Ocak 2021

29 Ocak 2021 Cuma

Try Hack Me Overpass Çözümü


 


Try Hack Me ‘de bulunan Overpass odasının çözümünü anlatacağım.                     

 


(Bir grup Bilgisayar Bilimleri öğrencisi parola yöneticisi yapmaya çalıştığında ne olur?

Açıkçası mükemmel bir ticari başarı!

Bu kutuda gizli bir TryHackMe abonelik kodu var. Onu bulup etkinleştiren ilk kişi bir aylık ücretsiz abonelik kazanacak! Zaten abonesiyseniz, kodu neden bir arkadaşınıza vermiyorsunuz?

GÜNCELLEME: Kod artık talep edildi.

Makine 2020/09/25 tarihinde biraz değiştirildi. Bu yalnızca makinenin performansını artırmak içindi. Süreci etkilemez.)

 

Burada bize odanın hikayesinde bahsetmiş daha sonra root.txt ve user.txt flag değerlerini bizden istemektedir. Hedef makineyi deploy edip başlıyoruz.

İlk olarak hedef makineyi tanımak için nmap taramasını gerçekleştirdim.

sudo nmap -A 10.10.188.59

ssh ve http portunun açık olduğunu öğrendim. Hemen internet tarayıcımdan hedef ip adresine giriş gerçekleştirdim ve karşıma;


Burada overpass uygulaması hakkında bilgi veriyor.

web sitesini incelemeden önce gobuster taramasını da gerçekleştiriyorum.

gizli dizinleri keşif ettik.

Web sitesi üzerinde araştırma yapıyorum ilk olarak sayfa kaynağına bakarak elde edebileceğim ipuçlarına bakıyorum.


Evet doğru, sadece Romalılar kullandığı için askeri sınıf yapmaz, bunu değiştir? böyle bir ipucu ile karşılaşıyoruz pek bir şey çıkarımda bulunmazsam da yanıma not alıp devam ediyorum :)

/main.css kaynak kodlarını inceledik işimize yarayacak pek bir şey bulamadık. 

/aboutus dizinine baktık bu arada inceleme yaptık pek bir şey elde edemedik. 

/admin dizinine baktım admin giriş paneline benziyordu sqli zafiyeti denedim en çok kullanılan admin- admin, admin- password denemelerim boşa çıkt :)

 




sayfanın kaynak koduna baktım.








farklı javascritplere ulaştım

main.js inceleyince;



login.js;



Burada owasp top 10 da bulunan Broken Authentication zafiyetini görüyorum. Broken Authentication zafiyeti kimlik doğrulamasında fonksiyonların yanlış uygulaması spunucunda ortaya çıkar burada session token girdiğimiz anda bizi içeri almasını için ayarlanmış cookie editör eklentisi ile cookie değeri girmeye çalışacağım (cookie editör firefox, chrome gibi tarayıcışarda cookie eklememiz değiştirmemize yardımcı olan bir eklentidir.)



kayıt edip sayfayı yeniliyorum.



(Overpass Yöneticisi alanına hoş geldiniz

Windows, Linux, MacOS ve daha fazlasını destekleyen güvenli bir şifre yöneticisi

Sürekli şifreni unuttuğuna göre James, senin için SSH anahtarları ayarladım.

 

Bunun şifresini unutursanız, kendiniz kırın. Senin için bir şeyler tamir etmekten bıktım.

Ayrıca, bu "Askeri Sınıf" şifreleme hakkında gerçekten konuşmamız gerekiyor. - Paradoks)

görüldüğü gibi  bize James kullanıcısı adına bir RSA keyi vermektedir bunu kullanrak ssh bağlantısını sağlayabiliriz.

elde ettiğimiz key değerini nano editörü sayesinde içerisinde kaydediyoruz.




ssh bağlantısını gerçekleştiriyoruz.


başarılı bağlantı gerçekleştiremedik rsa_id parolasını istiyor ve bunun hakkında bir bilgimiz yok john yardımıyla bulmaya çalışacağız.

ssh2john yarıdımyla jhın aracının ssh keyini bulabilmesi için uygun dosyaya dönüştürüyoruz.


 

daha sonra john yardımıyla bulmaya çalışıyoruz.



james13 olarak parolayı bulduk hemen ssh bağlantımızı gerçekleştiriyoruz.




başarılı bir şekilde bağlantımızı gerçekleştirdik.

burada dizinlere gezinip user.txt okuyabiliriz.

user.txt flag değerimizi girdik.

biraz dizinlerde gezinmeye çalışıyoruz vermiş olduğu ipucuları bulmaya çalışıyoruz.



görüldüğü gibi kullanıcı kısıtlı haklara sahip. Şimdi root yetkisine yükselip root dizinine erişip root.txt dosyasını okumalıyız.

burada bize sudo parolasını sormaktadır maalesef yine bilmiyoruz :)

cat /etc/crontab

komutunu çalıştırarak Curl, root tarafından kullanıldığından, bir şekilde onu kullanırsak, root erişimini elde edebiliriz. curl tarafından bağlantıyı sağlayabilmek için /etc/hosts altında kendi makinemizin ip adresini yazmalıyız.

