28 Ekim 2012 Pazar

İhlal Edilmiş Kimlik Doğrulama ve Oturum Yönetimi

Hesap Bilgileri ve oturum anahtarları çoğu zaman düzgün olarak korunmamaktadır. Saldırganlar şifreleri ve kimlik denetimi anahtarlarını kullanıcının diğer bilgilerini elde etmek için kullanabilirler.

Uygun kimlik doğrulama ve oturum yönetimi, İnternet uygulama güvenliği için kritiktir. Bu alandaki kusurlar sıklıkla, kimlik bilgisi ve oturum işaretlerini kendi döngüleri boyunca korumada bozukluğu ihtiva eder. Bu kusurlar, kullanıcı veya idare hesapları korsanlığına, kimlik doğrulama ve hesap sorumluluğu kontrollerinin çökmesine ve gizlilik ihlallerine sebep olabilir.

Ana kimlik doğrulama mekanizmasında kusurlar, seyrek değildir, fakat zayıf noktalar daha çok, çıkış, parola yönetimi, zaman aşımı, beni hatırla, gizli soru ve hesap güncelleştirmesi gibi yardımcı kimlik doğrulama fonksiyonları boyunca ortaya çıkar.
Kimlik doğrulama, güvenli haberleşme ve kimlik bilgileri depolamasına dayanır. İlk olarak, SSL’in uygulamanın tüm kimlik doğrulanmış parçaları için tek seçenek olduğu garanti edilmeli, (bakınız A9— emniyetsiz iletişim), ve bütün kimlik bilgileri, kriptografik özet veya şifrelenen formda depolanmalıdır, Kimlik doğrulama kusurlarını engellemek, dikkatli bir plan gerektirir. Göz önüne alınması gereken en önemliler arasındakiler olarak aşağıdakiler sayılabilir :

● Sadece yerleşik oturum yönetim mekanizması  kullanılmalı. Herhangi bir koşul altında ikincil oturum denetimcisini yazmamalı veya kullanılmamalı;

● URL ile veya istekle gelen yeni, önceden ayarlanmış veya geçersiz oturum tanıyıcıları kabul edilmemeli. Bu saldırı türü, oturum tespit saldırısı olarak isimlendirilir.

● Kimlik doğrulama veya oturum yönetimi amaçları için özel (custom) çerezlerin kodu sınırlanmalı veya defedilmeli, örneğin "Beni Hatırla" tipi veya kurum bilgi sistemleri için tek giriş (sigle sign on) fonksiyonları gibi. Bu, güçlü, iyice kanıtlanmış SSO (Single Sign On – tek imzayla giriş / Web Çoklu Oturum Açma) veya birleşmiş kimlik doğrulama çözümlerini uygulanmaz;

● Uygun dayanıklılığa ve etmene bağlı tek bir kimlik doğrulama mekanizması  kullanılmalı. Bu mekanizmanın, kolayca yanıltmaya veya tekrarlanan saldırılara maruz bırakılamadığına emin olunmalı. Bu mekanizma fazla karmaşık olmamalıdır, sonra bu karmaşıklık esas saldırı şekline dönüşebilir.

● Şifrelenmemiş bir sayfadan oturum açma işleminin başlamasına izin verilmemelidir. Kimlik veya oturum bilgilerini çalmayı, parola balıkçılığı (phishing) ve oturum belirleme saldırısını engellemek için yeni veya güncel oturum jetonu (token) ile şifrelenmiş ikinci bir sayfadan oturum açma işlemi yapılmalıdır.

● Başarılı kimlik doğrulama veya hak seviye değişikliği üzerine yeni bir oturum oluşturma göz önüne alınmalıdır.

● Her sayfada bir oturumu kapatma bağlantısı olduğu garanti edilmelidir. Oturum kapatma işlemi,bütün sunucu tarafı oturum durumunu ve kullanıcı tarafı çerezlerini yok etmelidir. İnsan faktörleri düşünülmeli: Doğrulama için soru sorulmamalı çünkü kullanıcılar, başarılı bir şekilde oturumu kapatmak yerine, pencere veya sekme kapatmayı seçecektir.

● Korunan verinin değerine göre etkin olmayan bir oturumdan otomatik olarak dışarı çıkartan bir zaman aşımı periyotu kullanılmalı. (Kısa periyot her zaman daha iyidir)

● Sadece kuvvetli yardımcı kimlik sorgulama fonksiyonları kullanılmalı (soru ve cevaplar, parola yenilemesi gibi), çünkü bunlarda kullanıcı isimleri, parolaları veya jetonlar gibi kimlik bilgisidir.Açığa çıkarma saldırılarını engellemek için cevaplara tek yönlü kriptografik özeti kullanılmalıdır.

● Herhangi bir oturum tanımlayıcısı veya URL veya günlük kayıtları içindeki geçerli kimlik bilgileri herhangi bir kısmı açıklanmamalıdır (günlük dosyalarına kullanıcının şifresi depolanmamalı veya hiçbir oturum tekrar yazılmamalıdır).

● Kullanıcı, şifresini değiştireceği zaman, eski şifresi kontrol edilmelidir.

● Kimlik doğrulamanın biricik biçimi olarak hileli olabilecek kimlik bilgilerine güvenilmemeli, örneğin IP 
adresleri veya adres aralığı, DNS veya ters DNS aramaları, başvuru başlığı ve benzerleri.

● Kaydedilen e-posta adreslerine, şifre yenilemesi için mekanizma olarak, gizli bilgileri yollarken dikkatli olunmalı (Referanslarda RSNAKE01’e bakınız). Erişimi yenilemek için sadece-sınırlı-zaman (limited-time-only) rastgele sayıları kullanılmalı ve şifre yenilenir yenilenmez takip eden (bilgilendirici) e-posta gönderilmelidir. E-posta adresini değiştiren kullanıcılar kendi kaydettikleri e-postayı kullanırken dikkatli olunmalı, değişikliği uygulamadan önce, önceki e-posta adresine bir mesaj yollanmalıdır.

Kaynakça : Tübitak

Hiç yorum yok:

Yorum Gönder