Nedir ve Nasıl Düzeltilir

   Ocak 27, 2025  Posted in Mix


Hackerone’un 8. yıllık hacker destekli güvenlik raporu, uygunsuz erişim kontrolünün, bir hata ödülünde bildirilen ikinci en yaygın güvenlik açığı ve Pentests’te bildirilen üç numaralı güvenlik açığı olduğunu belirtiyor. Hackerone platformunda keşfedilen tüm güvenlik açığı türlerinin% 9’unu oluşturur.

“Düşük asılı meyve” güvenlik açığı türü olarak kabul edilmesine rağmen, yanlış erişim kontrolü, veri ihlalleri ve hırsızlık, sistem kesintisi, üçüncü taraf risk, finansal hasarlar ve yasal/uyum yankıları da dahil olmak üzere bir kuruluşu önemli ölçüde etkileyebilir.

Yanlış erişim kontrolüne daha yakından bakalım – ne, nasıl kullanıldığı ve nasıl düzeltileceği.

Yanlış erişim kontrolü nedir?

Erişim kontrolleri, bir sisteme erişimi, verilerini ve kullanıcı izinlerini kontrol eden güvenlik önlemleridir. Kimin neye erişebileceğini tanımlarlar. Bu önlemler üç kategoriye uyuyor:

  • Kimlik Doğrulama: Bir kullanıcının kimliğini kanıtlama.
  • Yetkilendirme: Bir kullanıcının belirli verilere veya kaynaklara erişmesine izin verilmelidir.
  • Denetim: Kullanıcının hangi işlemleri yaptıklarını izleme ve günlüğe kaydetme.

Yanlış erişim kontrolü, bir sisteme veya verilere erişim kısıtlamaları düzgün bir şekilde uygulanmadığında ortaya çıkan sorunları ifade ederek yetkisiz erişime izin verir. Yanlış erişim kontrolü, aşağıdakiler dahil olmak üzere birçok farklı şekilde ortaya çıkabilir:

  • Meşru amaçlar için gerekli olanın ötesine erişime izin veren çok izin veren erişim kuralları
  • Kimlik doğrulama gereksinimlerinin eksikliği, kimliği doğrulamadan herkesin erişmesine izin verir
  • Güvensiz varsayılan yapılandırmalar, amaçlanandan daha fazla erişim sağlayan
  • Rollere dayalı olarak erişimi kısıtlamama, daha düşük seviyeli kullanıcıların ayrıcalıklı işlevlere erişimine izin vermesini sağlamak
  • Artık gerektiğinde erişimi düzgün bir şekilde iptal etmeyin, eski çalışanların/kullanıcıların hala sistemlere erişim elde etmesine izin verir

Anahtar yönü, uygunsuz erişim kontrollerinin, yetkisiz kullanıcıların politikaya dayalı olarak erişmemeleri gereken sistemlere veya verilere erişmelerine izin vererek güvenlik açıkları yaratmasıdır. Uygun erişim kontrolleri, en az ayrıcalık ilkesini takip etmeli, erişim sağlanmasında kısıtlayıcı olmalı ve iptal konusunda dikkatli olmalıdır.

Yanlış erişim kontrolünün iş etkisi

  1. Veri ihlalleri ve hırsızlık: Yetkisiz erişim, kötü niyetli aktörlerin müşteri bilgileri, ticari sırlar, finansal veriler veya fikri mülkiyet gibi hassas verilere erişmesine ve çalmasına yol açabilir. Bu, önemli finansal, yasal ve itibar zararlarına neden olabilir.
  2. Sistem kesintisi: Yanlış erişim, kritik sistemlerin uzlaşmasını sağlar. Kötü niyetli aktörler, fidye yazılımı başlatabilir, verileri silebilir veya yozlaşmış olabilir veya verimliliği ve yetenekleri engelleyebilir.
  3. Düzenleyici uyumsuzluk: HIPAA, PCI-DSS ve NIST gibi düzenlemeler güçlü erişim kontrolleri gerektirir. Uyumluluğun karşılanamaması, ağır para cezalarına ve faaliyet göstermek için gerekli sertifikaların kaybına neden olabilir.
  4. İmtiyaz Kötüye Kullanım: Aşırı izin veren erişim, çalışanların/kullanıcıların kişisel kazanç için güvenliği tehlikeye atmak için yüksek ayrıcalıkları kötüye kullandıkları içeriden gelen tehditler sağlar. Bu sahtekarlık veya sabotaj ile sonuçlanır.
  5. Üçüncü taraf riski: Satıcılar ve ortaklar gibi dış taraf erişim çevresindeki zayıf erişim kontrolleri, bu dış tehditlerin güvenliği tehlikeye atmasını ve risk yüzeyini artırmasını sağlar.

Hangi endüstriler uygunsuz erişim kontrolünden etkilenir?