 




host dosyanı ayarladıktan sonra kali makinemde bağlantıyı sağlayabilmek için /downloads/src/buildscript.sh altına reverse Shell oluşturuyorum.




yazmış olduğumuz revers Shell çalıştırma yetkisini veriyoruz.

Ardından http sunucumuzu 80 numaralı bağlantı noktasından başlatır ve bir bağlantının olmasını bekliyoruz



şimdi erişimi elde ettiğim makineye gelip yazmış olduğum bash scriotine bağlantı gerçekleştiriyorum.



bash üzerinde komut çalıştırabiliyorum whoami komutuyla root olduğumu görebiliyorum. root dizinine erişip root.txt okuyabiliyoruz.





26 Ocak 2021 Salı

EDR, EPP, MDR, NDR, XDR Nedir ?






 EDR- Endpoint Detection and Response
(Uç Nokta Tespiti ve Yanıtı)

Siber tehdit aktörleri her geçen gün artış göstermekte ve kuruluşların her alanını riske maruz bırakabilmekteler. Kuruluşların iş süreçlerini oluşturmak ve uygulayan uç noktalar (Endpoint) savunmasız durumda olabilmekteler. Bu uç noktaları korumak ve altyapıdaki giriş noktalarının güvenliğini sağlamak yani uç noktalara gelebilecek tehditleri en aza indirmek gerekir. EDR sistemleri, sayesinde uç noktaları tehditleri hızlı ve uygun bir şekilde müdahale etmek mümkündür. EDR araçları uç nokta ve ağ olaylarını izleyerek ve daha fazla analiz, algılama, araştırma, raporlama ve uyarının gerçekleştiği merkezi bir veri tabanına kaydeder. EDR araçları kurumsal ağdaki tüm uç noktalarda kapsamlı görünürlük sağlayarak gelişmiş tehditleri keşfetmeye, ölçeklendirmeye, soruşturmaya ve etkisiz hale getirmeye yönelik görevlerin otomasyonunu sağlar. Sürekli izleme ve keşif sayesinde içeriden gelen tehditleri veya dışarıdan gelen saldırıları erken tanımlanmasını kolaylaştırarak kurum içi güvenliği için çok önemli bir hale gelmiştir. EDR veri toplama zamanlaması, kapsamı veya tehdit istihbarat sağlayıcıları ilke entegre olma yetenekleri bakımından farklılık gösterir.

Tüm EDR araçları aynı şekilde çalışmayabilir. Örneğin bazı EDR araçları uç noktalar üzerinde daha fazla analiz gerçekleştirirken, başka bir EDR aracı veri analizi yönetim konsolu üzerinden gerçekleştirir. Fakat tüm EDR araçları aynı temel işlevleri aynı amaçla yerine getirir. https://www.esecurityplanet.com/products/edr-solutions/ adresinden sektörde en çok kullanılan EDR’ların karşılaştırmasını görebilirsiniz.

EDR Kullanım Avantajları:

  •  PoweShell istismarları, memeory attack, file-less gibi tespit edilmesi zor tehditler tespit edebilir.
  •  Exploit-based yapılan atakların tespit ve analizi gerçekleştirilmesini sağlar.
  •  Kendini gizlemeye çalışan malwareların endpointler üzerinde yanal hareketlerini gözlemlemeyi sağlar.
  •  Çeşitli güvenlik ürünleriyle birlikte entegre bir şekilde çalışabilir.
  •  Davranış analizi (Behaviour Monitoring) teknolojilerini kullanarak olay tespit süresini azaltır.
  •  Davranış analizi sayesinde Endpointlere ve ağa zarar vermesinin önüne geçer.
  •  Bilinmeyen dosya ve uygulamaların tespiti ve sanal ortamlarda testlerini sağlayarak ağ da yer alan diğer uç nokta ürünlerini koruma sağlar.
  •  Uç noktalar (Endpointler) üzerinde gerçekleşen eylemlerin takibinin yapılması ve analizlerinin anlık görüntülenmesini sağlar.
  •  Adli izlenim süreçlerinde önemli bilgi tespit imkanı sunar. (ıp, url, domain, DNS, file name, file path …)


EPP - Endpoint Protection Platfrom
(Uç Nokta Koruma Platformu)

EPP sisteme dahil cihaz seviyesindeki tehditleri tespit etmek ve engellemek için tasarlanmış güvenlik çözümüdür. EPP, imza tabanlı saldırılara karşı koruma sağlamak için tasarlanmış kötü amaçlı yazılım önleme yeteneklerini kapsar. Bir dosya ağa dahil olduğunda EPP aracı dosyanın imzasının veritabanındaki herhangi bir kötü amaçlı tehditle eşleşip eşleşmediğini görmek için dosyayı tarar. EPP, uç noktadaki çeşitli tehditleri algılayan ve durduran, antivirüs, veri şifreleme, izinsiz giriş önleme ve veri kaybını önleme gibi entegre bir uç koruma teknoloji paketi sağlar. EPP imza tabanlı olarak çalıştığı için gelişmiş saldırılara karşı etkisiz kalmaktadır.

