Scribd Logo
Upload

Welcome to Scribd!

  • Session ManagementTRK

    Uploaded by

    uskomm
    8 views15 pages

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    8 views15 pages

    Session ManagementTRK

    Uploaded by

    uskomm

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 15

    Oturum Ynetimi

    Ama

    Aadakileri salamak kimlii dorulanm kullanclarn atklar oturumlar ile salam ve kriptorafik olarak gvenli bir balar olmas yetkilendirme kontrollerinin uygulanmas tekrarlama, istek sahtecilii ve araya girme saldrlar gibi yaygn web saldrlarnn nlenmesi
    Etkilenen Platformlar

    Hepsi.
    lgili COBIT Konular

    PO8 Btn blmler gzden geirilmeli. PO8.4 Gizlilik, kiisel mlkler ve veri ak
    Aklama

    Kaln istemci (thick client) uygulamalar, programn yaam boyunca lokal durum bilgilerini, iletim sistemi tarafndan salanan global, yt ve yn deikenleri gibi hafza blgelerinde tutarlar. Web uygulamalarnda sunucu, istemci isteklerine cevap olarak sayfalar sunar. Dizayn olarak, belirgin bir durum bilgisi olmadndan, sunucu gemite sunduu sayfalar hakknda hereyi unutmakta serbesttir. Bu durum bror veya resim gibi ierikleri sunarken iyi alr ama formlar doldurmak veya internet bankacl uygulamalar gibi birbirinden ayr tutmanz gereken ok kullancnz olmas gibi nemli ileri yapmak istediinizde iyi almaz. Web sunucular kiisel kullanclarn isteklerini cookiede biricik bir oturuma kriptorafik deer tutarak kullanclara durum bilgili bir his veren J2EE veya ASP.NET

    gibi uygulama atlar ile desteklenirler. Kullanc isteklerini biricik oturum bilgileri ile kstlamak ve idame ettirmek web gvenlii iin kritiktir. Bu klavuz kullanclarnn ou gml oturum ynetim kabiliyetleri olan uygulama atlar kullanyor olsalar da, Perl CGI gibi dilleri kullanclarna bu tr kabiliyetler sunmaz. Bu kullanclar kendi oturum ynetim kodlarn kendileri yazmak gibi bir dezavantaj ile kar karyadrlar. Bu gereklemeler (implementations) ou zaman zayftrlar ve krlabilirler. Yaplan dier bir hata da, gl bir oturum ynetim yapsnn zerine daha zayf bir yapnn yazlmasdr. Teorik olarak kriptorafik adan gvenli bir oturum ynetim yaps yazma mmkndr, ki bu blmn ana konusu budur. Ancak, biz lmller iin yeterli bir oturum ynetimi yaps ieren bir uygulama ats kullanmann nemi ne kadar vurgulansa azdr. Bu tr yaplar tekrar yazmann hi bir gerek deeri yoktur. J2EE, PHP, ASP ve ASP.NET gibi uygulama atlar bir ok alt seviye oturum ynetimi detaylarn ve sunucu seviyesinde deil de programlama seviyesinde iyi dzeyde kontrol salarlar. Mesela, ASP.NET, her sayfada bir gizli alanda oluturulan karmaklatrlm oynamalara dayankl view state mekanizmas kullanr. View state hassas olmayan deikenlerin, web kontrol yollarnn ve bunun gibi eylerin gnderilmesi iin kullanlabilir. Programlama yollar kullanlarak, deikenlerin view statea girip girmemesini kontrol etmek mmkndr, zellikle ayn uygulamann farkl sayfalarnda bir kontroln durum bilgisinin tutulmasna gerek yoksa. Eer kullancya hassas veri yolluyorsanz view statein kriptolamak ta mmkndr, ancak bu tr deikenlerin sunucu tarafnda tutulmas daha iyidir. Bu indirme sresininden ksar, kullanlan bandwithi drr ve altrma zamann iyiletirir. Dikkatli yazlm bir view state ynetimi iyi ayarlanm uygulama ile kt performansl bir uygulama arasndaki farktr.
    En iyi yntemler

