilgisayar korsanlarının iş mantığındaki hatalarla özelliklerden yararlanmak için daha yaratıcı bir zihniyete sahip olmasını gerektirebilir. Teknik olarak becerikli olmayabilecek ancak güvenlik araştırmalarına yaratıcı bir yaklaşım getiren bilgisayar korsanları, iş mantığı güvenlik açıklarını test etmekten daha fazla ilgi duyabilir.
İş mantığı güvenlik açıklarının iş etkisi nedir?
Bir iş mantığı güvenlik açığının iş etkisi, potansiyel olarak finansal kayıplara, veri ihlallerine ve bir kuruluşun itibarı ve müşteri güvenine zarar verebileceği için önemli olabilir.
- Mali Kayıp: Saldırganlar hileli işlemler yapabilir, yetkisiz alımlar yapabilir veya finansal hesaplara/verilere erişebilir.
- Veri ihlalleri: İş mantığı kusurları, kişisel bilgiler, finansal kayıtlar veya fikri mülkiyet gibi hassas verilere yetkisiz erişime izin verebilir.
- İtibar Hasarı: Bir mantık kusurunun halka açık bir veri ihlali veya sömürülmesi, bir kuruluşun itibarına ve güvenilirliğine ciddi zarar verebilir.
- Rekabet Dezavantajı: Fikri mülkiyet veya ticari sırlar tehlikeye girebilir ve rakiplere haksız bir avantaj sağlayabilir.
- Operasyonel Azaltılar: Saldırganlar, örneğin, mantık kusurlarından yararlanarak kaynakları veya ezici sistemleri tüketerek iş operasyonlarını bozabilir.
- Uyumsuzluk cezaları: Güvenlik açığının niteliğine bağlı olarak, özellikle finansal hizmetler endüstrisinde endüstri düzenlemelerine veya standartlara uyulmamasına neden olabilir ve bu da cezalara veya sertifika kaybına yol açabilir.
İş mantığı hatalarından hangi endüstriler etkilenir?
8. yıllık hacker destekli güvenlik raporuna göre, iş mantığı hataları, Hackerone platformu aracılığıyla bildirilen tüm güvenlik açıklarının% 2’sinde en yaygın 10 güvenlik açığı içindedir. % 2’si fazla görünmese de, 2023’ten yıla% 5’lik bir artış, yani iş mantığı hataları daha yaygın hale geliyor.
İş mantığı hatası endüstri tarafından ayrımcılık yapmasa da, bazı endüstrilerde diğerlerinden daha belirgindir. Finansal hizmetler sektöründeki güvenlik açıklarının yüzde ikisi, yönetim kurulundaki güvenlik açığının sıklığı ile uyumlu iş mantığı hatalarıdır.
Bununla birlikte, kripto para birimi ve blockchain kuruluşları%10 oranında çok daha yüksek bir oran yaşarlar. Kripto para birimi ve blockchain, siteler arası komut dosyası gibi en yaygın bulunan güvenlik açıklarını çözmede daha deneyimli ilerici bir teknoloji endüstrisidir. Bu nedenle, güvenlik araştırmacılarının, özelliklerin kullanılabilir ve iş mantığı güvenlik açıklarını test edebileceği farklı yollar belirleyerek daha yaratıcı olmaları gerekir. Endüstri, bu hatalara çok fazla değer veriyor ve toplam ödül ödüllerinin% 45’ini iş mantığı hatalarına doğru koyuyor.
Güvenlik açıklarınızın kaç tanesinin sektörünüzün ortalamasına kıyasla iş mantığı hataları olduğuna bir göz atın.
Stripe’de bulunan bir iş mantığı hatası güvenlik açığı örneği
HackerOne’un Hacktivity kaynağı, Hackerone platformunda açıklanan güvenlik açıklarını sergiliyor. Belirli zayıflıkların nasıl tanımlandığını ve düzeltildiğini görmek için kontrol edin. Aşağıdaki iş mantığı hatası örneği, bir hacker’ın Stripe’de sınırsız ücret indirimlerine izin verebilecek bir güvenlik açığı keşfettiğini göstermektedir.
Müşteri: Şerit
Güvenlik Açığı: İş mantığı hatası
Şiddet: Orta
Özet
Hacker @ian, Stripe’deki ücret indirimlerinin birden çok kez kullanılabileceği bir iş mantığı güvenlik açığı keşfetti ve bu da sınırsız ücretsiz işlemlere neden oldu. Biraz alışılmadık olsa da, hacker gerçek bir şerit müşterisidir ve keşfi test etmek için gerçek şerit hesabını kullanmıştır.
Darbe
Ian’a şerit işlemlerinde 20.000 dolarlık bir ücret indirimi teklif edildi. Stripe desteği teklifi hesabına uyguladı ve gösterge tablosundaki ücret indirimini kabul etme istemi gösterildi. Ian, indirimi kabul etmek için paralel hızlı istekte bulunmak için Burp Suite içindeki Turbo Intruder uzantısını kullandı. Uç noktayı 30 kez aradı ve her seferinde indirim hesabına başarıyla uygulandı ve 600.000 dolarlık ücretsiz işlemle sonuçlandı. Hacker, bunun her bir indirimin yaklaşık% 3’üne mal olacağı sonucuna vardı veya her 20.000 dolarlık indirim kötüye kullanıldığında 600 $.
İyileştirme
Başlangıçta, Stripe bir çek ekleyerek sorunu çözmeye çalıştı, ancak Ian hala birden fazla kurtuluşa izin veren bir yarış koşulu olduğunu gösterdi. Stripe’in ekibi tarafından başka bir yinelemeden sonra Ian, güvenlik açığının tamamen çözüldüğünü ve artık sömürülemediğini doğruladı.
Stripe sorunu tam olarak çözebilse de, önemli finansal kayıplar, yasal maruziyet ve itibar hasarı potansiyeli, özellikle finansal platformlarda iş mantığı güvenlik açıklarını belirleme ve düzeltmenin kritikliğini vurgulamaktadır.
Ödül
Hacker, bir olaydan kaçınmalarına yardımcı olmak için Stripe ekibinden 5.000 dolarlık bir ödül ve minnettarlık aldı.
Hackerone ile kuruluşunuzu iş mantığı güvenlik açıklarından koruyun
Bu, iş mantığı güvenlik açıklarının yaygınlığı ve etki şiddetinin sadece bir örneğidir. Hackerone ve etik hackerlar topluluğu, organizasyonların bu ve diğer güvenlik açıklarını tanımlamasına ve düzeltmelerine yardımcı olmak için donanımlıdır, ister hata ödül, bir hizmet olarak pentest (PTAAS), kod güvenlik denetimi veya diğer çözümleri, saldırganın bir güvenlik açığı keşfetme zihnini göz önünde bulundurarak en iyi donanımlıdır. .
İlk 10 Hackerone güvenlik açıklarının etkisi hakkında daha fazla bilgi edinmek için 8. yıllık hacker destekli güvenlik raporunu indirin veya kuruluşunuzdaki hataları almaya başlamak için hackerone ile iletişime geçin.