EDR ve EPP benzer hedeflere sahiptir, ancak farklı amaçları gerçekleştirmek üzere tasarlanmıştır. EPP, kötü amaçlı dosyaları tanımlayarak, potansiyel olarak kötü niyetli etkinlikleri tespit ederek ve olay incelemesi ve müdahalesi için araçlar sağlayarak cihaz düzeyinde koruma sağlamak üzere tasarlanmıştır.

EPP, kuruluşun konuşlandırılan güvenlik çözümleri tarafından tespit edilebilen saldırıları filtreleyerek ilk savunma hattı görevi görür. EDR, güvenlik analistlerinin tehdit avı gerçekleştirmesine ve uç noktaya yönelik daha ince tehditleri tespit etmesine olanak tanıyan ikinci bir koruma katmanı görev görür.

Etkili uç nokta savunması, bir kuruluşun güvenlik ekibine yardımcı olarak siber tehditlere karşı koruma sağlamak için hem EDR hem de EPP’nin yeteneklerini entegre eden bir çözüm kullanmak avantajlı olacaktır.



MDR -Managed Detection and Response
(Yönetilen Tespit Ve Müdahale)

MDR, tarafından sunulan servislerin en temel karakteristiği klasik saldırılar dışında gelişmiş saldırıları detaylı bir şekilde tespitini gerçekleştirmek ve saldırı kaynağına müdahale etmektir. MDR tarafından sunulacak gelişmiş tespit ve müdahale süreçlerini EDR yazılımları kullanılır. MDR aslında tehdit algılaması, tehdidin tespit müdahalesi ve iyileştirme süreçlerinin belendiği ve yönetildiği servistir.

MDR geriye dönük bütün trafiği analiz edebilir çünkü ağ tabanlı çözüm kullanmaktadır. MDR hizmet kapsamı olarak ilgili kurumun siber saldırılara karşı siber tehdit istihbaratı geniş şekilde bütün süreçlerde kullanılacak şekilde tanımlanabilir.

MDR Avantajları

  •  Başarılı saldırıların etkisini azaltır.
  •  7/24 görünürlük sağlar.
  •  Kuruluşu hedef alabilecek tehditler üzerinde araştırma yaprak süreklilik sağlar.
  •  Sonuç ve rapor sunar.



NDR -Network Detection Response
(Ağ Tespit Ve Müdahale)

NDR, kuruluşun siber saldırganlar tarafından gerçekleşebilecek saldırı sonuçlarında, ağ trafiğini izlemesi ve ağa yönelik siber tehditlerin tespitine, saldırılara tepki vermesini sağlayan bir güvelik hizmetidir. Siber saldırılar, internet altyapısına ciddi zararlar verebilmektedir. Ağ altyapısını monitöre eden ve saldırılara yanıt vermek için NDR hizmeti kullanılır. NDR, kuruluşların kötü niyetli etkinliklerini tespit etmek ve önlemek veya temel nedeni belirlemek, yanıt ve hafifletmeyi kolaylaştırmak için olay sonrası araştırmalar ve adli analiz yapmak için kullandığı bir güvenlik çözümüdür. NDR çözümleri, içeriden saldırıları, kimlik bilgilerinin kötüye kullanılması, ayrıcalık artırma, yanal hareket ve veri hırsızlığı gibi kötü amaçlı yazılım dışı tehditlere karşı koruma sağlayabilir. NDR EDR dan temel farkı olarak bir malware BIOS seviyesinde istismar ederek EDR’ı bozabilir ve böylece amaçlarını EDR a yansıtmaya bilir ancak ağ aracılığıyla başka herhangi bir sistemle etkileşime girer girmez ağ araçları tarafından görülebilir.



XDR- Extended Detection And Response
(Genişletilmiş Algılama Ve Müdahale)

XDR, EDR’den daha geniş bir özelliğe sahiptir. Daha yüksek görünürlük sağlamak ve tehdit bilgilerini toplamak ve ilişkilendirmek için en yeni ve güncel teknolojileri kullanırken, bugün ve gelecekteki saldırıları tespit etmeye yardımcı olmak için analitik ve otomasyon kullanır. XDR, sistem sunucuları, e-posta, bulut ve uç noktalar gibi çeşitli ap noktalarında veri toplayarak ilişkilendirmeye çalışır. Sistem ilişkili verileri analiz eder, görünürlük ve bağlam kazandırır.

Güvenlik ürünlerinin sayısının artması sebebiylede tek bir noktada yönetim zorlaşmıştır buna çözüm olarak bulut tabanlı bir güvenlik ürünüdür. XDR, güvenlik ürünlerinden alınan verileri işleyerek tek bir platform üzerinden yönetilmesini ve müdahale etmesini amaçlamaktadır.

XDR avantajları:

  •  Geliştirilmiş koruma, algılama ve yanıt verebilir.
  •  Siber tehditleri en etkili bir şekilde tespit edilmesi ve yanıtlanması için daha düşük maliyetli.
  •  Birden fazla güvenlik ürünü ile birlikte uyumlu çalışır.
  •  Hedefli saldırıların tespiti ve müdahale edilmesi
  •  Tehdit istihbarat kaynakları ile birlikte istihbarat bakar.
  •  Uyarıları otomatik olarak ilişkilendirerek ve onaylayarak yanlış pozitifleri takip etme ihtiyacını azaltır.