    En iyi yntem tekerlei yeniden icat etmek deil, iyi bilinen ve salam bir oturum yneticisini kullanmaktr. Popler web uygulama atlarnn ou uygun bir yap salarlar. Ancak, ounlukla ilk versiyonlar belirgin zayflklar ierir. Daha salam ve kriptorafik adan daha gvenli olacandan setiiniz teknolojinin her zaman en yeni

    versiyonlarn kullann. Bunun byle olduunu anlamak iin de favori arama moturununuzu kullann. Uygulama durum bilginizi nerde tuttuunuzu dikkatlice dnn: Yetkilendirme ve rol bilgileri sadece sunucu tarafnda tutulmaldr Denetlemeden getii ve yetkilendirme kontrolleri olduu srece Navigasyon bilgisinin URLde olmas nerdeyse tamamen kabul edilebilir. Sunum bayraklar (theme veya kullanc dili) cookielerde kalabilir. Form verileri gizli alanlar iermemelidir eer gizli ise korunmal ve sunucu tarafnda saklanmal demektir. Ancak, gizli alanlar sra (sequence) ve kaba kuvvet pharming saldrlarna kar koruma olarak kullanlabilirler (hatta kullanlmaldrlar). Bir ok sayfadan oluan formlardan gelen veri tekrar kullancya iki durumda gnderilebilir: Veri oynanmasn engellemek iin btnlk kontrolleri varlnda Her form gnderiminde veya en azndan gnderim srecinin en sonunda veri denetlendiinde Uygulama hassas bilgileri (sunucu taraf ile ilgili kimlik ve rol bilgileri) kesinlikle istemciye gitmemelidir. Bunlar bir oturumda ve sunucu tarafnda tutulmaldrlar. Eer pheye derseniz, risk almayn ve veriyi sunucu tarafl oturumda tutun.
    Yanlglar (Yanl Bildiklerimiz)

    Oturumlar zellikle kolay programlanabilen durum bilgisiz (stateless) sunucu tarafl bileenleri seen Java tabanl baz programclar yznden haksz bir kt ne sahiptirler. Ancak, durum bilgilerinin bir yerlerde saklanmas ve bunun sunucu tarafnda bir ekilde salanmas gerekliliklerinden, bu durum gvenlik ve performans perspektiflerinden yanltr. Alternatif ise, btn durum bilgilerinin her istekte tutulmasdr. Ancak bu durum ok fazla gizli alanlarn kullanlasna ve extra veritaban sorgularna ve bunun da sonu olarak tekrar oynama (replay) ve istek sahtecilii saldrlarna ve kod karmaasna yol amaktadr.

    Dier bir ortak yanlg oturum bilgilerinin deerli sunucu kaynaklarn harcamasdr. Bu RAMlerin kstl olduu zamanlar iin doruydu ama bugn deildir. Gerektende, istemciye oturum bilgisini gndermek ve sonra kod zmek (decode), ser halini amak, kurcalama kontrolleri uygulamak ve en son olarak da her istekte veriyi denetlemek sunucu kaynaklarn oturum bilgisini sunucu tarafnda tutmaktan daha fazla harcar.
    Serbest Oturum retmek

    Bir ok we uygulama atlar yeni isteyene eer nceden oluturulmam ise yeni bir oturum IDsi retir. Bu serbest oturum retimi olarak adlandrlr. Bu durum palklk ve yetkilendirme yetersilikleri ile birletiinde ykc saldrlara yol aabilir.
    Saldrya ak olup olmadgnz anlama (yollar)

    Korunan bir sayfaya veya uygulamada derindeki bir aksiyona ulamak iin yeni bir tarayc an

    Eer yeni bir oturum IDsi retilir ve sayfa alrsa, yetkilendirme kontrolleri oturum deikenin geerlilii ile alakal olarak yanl bir varsaymda bulunuyor demektir.

