Information Disclosure Vulnerabilities Nedir?

Merhaba bu yazımda, Information Disclosure güvenlik açıklarının temellerini açıklayacak ve bunları nasıl bulup yararlanabileceğinizi açıklayacağım.

Ayrıca, kendi web sitelerinizdeki information disclosure güvenlik açıklarını nasıl önleyebileceğiniz konusunda da rehberlik edeceğim.

Bilgi sızıntısı olarak da bilinen information disclosure, bir web sitesinin kullanıcılarına hassas bilgileri istemeden ifşa etmesidir.

Buna bağlı olarak, web siteleri her türlü bilgiyi potansiyel bir saldırgana sızdırabilir, örneğin:

• Kullanıcı adları veya finansal bilgiler gibi diğer kullanıcılar hakkındaki veriler.

• Hassas ticari veya iş verileri.

• Web sitesi ve altyapısı hakkında teknik detaylar.

Hassas kullanıcı veya iş verilerini sızdırmanın tehlikeleri oldukça açıktır, ancak teknik bilgileri ifşa etmek bazen aynı derecede ciddi olabilir.

Bu bilgilerin bir kısmı sınırlı kullanıma sahip olsa da, başka ilginç güvenlik açıkları içerebilecek ek bir saldırı yüzeyini açığa çıkarmak için potansiyel olarak bir başlangıç ​​noktası olabilir.

Web sitesine normal bir şekilde göz atan kullanıcılara dikkatsizce sızdırılabilir. Ancak daha yaygın olarak, bir saldırganın web sitesiyle beklenmedik veya kötü niyetli yollarla etkileşime girerek bilgilerin açığa çıkmasını sağlaması gerekir.

Daha sonra ilginç davranışları denemek ve belirlemek için web sitesinin yanıtlarını dikkatlice inceleyecektir.

• Gizli dizinlerin adlarını, yapılarını ve içeriklerini bir robots.txt dosyası veya dizin listesi aracılığıyla ortaya çıkarma.

• Geçici yedeklemeler aracılığıyla kaynak kod dosyalarına erişim sağlama.

• Kredi kartı bilgileri gibi son derece hassas bilgileri gereksiz yere ifşa etmek.

• Hata mesajlarında veritabanı tablosu veya sütun adlarından açıkça bahsedilmesi

• Kaynak kodda sabit kodlama API anahtarları, IP adresleri, veritabanı kimlik bilgileri vb.

• Uygulama davranışındaki ince farklılıklar aracılığıyla kaynakların, kullanıcı adlarının vb. Varlığına veya yokluğuna işaret etme.

Information Disclosure ile ilgili güvenlik açıkları sayısız farklı şekilde ortaya çıkabilir, ancak bunlar genel olarak aşağıdaki şekilde kategorize edilebilir:

• Dahili içeriğin genel içerikten kaldırılamaması. Örneğin, işaretlemedeki geliştirici yorumları bazen üretim ortamındaki kullanıcılar tarafından görülebilir.

• Web sitesinin ve ilgili teknolojilerin güvenli olmayan yapılandırması. Örneğin, hata ayıklama ve tanılama özelliklerinin devre dışı bırakılmaması, bazen saldırganlara hassas bilgiler elde etmelerine yardımcı olacak yararlı araçlar sağlayabilir.

• Uygulamanın hatalı tasarımı ve davranışı. Örneğin, bir web sitesi farklı hata durumları oluştuğunda farklı yanıtlar verirse, bu saldırganların geçerli kullanıcı kimlik bilgileri gibi hassas verileri numaralandırmasına da izin verebilir.

Information Disclosure güvenlik açıkları, web sitesinin amacına ve dolayısıyla bir saldırganın hangi bilgileri elde edebileceğine bağlı olarak hem doğrudan hem de dolaylı bir etkiye sahip olabilir.

Bazı durumlarda, hassas bilgilerin tek başına ifşa edilmesi, etkilenen taraflar üzerinde yüksek bir etkiye sahip olabilir. Örneğin, müşterilerinin kredi kartı bilgilerini sızdıran bir çevrimiçi mağazanın ciddi sonuçları olması muhtemeldir.

Öte yandan, dizin yapısı veya hangi üçüncü taraf çerçevelerinin kullanıldığı gibi sızan teknik bilgilerin doğrudan etkisi çok az olabilir veya hiç olmayabilir.

Bununla birlikte, yanlış ellerde, bu, herhangi bir sayıda başka istismarın oluşturulması için gerekli olan anahtar bilgi olabilir. Bu durumda ciddiyet, saldırganın bu bilgilerle neler yapabileceğine bağlıdır.

Nihai etki potansiyel olarak çok şiddetli olabilse de, yalnızca belirli durumlarda information disclosure başlı başına yüksek önem taşıyan bir sorun teşkil eder.

Örneğin, bir web sitesinin belirli bir framework sürümünü kullandığına dair bilgi, bu sürüme tam olarak yama uygulandığında, sınırlı kullanım alanı vardır.

Ancak, web sitesi bilinen bir güvenlik açığı içeren eski bir sürümü kullandığında bu bilgiler önemli hale gelir.

Bu durumda, yıkıcı bir saldırı gerçekleştirmek, kamuya açık bir şekilde belgelenmiş bir istismarı uygulamak kadar basit olabilir.

Information Disclosure açığını tamamen önlemek, ortaya çıkabileceği çok çeşitli yollar nedeniyle zordur. Bununla birlikte, bu tür güvenlik açıklarının kendi web sitelerinize sızma riskini en aza indirmek için izleyebileceğiniz bazı genel en iyi uygulamalar vardır.

•Web sitesinin hazırlanmasına dahil olan herkesin hangi bilgilerin hassas kabul edildiğinin tam olarak farkında olduğundan emin olun. Bazen zararsız görünen bilgiler bir saldırgan için insanların sandığından çok daha yararlı olabilir. Bu tehlikelerin vurgulanması, hassas bilgilerin genel olarak kuruluşunuz tarafından daha güvenli bir şekilde ele alınmasına yardımcı olabilir.

•Mümkün olduğunca genel hata mesajlarını kullanın. Saldırganlara gereksiz yere uygulama davranışı hakkında ipucu vermeyin.

•Üretim ortamında tüm hata ayıklama veya tanılama özelliklerinin devre dışı bırakılıp bırakılmadığını iki kez kontrol edin.

•Uyguladığınız herhangi bir üçüncü taraf teknolojisinin yapılandırma ayarlarını ve güvenlik sonuçlarını tam olarak anladığınızdan emin olun. Aslında ihtiyaç duymadığınız tüm özellikleri ve ayarları araştırmak ve devre dışı bırakmak için zaman ayırın.

https://portswigger.net/web-security/information-disclosure

https://www.netsparker.com/blog/web-security/information-disclosure-issues-attacks/