EDR, EPP, MDR, NDR, XDR

Kaynaklar:

https://www.kaspersky.com.tr/enterprise-security/endpoint-detection-response-edr

https://opdotech.com.tr/blog/endpoint-detection-response-edr-nedir-nasil-calisir/

https://www.eset.com/tr/business/enterprise-inspector/

https://www.mcafee.com/enterprise/en-us/security-awareness/endpoint/what-is-endpoint-detection-and-response.html

https://www.cisco.com/c/en/us/products/security/endpoint-security/index.html#~types-of-endpoint-security

https://www.mcafee.com/enterprise/en-us/security-awareness/endpoint/what-is-an-endpoint-protection-platform.html

https://digitalguardian.com/blog/what-managed-detection-and-response-definition-benefits-how-choose-vendor-and-more

https://solutionsreview.com/network-monitoring/a-beginners-guide-to-network-detection-and-response/

https://blog.paloaltonetworks.com/2019/04/introducing-cortex-xdr-tr/?lang=tr

https://www.mcafee.com/enterprise/en-us/security-awareness/endpoint/what-is-xdr.html

https://en.wikipedia.org/wiki/Extended_detection_and_response

18 Ocak 2021 Pazartesi

WAF


 

WEB Application Firewall

(Web Uygulama Güvenlik Duvarı)

 


 

 

WAF Nedir

Web Application Firewall (Web uygulama güvenlik duvarı), WAF her geçen gün karmaşıklaşan sistemlerde, web trafiği üzerinden gelen anormallikleri tespit ederek belirlenen kurallar çerçevesinde gelen taleplerden saldırgan amaçlı talebi engellemek üzere kurulmuş bir teknolojidir. Web uygulamalarımızı saldırgan ziyaretçilerin korumak için web sitesi sunucularına gelen ve giden trafiği izler anormal bir trafik paketini filtreler. WAF, işletmelerin gizli ve hassas bilgilerini güvende tutulmasına yardımcı olan bir araçtır. WAF OSI katmanın 7.katmanında çalışır. HTTP, HTTPS, SOAP, XML, RPC gibi protokoller üzerinde detaylı paket analizi yaparak zararlı istekleri bloklar. Geleneksel güvenlik duvarları sunucular arasında bir güvenlik geçidi olarak hizmet verirken, WAF ise web uygulamasına ait içeriği filtreleyebilir. WAF, web uygulamalarındaki zafiyetleri tarayabilir. Zafiyet tespit ettiğinde, potansiyel bilgisayar korsanlarının onları bulmasını otomatik olarak engeller ve sorunu hemen düzeltmeye odaklanır.

Genel çalışma mantığı olarak WAF, web uygulamaları ile kullanıcılar arasında durur böylelikle kullanıcı web uygulamasına istekte bulunur web uygulamasına ulaşmadan istek WAF, HTPP paketini analiz eder bir risk algılandığında trafiği keser ve kullanıcının tüm isteklerini ret eder.  WAF, web uygulaması ile internet arasındaki kötü amaçlı trafiği engelleyerek, filtreleyerek web uygulamalarını korur ve aynı zamanda web uygulamasındaki verilerin dışarı çıkmasını da engeller.

 

Verizon Veri İhlali soruşturmaları Raporunda bildiği üzere, özellikle web uygulaması saldırılarının ihlalleri en çok görünen nedeni olarak görülmesinden sonra web uygulaması güvenliği kritik bir bileşeni haline gelmiştir bundan dolayı WAF kullanımına talep artmıştır.

 

WAF Kullanımı Alanları

web uygulaması kullanan bütün kurum kuruluşlar kullanabilir. Örnek olarak e-ticaret siteleri, Hastane randevu sistemleri, Üniversiteler …

 

 

WAF Koruyor Olabildiği Ataklar;

·        Siteler arası komut dosyası çalıştırma saldırıları (XSS attacks)

·        Kötü amaçlı yazılım saldırıları (Malware attacks)

·        SQL enjeksiyon saldırıları (sqli)

·        DDOS koruması

·        veri ihlallerini önlemek için web uygulamalarını korur

·        Kötü amaçlı internet trafiğinden korur.

·        Command İnjection

·        Local File İncluding

·        Buffer Overflow

·        Brute-Force Attack

·        Cookie-Session Posioning

·        Session Hijacking

·        Senstive Ingormation Leaks

·        Sever Misconfiguration

·        Wall-known latfrom Vulnerabilities

·        Form-Hidden Field Maniğulation

·        Parameter Tamper

·        Remote File İncluding

·        File Upload

 

 

 

WAF örnekleri

Donanım olarak

·        Monitorapp AIWAF

·        Barracuda Networks WAF

·        Citrix Netscaler Uygulama Güvenlik Duvarı

·        F5 Big-IP Uygulama Güvenlik Yöneticisi

·        Penta Security WAPPLES

·        Imperva SecureSphere

·        Fortinet FortiWeb

·        Positive Technologies, PT Uygulama Güvenlik Duvarı

·        Ergon Informatik AG, Airlock WAF

Bulut olarak

·        AIONCLOUD

·        Akamai Technologies Kona

·        AWS WAF

·        Bekchy

·        Cloudbric

·        Cloudflare

·        F5 Silverline

·        Imperva Incapsula

·        Verizon Defend

 Açık Kaynak

·        ModSecurity

·        Naxsi

·        Aqtronix

 