Yanlış erişim kontrol sorunları endüstri tarafından ayrımcılık yapmaz. Bununla birlikte, bazı endüstrilerde diğerlerinden daha belirgindir. Aşağıdaki grafik, endüstri tarafından Hackerone platformundaki en iyi güvenlik açıklarını göstermektedir. Yanlış erişim kontrolü, hükümet alanında tanımlanan güvenlik açıklarının sadece% 5’ini oluşturur, ancak internet ve çevrimiçi hizmetlerde büyük bir% 13 oluşturur. Devlet kurumları, erişim ve hassas verilerin korunması söz konusu olduğunda yüksek oranda düzenlenir. Öte yandan, İnternet ve çevrimiçi hizmet kuruluşları, erişimi yönetmeyi zorlaştıran kapsamlı web varlıklarına sahiptir, bu nedenle dahili güvenlik ekipleri tarafından henüz tanımlanmamış ve yeniden yapılandırılmamış daha düşük asılı meyve güvenlik açıkları görürler.

Güvenlik açıklarınızın kaçının endüstriniz için ortalamaya kıyasla yanlış erişim kontrolü olduğuna bakın.

Endüstriye göre güvenlik açığı türleri

Yanlış Erişim Kontrolü Güvenlik Açığı’nın Gerçek Dünya Örneği

HackerOne’un Hacktivity kaynağı, Hackerone platformunda açıklanan güvenlik açıklarını sergiliyor. Belirli zayıflıkların nasıl tanımlandığını ve düzeltildiğini görmek için kontrol edin. Aşağıdaki yanlış erişim kontrol örneği, bir bilgisayar korsanının Kayak’ta bir saldırganın kuruluşun Android uygulamasına kaydedilen herhangi bir hesabı devralmasına izin verebilecek bir güvenlik açığı keşfettiğini göstermektedir.

Müşteri: KAYIK
Güvenlik Açığı: Yanlış Erişim Kontrolü
Şiddet: Eleştirel

Özet

Mobil uygulamalarda sıfır gün güvenlik açıklarını araştırırken, etik hacker @RETR02332, bir kullanıcının oturum çerezini kayak v161.1’deki kötü niyetli bir derin bağlantı aracılığıyla çalmanın mümkün olduğunu buldu. Tek tıklamalı bir saldırı ile, kimliği doğrulanmamış, uzak bir saldırgan, Android için Kayak Mobile uygulamasına giriş yapan herhangi bir kurbanın hesabını çalabilir.

Yanlış erişim kontrolü ile kayık kodu

Darbe

Hacker, kurbanın e -posta adresi ile belirli bir derin bağlantının hazırlanmasının, bir saldırganın herhangi bir kimlik doğrulaması olmadan tek bir tıklamada kurbanın kayık hesabına erişmesine izin verebileceğini gösterdi. Sömürü yeniden üretmek için aşağıdaki adımları gösterdiler:

  1. Kurbanın e -posta adresiyle aşağıdaki DeepLink’i hazırlayın: Kayak: // Login? E -posta=victim@email.com
  2. Deeplink’i kurbana gönderin ve üzerine tıklamaya kandırın.
  3. DeepLink, herhangi bir kimlik doğrulaması olmadan saldırganı Android uygulamasındaki kurbanın kayık hesabına otomatik olarak kaydedecektir.

Bu, bir saldırganın kurbanın kayık hesabına yetkisiz erişim kazanmasına, kişisel bilgilerini görüntülemesine ve Mağdur olarak hesap işlemlerini gerçekleştirmesine olanak tanır.

İyileştirme

Bulganın Kayak’a bildirildikten sonraki gün Google Play Store aracılığıyla bir ilk yama sunuldu. Neyse ki, kırılganlık keşfinden önce çok yakın zamanda tanıtıldı ve Kayak’taki güvenlik ekibi bundan yararlandığını belirledi.

Genel olarak, minimum gerekli erişimin sağlanmasına, kontrollerin ve bakiyelerin uygulanmasına, çok faktörlü kimlik doğrulaması gerektiren kontrollerin uygulanması ve kullanıcı eğitimi, uygunsuz erişim kontrol güvenlik açıklarını önlemek ve yeniden yapılandırmak için anahtardır.

Hackerone ile kuruluşunuzu uygunsuz erişim kontrolünden koruyun

Bu, uygunsuz bir erişim kontrolü kırılganlığının yaygınlık ve etki şiddetinin sadece bir örneğidir. Hackerone ve etik hackerlar topluluğumuz, organizasyonların hata ödül, bir hizmet olarak (PTAAS), kod güvenlik denetimi veya diğer çözümleri, saldırganın zihniyetini göz önünde bulundurarak yanlış erişim kontrolünü ve diğer güvenlik açıklarını tanımlamalarına ve düzeltmelerine yardımcı olmak için en iyi donanımlıdır. bir güvenlik açığı keşfetmek.

İlk 10 Hackerone güvenlik açıklarının etkisi hakkında daha fazla bilgi edinmek için 8. yıllık hacker destekli güvenlik raporunu indirin veya kuruluşunuzda uygunsuz erişim kontrolü almaya başlamak için hackerone ile iletişime geçin.



Source link