    Kendinizi Koruma Yollar

    Bir kullanc iin yeni bir oturum nesnesi balatyorsanz, k (logged off) durumunda ve herhangi bir rol verilmemi olduundan emin olun.

    Korunan bir sayfann veya aksiyonun, sayfay servis etmek gibi nemli ileri yapmadan nce kimlik dorulama durumunu ve yetkilendirme roln kontrol ettiinden emin olun.

    Btn korunmayan sayfalarn hizmet d brakma saldrlarn nlemek iin kaynaklar mmkn olabilecek minimum dzeyde kullandna ve uygulamann korunan blmleri ile alakal bilgi ifa etmediinden emin olun.

    Korunmasz Oturum Deikenleri

    Baz atlar web sunucunun paylalan disk alann oturum verisini saklamak iin kullanrlar. zellikle, PHP Unix sistemlerde /tmp ve Windowsda c:\windows\temp

    yollarn kullanr. Bu alanlar oturum verisi iin koruma salamazlar ve web sunucu paylalyorsa veya ele geirilmise uygulamann ele geirilmesine yol aarlar.
    Saldrya ak olup olmadgnz anlama (yollar)

    Uygulama atsnn yaplandrmasn inceleyin Oturumu hafzada m, disk de mi veya bir veritabannda m tutuyor? Bir veritabannda veya diskde tutuyorsa oturum verilerini baka kimler okuyabiliyor?

    Kendinizi Koruma Yollar

    Uygulama sunucunun her istemci ve uygulama iin zel geici dosya alanlarn kullandndan emin olun

    Bu mmkn deilse, oturum verileri ifrelenmeli veya sadece hassas olmayan bilgileri tutmaldr

    Sayfa ve Form Tokenlar

    Sayfaya zel tokenlar veya noncelar istemci istekleri ile uraldnda belli bir seviyeye kadar kimlik doruluunu salamak adna oturuma zel tokenlar ile kullanlabilirler. Aktarma seviyesi gvenlik mekanizmalar ile kullanldnda, sayfa tokenlar belirli bir oturumda en son sayfay isteyen kullancnn oturumun dier sonundaki kullanc ile ayn kii olduuna emin olunmasna yardm eder. Sayfa tokenlar ounlukla cookielerde veya sorgu dizgilerinde (query strings) kullanlrlar ve tamamen rasgele olmaldrlar. Sunucu tarafnda aralarnda ba kurup, sayfa tokenlarn kullanarak oturum token bilgilerini istemciye gndermeyi de tamamen nleyebilirsiniz. Bu teknik oturum tokenlarnn kaba kuvvet saldrlarnda direnlerini de arttracaktr.
    Saldrya ak olup olmadgnz anlama (yollar)

    Uygulamanz: Geri butonunun gizli olmasn gerektiriyor mu? nceden belirlenmi oturum saldrlarndan mzdarip mi?

    Kendinizi Koruma Yollar

    Form nonce veya kriptoprafik olarak gvenli bir sayfa ile gizli bir alan kullann Nonce sayfa veya form tekrar gnderimini engelleme iin gnderildikten hemen sonra aktif listeden silinmelidir

    Zayf Oturum Kriptorafik Algoritmalar

    Eer bir oturum yneticisi tahmin edilebilir tokenlar retiyor ise saldrgann uzak bir kullancnn oturum bilgisini yakalamasna gerek yoktur bu bilgiyi tahmin edebilir ve byk ihtimalle ansz bir kurban bulabilirler. Oturum tokenlar biricik, tahmin edilemez ve geri mhendislie direnli olmaldr.
    Saldrya ak olup olmadgnz anlama (yollar)

    1000 oturum IDsi retin ve tahmin edilir olup olmadklarna (grafiini izmek bu noktada faydal olabilir) bakn

    Oturum yneticisinin kaynan oturum IDlerinin nasl retildiini aratrn. Oturum IDleri yksek kalitede rasgele kaynaklar kullanlarak retilmelidirler.