 

 

Nasıl Çalışır


Genel çalışma mantığı olarak WAF, web uygulamaları ile kullanıcılar arasında durur böylelikle kullanıcı web uygulamasına istekte bulunur web uygulamasına ulaşmadan istek WAF HTPP iletişimini analiz eder bir risk algılandığında trafiği keser ve kullanıcının tüm isteklerini ret eder. Güvenliği sağlamak için WAF’lar tüm http isteklerini yakalar ve inceler. Sahte trafik, zararlı botlar ve malwareler engellemek için tasarlanmış captcha testleri ile basitçe engellenir veya test edilir. WAF; Açık Web Uygulaması Güvenlik Projesi olan OWASP tarafından listelenen en önemli web uygulama zafiyetlerini ele alması gereken özelleştirilmiş politikalar üzerine inşa edilmiş güvenlik prosedürlerine dayanmaktadır buna imza tabanlıda denilmektedir. 

Temel Çalışma mantığına bakacak olursak;

-         Gelen http paketlerinin bileşenlerine ayırır (Parsing)

-         Verinin normalleştirilmesi (decoding)

-         Filtreleme kurallarının işletilmesi (regex)

-         Gelen trafiğin zararlı ya da zararsız olduğuna karar verilmesi

 

WAF’ın Analiz Etmek İçin Kullandığı Güvenlik Modelleri


Beyaz Liste Modeli (Positive Security Model): WAF varsayılan olarak tüm istekleri ret eder yalnızca izin verilen istekleri güvenilir olduğunu döndüren güvenlik modelidir. Güvenli olduğunu bildiği IP adreslerinin bir listesini sağlar ve bu liste doğrultusunda işlem yapar.

Kara Liste Modeli (Negative Security Model): Varsayılan isteklerin geçmesine izin verir, önceden belirlenmiş güvenlik açıklarından faydalanan saldırı imzalarını engeller. Yasaklanmış ağ paketleri dışında her şeye izin verir.

Karma Liste Modeli (Mixed Security Model): Kara liste ve Beyaz liste beraber kullanıldığı güvenlik modelidir.

Learing-Based Firewall: Gelen ve giden istekleri inceleyerek web sayfalarının haritasını çıkarmaya çalışır. Daha önceden gerçekleştirilen saldırılardan yeni tip saldırıları tahmin etmeye çalışır böylelikle yeni tip saldırılarda koruma sağlar.

 

 

 

WAF Yerleşim Planları

WAF; inline bridge, offline (passive). integrated ve reverse Proxy olmak üzere 4 yere yerleştirebiliriz. WAF aracımızı yerleştireceğimiz yere göre seçmeliyiz aksi takdirde efektif bir verim sağlamayacaktır.

Inline (Bridge) Yerleşim Modeli:

Bu modelde WAF aracı web sunucuların önüne bridge modda yerleştirilerek trafiği üzerinden geçirmesi ve incelenmesi sağlanır. Network tabanlı IPS benzeri bulunduğu konum üzerinden geçen tüm trafiği inline alır, inceler ve duruma göre bloklama yapar.

Sistemde yaşanacak bir arıza sonrasında web trafiğinin kesilmesi durumu olabilmektedir. Bu problemin çözümü için cihazda yaşanacak bir problem sonrası trafiğin akmaya devam etmesi (fail-open) özelliğinin aktif olması gerekmektedir.

Offline (passive) Yerleşim Modeli:

WAF aracı web sunucuların olduğu switch üzerinden akan trafiği kopyalayarak web sunucusuna giden trafiğin kopyasını alır. Alınan kopya trafik üzerinde detaylı paket analizi yapılarak zararlı istekler için cevap üretir bu cevaplar genel olarak TCP/RST paketleridir. Burada şöyle bir sorun oluşmaktadır saldırganın gönderdiği isteğin cevabı WAF tarafından gönderilecek TCP/RST paketlerinin cevap paketlerinden önce ulaşabilir ya da saldırgan http kullanarak geriye yönelik udp bağlantısı açmaya çalıştığında WAF cihazı işlevsiz kalabilir.

Bütünleşik Yerleşim Modeli:

WAF; işletim sistemine, web sunucusuna yerleştirilmiştir. Bundan dolayı x bir ürün Linux işletim sistemlerinde çalışırken Windows sistemlerde çalışmaz. Bu model WAF yerine göre avantajlar sağlamaktadır.

Reverse Proxy Yerleşim Modeli:

Proxy mantığıyla çalışmaktadır. Web sayfasına ulaşmaya çalışan tüm istemciler web sunucu yerine reverse Proxy modun daki WAF sistemine ulaşır. WAF istediği alır gerekli incelemelerden geçirildikten sonra arkadaki web sunucuya iletir veya istek zararlı ise bloklanır.

Web sunucuya gelen her istek ve dönen her cevap WAF sistemi üzerinden geçeceği için yine diğer yerleşim yöntemlerine oranla gecikme oranı daha yüksektir. Yazlım ürünü olan WAF, genellikle cihazlardan daha kolay bir yükseltme yolu sağlar. 

