Broken Access Control

Broken Access Control Nedir?

• Erişim kontrolü, eylemleri gerçekleştirmek veya kaynaklara erişmek için kimin yetkili olduğuna ilişkin kısıtlamaların uygulanmasıdır.

• Kimlik doğrulama, kullanıcının söylediği kişi olduğunu onaylar.

• Oturum yönetimi, aynı kullanıcı tarafından hangi HTTP isteklerinin yapıldığını tanımlar.

• Erişim kontrolü, kullanıcının gerçekleştirmeye çalıştığı eylemi gerçekleştirmesine izin verilip verilmediğini belirler.

• Bozuk erişim kontrolleri yaygındır ve genellikle kritik bir güvenlik açığı oluşturur. Erişim kontrolü tasarım kararlarının insanlar tarafından verilmesi gerekir, bu nedenle hata potansiyeli yüksektir.

Yöntemler

Admin Panelinde Yetki Kontrolü

Bazen admin paneli gibi kritik bölümlerde yetki kontrolü yapılmıyor olabilir. Yetkisiz bir kullanıcı ile bu paneli ziyaret etmeyi deneyebiliriz.

Cookie ile Yetki Kontrolü

Eğer yetkilendirme bir cookie ile yapılıyorsa cookie'yi manipüle ederek yetkimizi yükseltmeyi deneyebiliriz.

Gönderilen Verilerde Yetki Yükseltme

E-mail veya username değiştirme gibi isteklerde yetkimiz bir parametre olarak gönderiliyor olabilir. Bu parametreyi değiştirmeyi deneyebiliriz.

Parametre olarak Gönderilen Kullanıcı

Eğer bir isteğin parametresinde kullanıcı adı veya ID gibi bir değişken gönderiliyorsa bu parametreleri manipüle etmeyi deneyebiliriz.

Parametre Leak

Eğer kullanıcı ID'si tahmin edilemez bir değer ise yine de bu değer uygulamanın bir bölümünde leak oluyor olabilir. Mesela yorum bölümü veya kullanıcının public profilinde bu değer yazılmış olabilir.

IDOR

Eğer kullanıcı ID'si gibi bir parametre düzenli artan bir sıra ile gidiyorsa başka kullanıcıların verilerine erişebiliyor olabiliriz.

İlk bakışta rastgele gibi görünen değerler olsa bile bir Hashing veya Encoding ile şifrelenmiş olabilir.

URL-Tabanlı Kontrol

Eğer erişim kontrolü URL tabanlı yapılıyorsa aşağıdaki header ile bu korumayı atlatabiliriz.

GET /admin -> 403

GET / -> 200
X-Original-URL: /admin

Method Tabanlı Koruma

Bazı durumlarda POST isteği ile gönderdiğimiz bir istek reddiliyor olsa bile aynı isteği GET ile gönderdiğimizde yetki kontrolü yapılmıyor olabilir. Veya tam tersi.

POST /admin -> 401
GET /admin -> 200

Çok Adımlı İşlemlerde Doğrulama

Yetki yükseltme veya parola değiştirme gibi işlemler eğer çok adımlı şekilde yapılıyorsa sadece ilk adımda yetki kontrolü yapılıyor olabilir. Doğrudan son isteği atarak bu koruma atlatılabilir.

Referer Header ile Doğrulama

Referer header isteği attığımız URL'yi gösteren bir başlıktır. Eğer yetki kontrolü bu header ile yapılıyorsa manipüle etmeyi deneyebiliriz.

POST /deleteUser -> 401
Referer: https://example.com/

POST /deleteUser -> 200
Referer: https://example.com/admin

Önlemler

• Erişim kontrolü için asla tek başına obfuscation'a güvenmeyin.

• Bir kaynağın herkes tarafından erişilebilir olması amaçlanmadığı sürece, varsayılan olarak erişimi reddedin.

• Mümkün olan her yerde, erişim kontrollerini uygulamak için uygulama genelinde tek bir mekanizma kullanın.

• Kod düzeyinde, geliştiricilerin her kaynak için izin verilen erişimi beyan etmesini zorunlu hale getirin ve varsayılan olarak erişimi reddedin.

• Tasarlandıkları gibi çalıştıklarından emin olmak için erişim kontrollerini kapsamlı bir şekilde denetleyin ve test edin.

Kaynaklar

• Portswigger Academy: https://portswigger.net/web-security/access-control