    Kendinizi Koruma Yollar

    Token oluturmak iin gvenilir bir rasgele say reteci kullanlmaldr (mesela yar-gerek rasgele say reteleri, Yarrow, EGADS, v.b. gibi).

    Ek olarak, daha fazla gvenlik iin, oturum tokenlar korsanlk ve geri oynama saldrlarn nlemek iin bir ekilde HTTP istemci bilgisine (oturum IDsi veya IP adresi) balanmaldr .

    Bu kstlamalar salayan mekanizmalar iin verilebilecek rnekler retilen her sayfa iin biricik sayfa tokenlarnn veya sunucu tarafnda oturum tokenlarnn kullanlmasdr.
    Uygun Anahtar Uzay

    Kriptorafik olarak gvenli algoritmalar bile eer anahtar uzay yeteri kadar geni deilse tahmin edilebilir aktif oturum tokenlar retebilirler. Saldrganlar tokenn anahtar uzayn bir ok olasl otomatik kaba kuvvet betikleri kullanarak trler (grind).

    Oturum Token Entropisi

    Oturum tokenlar mmkn olan en fazla karakter setini kullanmaldrlar. Eer bir oturum token diyelim ki 8 karakter ise bunun 7 biti efektiftir ve anahtar uzunluu 56 bittir. Ancak karakter seti sadece tam saylardan oluursa bu 4 bit ile salanabilir ve sadece 32 bitlik bir anahtar uzay verir. yi bir oturum token byk kk harfleri de dahil edecek ekilde mmkn olan maximum karakter setini kullanmaldrlar
    Oturum Zaman Am

    HTTP sunucularnda zaman amna uramayan oturum tokenlar saldrgana snrsz kaba kuvvet ans verir. Bir rnek bir ok e-ticaret sitesindeki Beni Hatrla opsiyonudur. Eer bir kullancnn cookie dosyas yakalanrsa veya kaba kuvvete maruz braklrsa, saldrgan bu oturum bilgisini kullanarak o kullancnn web hesabna eriim elde eder. Bu problem bir ok kullancnn ayn bilgisayar kulland paylalan ortamlarda daha da tehlikelidir. Ek olarak, oturum tokenlar potansiyel olarak vekil sunucularda (proxy) kaydedilir ve ara bellee alnrlar (cache). Eer bir saldrgan bu vekillere eriim hakk kazanrsa, HTTP sunucularda oturum tokenlar zaman amna uramadndan bu bilgiler tekrar kullanlabilirler.
    Saldrya ak olup olmadgnz anlama (yollar)

    Bota Kalma Korumas Uygulama meta-refresh veya buna benzer Javascript hileleri ile bota kalan oturumu sonlandrmaya alyor mu? Eer byle ise (tek bana) uygulama saldrya aktr. Beni Hatrla? Uygulama beni hatrla zelliine sahip mi? Eer yle ise uygulama saldrya aktr. Hatal bota kalma zaman am Uygulamaya giri yapn le yemeine gidin

    Uygulamay kullanmaya aln. alt m? Eer yle ise uygulama saldrya aktr.

    Kendinizi Koruma Yollar

    Yksek derecede korunan uygulamalarda bota kalma zamann 5 dakika ile dk riskli uygulamarda 20 dakikadan fazla olmyacak ekilde ayarlayn. Yksek derecede korunan uygulamalarda: Bota kalma durumunu engelleyici mekanizmalar yazmayn beni hatrla zelliini yazmayn (kullanmayn)

    Oturum Tokenlarnn Yeniden Oluturulmas

    Oturum korsanl ve kaba kuvvet saldr risklerini azaltmak iin, HTTP sunucu mtemadiyen tokenlar sonlandrp yeniden retebilir. Bu da tekrar oynama ve kaba kuvvet saldrlarnn frsat penceresini ksaltacaktr.
    Saldrya ak olup olmadgnz anlama (yollar)

    Uygulamanzda uzunca bir oturum an Her nemli ilemden (transaction) once ve sonra Oturum IDsini kaydedin Eer oturum IDsi hi deimiyorsa risk altnda olabilirsiniz.