 

 

WAF Dahil Edilirken Dikkat Edilmesi Gereken Hususlar

WAF güvenlik uygulamasını bulut, donanım veya yazılımsal olarak seçim yapabiliriz. Yazılım olarak WAF daha ucuz ve daha kullanışlıdır. Donanım veya yazılım seçeneklerini değerlendirirken ölçeklenebilirliği ve performans dikkate almak gerekir. Bazı cihazlar, saatte kaç işlem yapabilecekleri konusunda sınırlı olabilir. 

WAF seçmek için;

·        Güvenlik politikası hedeflerinize ve yasal gereksinimlere göre ne yapması  
 gerekir ?

·         Hangi ek hizmetleri yanında sunuyor ?

·        Mevcut networkünüze uyumu var mı ?

·        Mevcut hizmetleri nasıl etkiliyor ?

·        Özel protokolleri destekliyor mu ?

·        Uygulama protokollerini korur mu ?

·        Destek politikaları neler ?

·        WAF ürünü otomatik güncellemeleri yapıyor mu ?

·        Dinamik imzaları uygulayabiliyor mu ?

·        Maliyeti ne kadar ?

sorularını sormamızda fayda var.

Tabi sorulara cevap vermeden önce; güvenlik politikamızı güncellememiz eğer güncel ise bir göz gezdirmemiz gereklidir. Güvenlik politikamız ne kadar iyi olursa verilerimizin güvenliği o kadar yükselir. Her web uygulaması benzersiz olduğundan, güvenli yaşam döngüsü geliştirme programınızın tehdit modellemesi sırasında belirlenen potansiyel tehditlere karşı koruma sağlamak için güvenliğimize özel olarak uyarlanması gerekir.

Güvenlik yaşam döngüsünü test edin; güvenli hale getir, izle, test et ve geliştir. Networkümüze herhangi bir cihaz bağlanmadan önce, ağ alt yapısını kontrol etmekte fayda var. WAF ürünü kurulduktan sonra saldırı taktiklerini uygulayarak ne kadar başarılı olduğunu görün

 

 

WAF’ta Olması Gereken Özellikler

WEB Uygulaması Güvenlik Duvarı, kuruluşun güvenliğini tehdit edebilecek karmaşık saldırılara karşı ilk savunma hattıdır. En etkili ve verimli çözümler olarak;

·        Giriş koruması- kapsamlı uygulama profili oluşturma, kabul edilebilir kullanıcı girdisini algılar.

·        http doğrulaması- http güvenlik kusurlarını tespit eder ve saldırıları engellemek için özel doğrulama kuralları belirler.

·        Veri sızıntısı önleme- erken uyarı veri sızıntısı algılama sistemi, savunmasız güvenlik yapılandırmalarını algılar ve özel verileri tanımlar, filtreler ve korur.

·        Otomatik saldırı engelleme- Otomasyon araçları, ağınızı kötü niyetli trafikten korumak için proaktif önlemler alır.

·        Trafik akışlarına yaşanabilecek yoğunluğu önleyebilir.

·        Basit ilke yönetimi için merkezi, ölçeklenebilir bir güvenlik sağlar.

 

WAF Test Süreci

Etkili bir WAF süreci oluşturulması için test aşamasının yapılması gerekmektedir. En doğru WAF testi, uygulama üzerindeki mantıksal saldırılara karşı etkinliği ölçer. WAF test çerçevesi;

1-     Uygulamanın önünde WAF olmadan test edin.

2-     Varsayılan yapılandırmada WAF saldırıların ne kadar engellemekte olduğunu test edin.

3-     Saldırı engelleyemeceğini belirlemek için WAF’ı yapılandırın.

4-     WAF onları engelleyecek şekilde yapılandırıldıktan sonra saldırıların başaralı bir şekilde engellenmediğini test edin.

Bu WAF test süreci, WAF’ın uygulamaya fayda sağlayıp sağlamadığını belirler ayrıca WAF’ın belirli saldırılara karşı koruma sağlayacak şekilde yapılandırmasında da olanak tanır. WAF’ın mantıksal saldırılara karşı ne kadar etkili olduğunu belirler.

 

 

 

 

Geleneksel Firewall Ve WAF Arasındaki Fark

Firewall sistemler arasındaki bilgi akışını filtrelerken, WAF’lar belirli bir web uygulaması için trafiği filtreler. Firewall ve WAF birlikte çalışabilirler.

Geleneksel güvenlik yöntemleri arasında ağ güvenlik duvarları, saldırı tespit sistemleri (IDS) ve izinsiz giriş önleme sistemleri (IPS) bulunur bu sistemler OSI katmanı L3 ve L4 trafiğini filtreleme yeteneğine sahiptir. http sunucusundan istenen web sayfalarını gönderen ve alan bağlantı noktasının açık veya kapalı olması durumu OSI L7 L6 katmanında çalışır bu nedenle WAF bu L6 ve L7 tarafından gelebilecek saldırıların savunmasında ön plana çıkmaktadır.

