Yeni keşfedilen ve “çerez sandviçi” olarak adlandırılan bir saldırı tekniği, saldırganların belirli sunuculardaki HttpOnly işaretini atlamasına ve oturum tanımlayıcıları da dahil olmak üzere hassas çerezlerin istemci tarafı komut dosyalarına maruz kalmasına olanak tanır.
“Çerez sandviçi” saldırısı, özel karakterler, tırnak işaretleri ve eski nitelikler tanıtıldığında web sunucularının çerezleri ayrıştırma biçimindeki kusurlardan yararlanır.
Saldırganlar, çerez başlıklarını stratejik olarak oluşturarak, sunucunun çerez yapılarını yorumlamasını değiştirebilir ve HttpOnly çerezlerini etkili bir şekilde açığa çıkarabilir.
Saldırının Temel Mekanizmaları
Eski Çerez Ayrıştırma: Birçok web sunucusu hem modern (RFC6265) hem de eski (RFC2109) çerez standartlarını destekler. Bir çerez başlığı $Version özelliğiyle başlıyorsa, sunucular genellikle varsayılan olarak eski ayrıştırma mantığını kullanır.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free
Alıntılanan Dizeler: Eski ayrıştırma, çerez değerlerinde alıntılanan dizelere izin verir. Ayrıştırıcı, potansiyel olarak alıntılanan değer dahilinde alakasız çerezler de dahil olmak üzere, çıkışsız bir kapanış teklifiyle (“”) karşılaşıncaya kadar okumaya devam eder.
Ters Eğik Çizgiden Çıkış: Ayrıştırma sırasında önünde ters eğik çizgi (\) bulunan karakterlerden kaçış yoktur, bu da çerez kullanımını daha da karmaşık hale getirir.
PortSwigger’da güvenlik araştırmacısı olan Zakhar Fedotkin, uygulamanın yanıtında param1 değerini yansıtması veya uygun kaçış mekanizmalarına sahip olmaması durumunda, hassas sessionId dahil tüm dizenin açığa çıkabileceğini söyledi.
Bir kavram kanıtlama saldırısında araştırmacılar, Apache Tomcat çalıştıran savunmasız bir uygulamadaki XSS güvenlik açığından yararlandı:
XSS Enjeksiyonu: Uygunsuz giriş temizliği nedeniyle bir hata sayfasına JavaScript enjekte edildi.
Çerez Manipülasyonu: Komut dosyası, “sandviç”i oluşturmak için $Version, param1 ve param2 çerezlerini ayarladı.
Yansıma Kullanımı: Değiştirilen çerezler, bir izleme alanından gelen JSON yanıtına yansıtılarak HttpOnly PHPSESSID çerezi açığa çıkarıldı.
Etki ve Savunmasız Sistemler
Bu güvenlik açığı, eski ayrıştırmaya veya alıntılanan dizeleri varsayılan olarak destekleyen çerçevelere (örneğin Python Flask) dayanan web uygulamalarını etkiler.
RFC2109’un Apache Tomcat 8.5.x, 9.0.x ve 10.0.x sürümlerinde varsayılan olarak desteklendiğini unutmayın.
Dolayısıyla bu teknik XSS’den, çerez manipülasyonundan ve izleme uygulamasının güvenlik açığından yararlanır.
“Çerez sandviçi” tekniği, sağlam çerez güvenliği uygulamalarının ve eski uyumluluk özelliklerinin dikkatli bir şekilde ele alınmasının önemini vurgulamaktadır.
Saldırganlar gözden kaçan güvenlik açıklarından yararlanmaya devam ettikçe kuruluşların sistemlerini proaktif olarak güncellemeleri ve kullanıcı verilerini korumak için modern güvenlik standartlarını benimsemeleri gerekiyor.
Jenkins & Jira’yı Kullanarak Uygulama Güvenliğini CI/CD İş Akışlarınıza Entegre Etme -> Ücretsiz Web Semineri