    Kendinizi Koruma Yollar

    Bu kontrol yksek derecede korunan siteler iin uygundur. Token yeniden oluturulmas belirgin nem derecesine sahip ilemlerden nce belli bir istek saysndan sonra Zamann bir fonksiyonu olarak, diyelim li 20 dakikada bir.

    durumlarnda gerekletirilmelidir.
    Oturum Sahtecilii/Kaba Kuvvet Yakalama ve/veya Kilitleme

    Bir ok web sitesi ifre tahminlerinde yasaklara (hesab kilitleyebilir veya IP adresini kstlar) sahiptir, ancak saldrgan ou zaman meru bir URL veya cookie iindeki yzlerce veya binlerce oturum tokenn sunucunun hi bir ikayeti olmadan deneyebilir.

    Bir ok saldr tespit sistemleri bu tip saldrlara aktif olarak bakmaz ve ayrca penetrasyon testleri e-ticaret sistemlerinde bu zayfla younlamazlar.
    Saldrya ak olup olmadgnz anlama (yollar)

    Oturum IDsini deitirebileceiniz HTTP yakalayan bir vekil kullann Eer uygulama kapsam giri yaplm halde ise, uygulama ats hatal ve kullanlmamaldr.

    Kendinizi Koruma Yollar

    Hi bir zaman kullanlmayan ama belli bir token araln deneyen saldrganlar farketmek iin bubi tuza oturum tokenlar kullanmay dnebilirsiniz.

    Alnabilecek aksiyonlar: Kaynak IPyi yavalatmak veya kstlayn. (bu problemlere yol aabilir nk her gn artan sayda ISP giderleri ksmak iin transparan vekilleri kullanmaktadr. Bu nedenle, her zaman proxy_via baln kontrol edin) Farkettiinizde bir hesab kilitleyin. (ki bu durum bir kullanc iin potansiyel bir hizmet d brakma saldrsna dnebilir) Anomali saptama teknikleri eer kimlii dorulanm bir kullanc yetkilerini arttrmak amac ile kendi tokenlarn deitirdiinde de alabilir. Bu tr korumalarda kullanmak iin, mod_dosevasive ve mod_security Apache web sunucu modlleri mevcuttur. mod_dosevasive Hizmet d brakma saldrlarnn etkilerini azaltmak iin kullanlsa bile dier baz amalar iin de kullanlabilir.
    Oturum Tokenlarnn Aktarlmas (Transmission)

    Eer oturum token a iinde aktarlrken yakalanrsa, bir web uygulamas tekrar oynama veya korsanlk saldrlarna kolayca maruz kalr. Durum mekanizma tokenn korumak iin tipik web ifreleme teknolojileri SSLv3 ve TLSv1 protokollerini ierirler ama sadece bunlardan ibaret deildirler.
    Saldrya ak olup olmadgnz anlama (yollar)

    Casus programlar (Spyware), virsler, ve truva atlarndan (Trojans) dolay btn Internet tarayclar potansiyel olarak saldrya aktrlar.
    Kendinizi Koruma Yollar

    Oturum IDsini, IP adresi ve kullancnn istek balnda bulunan dier zniteliklerinin kriptorafik zeti (attributes) ile ilikilendirin. Kriptorafik zet deiirse ve birden fazla znitelirkler deiirse byk bir ihtimaldir ki bir nceden belirlenmi oturum saldrs gereklemektedir.
    k lemi Srasnda Oturum Tokenlar