 

 

WAF için Virtual Patching Kavramı

Vitual Patching (Sanal Yamalama), güvenlik açığı bulunan kodu değiştirmeden, yazılımdaki belirli bir güvenlik açığını azaltan yamalama işlemidir.
IPS (Intrusion Prevention Syytem) yani saldırı önleme sistemlerinde ilk olarak kullanılmıştır artık son zamanlarda WAF’lar tarafından da kullanılmaktadır.

Vitual Patching, kötü amaçlı trafiğin zafiyetli uygulamaya ulaşmasını önlemek için güvenlik denetimi kaymanını kullanarak işlemleri analiz eder.

Avantajları;

·        Tüm sunuculara yama yüklemeye gerek yoktur bir kaçına uygulandığında yeterlidir bundan dolayıda ölçeklenebilir çözüm sunar.

·        Oluşturulması gereken yama oluşana kadar riskleri azaltır.

·        Acil yama gerektiği zaman hem maddiyattan  hem de zamandan tasarruf ettirir.

 

 

Açık Kaynaklı WAF  (Modsecurity)

 

Açık kaynaklı WAF’lar, kuruluşlara özelleştirilmiş güvenlik politikaları dağıtma, karmaşık saldırıları izlemek ve önlemek için özel güvenlik panoları geliştirme ve BT güvenlik ekiplerinin şirket içi waf’larla devreye alması için daha fazla esnek zaman alabilecek rutin güvenlik görevlerini otomatikleştirme konusunda daha fazla esneklik sağlar. Açık Kaynaklı Web uygulaması güvenlik duvarları WAF’ın korumaya almış olduğu tüm saldırı çeşitlerinden korur ancak tam özellikleri sağlayabilmesi için yapılandırılması gerekmektedir buda zaman kaybına ve karmaşıklığa sebep olmaktadır.

Açık Kaynak Kodlu ücretsiz olarak kullanabileceğimiz ModSecurity örnek verebiliriz.

ModSecurity, web uygulamaları için geliştirilmiş web servislerinde gömülü bir şekilde çalışan web uygulama güvenlik duvarıdır. Bunun anlamı kurulu olan web sunucusuna istediğimiz zaman ilave edilebilir ve devre dışı bırakabiliriz. ModSecurity’nin bu kullanım şekli ile daha önce var olan networkümüzde herhangi bir değişiklik yapmamıza gerek kalmaz. Web sunucumuzla bir bağlantısı olmadığından taşınabilirliği kolaydır. Temel çalışma mantığı http trafiğini dinleyip analiz eder. Web uygulamaları için saldırı tespit etme ve engelleme görevi görür.

 

MoSecurity Nasıl Çalışır

Linux ve Windows işletim sistemlerinde desteklenir ve bir web sunucusu (Apache, IIS) modül olarak çalışır. ModSecurity web sunucusuna gelen tüm istekleri ve bu isteklere gönderilen yanıtları kontrol eder. Kontrol başarılı olursa, içeriği almak için http isteğini web sitesine yönlendirir kontrol eğer başarısız olursa ModSecurity’de belirlenen kurallar dahilinde yanıt oluşturulur.

Avantajları;

·        Apache log kaydı tutmaz ModSecurity HTTP trafiği üzerinde her türlü veriyi kayıt altına tutar

·        Gerçek zamanlı veri analizi yapar.

·        Saldırı tespit ve öenleme için anında müdahaleler yapmamıza yarayan kurallar yazabiliriz.

·        ModSecurity kural motoru (SecRuleEngin) çok esnek kurallar yazmamızı sağlar. HTTP işlem dataları üzerinde bize özel programlama dili sunar

 

 

ModSecurity Saldırılara karşı anında tepki verir bunu 3 farklı yolla gerçekleştirilebilir;

1-     Negative Security Model (Negatif Güvenlik Modeli):
Anormal olan istekleri, sıra dışı hareketleri ve genel web uygulama ataklını izler. ip adresi, oturum, kullanıcı hesabı gibi detaya bakıp bunların sonucuna göre kuralların işlenmesi sağlanır.

2-     Positive Security Model (Pozitif Security Model):
Bu modelde sadece geçerli tanımlanan istekler kabul edilir ve bu istekler dışındakiler tümüyle reddedilir.

3-     Know Weaknesses and Vulnerabilities (Bilinen Zayıflıklar Ve Açıklar):
ModSecurity Kural yazılması sayesinde, dışarıdan gelen saldırılara karşı yamalar yapmamızı sağlar Bu yamalar sunucunun kendi açıklarından ziyade üçüncü parti yazılımlardan kaynaklanan açıklardır. Bu yazılımdan kaynaklanan zafiyetler kapatılana kadar ModSecurity ile yama oluşturuluabilir.

  

 

WAF Keşfi

 

WAF olduğunu anlamanın çeşitli yolları vardır bunlardan ilki waf00f aracını kullanmak, başla bir yöntem olarak birden fazla istek art arda atıldığı zaman bağlantı kesiliyorsa burada güvenlik duvarı olduğu anlaşılabilir, nmap script taramasında WAF olduğunun tespiti yapılabilir.

 

wafw00f kullanarak;

terminal açılarak

sudo wafw00f hedef_url_adresi

wafwoof tarama gerçekleştirir tamanın çıktısına göre WAF varsa bulduğunu markasını söyler eğer WAF bulamaz ise bulamadığını söyler.

 



 

 

nmap kullanılarak tespit edilmesi

 

nmap –script parametresine “ http-waf-detect” eklenerek tespit edileblir.

kullanılan komut;

nmap -p80 --script http-waf-detect <host>

kullanılan komutun çıktısı şu şekilde olmaktadır.

PORT   STATE SERVICE
80/tcp open  http
|_http-waf-detect: IDS/IPS/WAF detected

 

 

 

 

WAF Atlatma Çalışmaları

 

-         WAF’lar gelen istedğin IP adresini Header’lara bakarak anlayabilir. WAF kontrol etmeyeceği IP adresleri bulunmaktadır bunlara örnek olarak Cache sunucusu ip adresi (forwarded-for), Proxy Sunucusu ip Adresi (remote-IP), Local Host ip adresleri (originating-ip), Yerel Ağ ip adresleri (remote-addr), karmaşık string ifadeleri (remote-ip) yani bu ip adreslerinden gelen istekleri analiz etmezler eğer saldırgan bu ip adreslerinden geliyomuş gibi yaparsa WAF filtrelemesini atlatabilir.

-         WAF gelen istekleri analiz ettiği zaman güvenlik modelindeki listelere bakar eğer listede eksik değerler var ise bu değerler kullanılarak WAF atlatılabilir;
Örneğin;
<script>alert(123)<script>  -> ASCII karakterli olarak filtreleyebilir fakat
<sCripT>AleRt(123)</scRIpt>    -> bu yöntemle atlatılabilir

-         Çeşitli encode yöntemleri kullanılarak WAF anlaması engellenebilir encode işlemi olarak base64 url encoding kullanılabilir.
Örneğin sqli zafiyetinde en çok kullanılan ‘ işareti ASCII karakter olarak engellenmiş olabilir lakin farklı enconding yöntemleri kullanılarak WAF’ın anlaması engellenbilir.
Ascii – '  

URL Encode - %27
Double URL Encode - %2527
UTF-8 (2 byte) - %c0%a7  
UTF-8 (JAVA) - \uc0a7  
HTML Entity - &apos;
HTML Entity Number - &#27;
Decimal - &#39
Unicode URL Encoding - %u0027
Base64 - Jw==

 

 

 

-         Aynı işlevi gören farklı fonksiyonlar kullanılabilir yani <script>alert("xss">)</script> javascript farklı olarak <img/src="xss.png"alt="xss"> yazılarak WAF güvenlik modelinde olmayan bir fonksiyon kullanılarak zafiyeti sömürebiliriz
<script>alert("xss">)</script>  benzer fonksiyonlar;
<img/src="xss.png"alt="xss">
 
<object data="javascript:alert(1)">uyg.asp?id=<object>< param name="src" value="javascript:alert(1)"></param></object>
 
<isindex type=image src=1 onerror=alert(1)>

<isindex action=javascript:alert(1) type=image>

<img src=x:alert(alt) onerror=eval(src) alt=0>

<meta style="xss:expression(open(alert(1)))" />

 

-         Benzer mantıksal operatörler kullanılarak WAF sitemi atlatılabilir yani AND operatörü yerine && kullanılabilir.

 

-         Yorum karakterleri eklenerek WAF anlamlandırmasını zorlaştırılır böylelikle WAF güvenlik modeli bypass edilebilir.  /**//*/

 

-         Bellek taşması yöntemi kullanılarak WAF bypass edilebilir.

 

-         XML fonksiyonlarının sql tarfından desteklenir bundan dolayı WAF XML fonksiyonlarını kendi içerisinde anlamlandıramadığı için WAF bypass edebilir.
SELECTUpdateXML('<scriptx=_></script>',’/script/@x','src=//0x.lv');

 

-         WAF’ların kurulumu yapılırken SSL için gerekli ayarlamalar genellikle göz ardı edilir. SSL ile ilgili ayarların yapılmadığı bir WAF sisteminde SSL trafiği kullanılarak yapıla saldırı engellenemez böylelikle WAF bypass edilebilir.

 

-         WAF’ın çalışmasını engelleyecek kadar XML, SOAP, regular expression istekleri yollanır ve WAF görevini yapamaz hale gelebilir.

 









Kaynaklar

 

https://tr.wikipedia.org/wiki/Web_uygulamas%C4%B1_g%C3%BCvenlik_duvar%C4%B1

https://docs.microsoft.com/tr-tr/azure/app-service/environment/app-service-app-service-environment-web-application-firewall

https://www2.slideshare.net/bgasecurity/web-application-firewall-tercih-rehberi?ref=https://www.bgasecurity.com/

https://nmap.org/nsedoc/scripts/http-waf-detect.html

https://www.cozumpark.com/web-application-firewall-barracuda-waf-urunu-temelleri-ve-waas-hizmeti/

https://avinetworks.com/what-is-a-web-application-firewall/

https://enterprise.verizon.com/resources/reports/dbir/

https://owasp.org/www-community/Virtual_Patching_Best_Practices

https://www2.slideshare.net/su13ym4n/hacktrick14-suleyman-ozarslan-waf-atlatma-yntemleri

https://github.com/EnableSecurity/wafw00f