    Internet ulam noktalarnn ve palyalan bilgisayar ortamlarnn artmasyla oturum tokenlar iin yeni bir risk ortaya kmtr. Bir tarayc oturum cookiesini sadece kotuu sre parac (thread) sonlandnda siler. Bir ok Internet ulam noktas ayn tarayc i srecini korur ve kullanr.
    Saldrya ak olup olmadgnz anlama (yollar)

    Uygulamada k ilemini yapn Btn oturum ile alakal olmayan deikenlerin yok edildiini grmek iin cookieleri kontrol edin
    Kendinizi Koruma Yollar

    Kullanc k ilemini gerekletirdiinde Oturumu yok edin Oturum cookielerinin zerine yazn

    Oturum Korsanl

    Saldrgan sunucu zerinde geerli olan bir oturum token yakaladnda veya oluturduunda, dier bir kullancy taklit edebilir. Oturum korsanl uygulamada yeterli anti-korsanlk kontrolleri bulundurduktan sonra bir para giderilebilir. Bu kontrollerin seviyesi organizasyonunuzun risk anlay veya mteri bilgilerinize bal olmaldr: rnek olarak, bir online bankaclk uygulamas sinema gsterim zamanlarn gsteren uygulamadan daha fazla dikkat gerektirir.

    Korsanl en kolay yaplan uygulama zellikle zaman am bulunmayan URL tabanl oturum tokenlar kullanandr. Paylalan bilgisayarlarda bud aha da tehlikelidir nk zellikle Internet kafelerde veya herkese ak Internet ulam yerlerinde ara belleki (cache) temizlemek veya gezinim gemiini silmek nerdeyse imkanszdr.
    Saldrya ak olup olmadgnz anlama (yollar)

    Casus programlar (Spyware), virsler, ve truva atlarndan (Trojans) dolay btn Internet tarayclar potansiyel olarak saldrya aktrlar.
    Kendinizi Koruma Yollar

    Kullanclara uygulamanzdan kmalarna yarayan bir metod salayn. k ilemi btn oturum durumunu temizlemeli ve silmeli veya kalan btn cookieleri geersiz klmaldr.

    Kalc cookieler iin bir gn gemeyecek ksa zaman amlar kullann veya tercihen kalc cookieler kullanmayn.

    Oturum tokenlarn URLlerde veya kolayca oynanabilecek veri giri noktalarnda saklamayn.

    Oturum Doruluu Saldrlar

    Yaplan en sk hatalardan bir tanesi kstlanan bir fonksiyon veya bir veri eriimi ncesi yetkilendirme kontrol yapmamaktr. Kullancnn oturum token olmas uygulamann her yerini kullanmasna veya her veriye ulamasna izin vermez. zellikle utan verici bir gerek hayat rnei bir ok Avusturalya irketinin elektronik olarak eyrek dnemlik vergi dnlerini gnderdikleri Avusturalya Vergilendirme Ofisinin GST web sitesidir. AVO kimlik dorulama yolu olarak istemci tarafl sertifikalar kullanr. Kulaa gvenli geliyor, deil mi? Ancak, bu site ilk olarak URLlerinde ABN (irketler iin sosyal gvenlik numarasna benzer biricik bir numara) kullanyordu. Bu numaralar gizli deildir ve rasgele retilmezler. Bir kullanc bunu zd ve dier bir irketin ABN numarasn denedi. ararak olayn altn izledi ve dier irketin detaylarn grebildiini anlad. Daha sonra btn verileri alacak bir betik yazd ve bilgileri ve AVOnun web sitesinde ok ciddi bir ak olduunu ilgili irketlerin e-mail adreslerine yollad. 17,000den fazla organizasyon e-mail almt.

    Saldrya ak olup olmadgnz anlama (yollar)

    Casus programlar (Spyware), virsler, ve truva atlarndan (Trojans) dolay btn Internet tarayclar potansiyel olarak saldrya aktrlar.
    Kendinizi Koruma Yollar

    Her zaman o anda giri yapm kullancnn veriye eriime, veriyi yenilemeye veya silmeye veya baz fonksiyonlara eriime yetkili olduunu kontrol edin.
    Oturum Denetleme Saldrlar

    Btn dier veriler gibi, oturum deikenin de doru formda olup olmad, herhangi beklenmedik bir karakter iermedii ve geerli olduu kontrol edilmelidir. Yazar uygulad bir penetrasyon testinde, oturum nesnelerini null byte kullanarak kesebildiini ve oturum ynetici kodundaki bir hatadan dolay en ksa dizginin uzunluu ile karlatrdn grd. Ve bylece, bir karakterlik geerli bir oturum deikeni karlatrmay geti ve testiye oturum ynetimini krma ansn verdi. Dier bir testte ise oturum ynetimi kodu her karaktere izin veriyordu.
    Saldrya ak olup olmadgnz anlama (yollar)

    Oturum IDsi ile oynamak iin yakalayac bir HTTP vekil kullann. Eer uygulama kapsam giri yaplm halde ise, uygulama ats hatal ve kullanlmamaldr

    Kendinizi Koruma Yollar

    Her zaman o anda giri yapm kullancnn veriye eriime, veriyi yenilemeye veya silmeye veya baz fonksiyonlara eriime yetkili olduunu kontrol edin. (HATA, bu sz bu blmn koruma yolu olamaz. Koruma yolu yle olacakt: Oturum bilgilerinde kullanlan formu her zaman kontrol edin ve oturum ynetimi bilinen en yeni uygulama atlarn kullann. Yani kendi oturum ynetiminizi yazmayn.)
    nceden Belirlenmi Oturum Saldrlar

    Bir saldrgan uygulama atnzn zelliklerini kullanarak ya geerli yeni bir oturum IDsi retecek veya nceden geerli bir oturum IDsini belirleyerek eriim kontrollerini gemeye alacaktr.

    Saldrya ak olup olmadgnz anlama (yollar)

    Uygulamanzn herhangi bir sayfay ziyaret ettiinizde yeni bir oturum IDsi retip retmediini test edin.

    Uygulamanzn oturum IDsini kalc olmayan cookie blm hari herhangi bir yerden kabul edip etmediini kontrol edin. Mesela, eer PHP kullanyorsanz cookieden geerli bir PHPSESSIONID aln ve URLye aadaki gibi ekleyip yollayn; http://www.example.com/foo.php?PHPSESSIONID=xxxxxxx

    Eer bu alrsa, uygulamanz belli bir risk altndadr ancak bu risk eer oturum IDsi sonlandktan veya zaman amna uradktan sonra da kullanlabiliyorsa daha fazladr.

    Kendinizi Koruma Yollar

    atnzn oturum IDsini sadece cookie deerinden kabul ettiinden emin olun. Bu uygulama atnzn varsayl davrann deitirmenizi veya oturum yneticisinin zerine yazmanz (override) gerektirebilir. Tek bir taraycy tek bir oturuma balamak iin oturum belirleme kontrollerini (dier blme baknz) kullann. Geerli oturumun giri yapm oturum olduunu varsaymayn oturum yetkilendirme durumunu gizli tutun ve her sayfada veya her giri noktasnda yetkilendirmeyi kontrol edin.
    Oturum Kaba Kuvvet Saldrlar

    Baz e-ticaret siteleri oturum IDleri iin ardk saylar veya kolayca tahmin edilebilir algoritmalar kullanrlar. Bu sitelerde, baka birisi olmak iin oturum IDsini baka birine deitirmek kolaydr. Genellikle, kullanclara salanan fonksiyonlar kiisel gizlilik ve sahtecilik olaylarna yol aarlar.
    Saldrya ak olup olmadgnz anlama (yollar)

    Bir taraycda geerli bir oturum an Brutus gibi oturum kaba kuvvet arac kullanarak dier atnz oturumu ele geeirebilip geiremediinizi test edin.

    Eer Brutus oturuma devam edebiliyorsa, uygulama atnz daha iyi bir oturum ID entropisine ihtiya duyuyordur.

    Kendinizi Koruma Yollar

    Kriptorafik olarak salam bir token oluturma algoritmas kullann. Kendi algoritmanz yazmayn ve algoritmay gvenli bir ekilde besleyin (seed). Veya sadece uygulama atnzdaki oturum ynetme yaplarn kullann.

    Tercihen token istemciye kalc olmayan cookielerde veya gizli bir alanda sayfa oluturulurken yollayn.

    Kaba kuvvet saldrlarn anlamak iin bubi tuza token deerlerini kullann. Ayn IP adresinden grdnz biricik oturum tokenlarnn saysn limitleyin. (Mesela son 5 dakikada 20 tane)

    Kaba kuvvet saldr frsat penceresini ksaltmak iin periyodik olarak tokenlar yeniden oluturun.

    Eer bir kaba kuvvet saldrsn fark edebiliyorsanz, oturumu tekrar kullanlmasn engellemek iin tamamen silin.

    Oturum token tekrar oynamas (replay)

    Oturum tekrar oynama saldrlar saldrgan oturumlar kaydeder bir pozisyonda ise basittir. Saldrgan istemci ve sunucu arasndali oturumu kaydedecek ve daha sonra sunucuya saldrmak iin istemci tarafn oynayacaktr. Bu saldr sadece kimlik dorulama mekanizmas bu saldry nlemek iin rasgele saylar kullanmyorsa alr.
    Saldrya ak olup olmadgnz anlama (yollar)

    Bir oturum cookiesi aln ve baka bir taraycya enjekte edin Simultane olarak kullanmay deneyin baarsz olmal Zaman amna uradktan sonra kullanmay deneyin - baarsz olmal

    Kendinizi Koruma Yollar

    Bir oturumu belli bir taraycya sunucu tarafl IP adresini (REMOTE_ADDR) ve eer balk var ise PROXY_FORWARDED_FOR bilgilerinin kriptorafik zetini

    (hash) alarak balayn. stemci tarafnda sahtesi retilebilecek balklar kullanmamanz ama kriptorafik zetini almanz gerekir. Eer yeni kriptorafik zet eskisi ile uyumuyorsa muhtemel ile bir oturum tekrar oynamas durumu vardr. Oturum token zaman amlarn ve tokenlarn tekrar oynama frsat pencelerini ksaltmak iin token yeniden oluturulmasn kullann Oturum tokenlarn oluturmak iin kriptorafik olarak iyi beslenmi rasgele say retelerini kullann. Oturum tokenlarn saklamak iin kalc olmayan cookieleri veya en kts form zerindeki gizli bir alan kullann. Uygulama iin k fonksiyonunu gerekleyin. Kullancnn k veya zaman am ilemini gerekletirirken, sadece istemci tarafl cookielerin temizlendiine deil ayn zamanda sunucu tarafndaki oturum bilgilerinin de silindiine emin olun. Bu zaman amndan veya k ileminden sonra oturum bilgilerinin tekrar oynama saldrlarnda kullanlamamasn salar.
    leri Okuma

    David Endler, "Web Uygulama Oturum IDlerinin Kaba Kuvvet Yolu ile Krlmalar" http://downloads.securityfocus.com/library/SessionIDs.pdf

    Ruby CGI::Session oturum dosyalarn gvensiz olarak oluturuyor http://www.securityfocus.com/advisories/7143

    Dkmann Asl : OWASP GUIDE 2.0.1 eviri : Bedirhan Urgun - urgunb@hotmail.com

    You might also like