Oturum Hijacking nedir?

Oturum ele geçirme, WordPress site sahiplerinin bilmesi gereken bir siber saldırı türüdür. TCP oturumu ele geçirme olarak da bilinen oturum ele geçirme, saldırganların düzgün oturum açmış kullanıcılar gibi görünmesini sağlar. Saldırgan, geçerli kullanıcının bilgisi veya izni olmadan oturum kimliğini alarak bir kullanıcı oturumunu devralır. Saldırgan, bir kullanıcının oturum kimliğini çaldıktan sonra, hedeflenen kullanıcı kılığına girebilir. Saldırgan, yetkili kullanıcı aynı sisteme giriş yaptıktan sonra yetkili kullanıcının yapabildiği her şeyi yapabilecektir.

Bilgisayar korsanlarının ele geçirilen bir oturumla yapabilecekleri en kötü şeylerden biri, kimlik doğrulaması olmadan bir web uygulamasına veya sunucu kontrollerine erişim elde etmektir. Bir saldırgan bir kullanıcının oturumunu ele geçirdiğinde, oturum etkin olduğu sürece kullanıcının kimliğini doğrulaması gerekmez. Oturumu oluşturan uygulama, oturumunu ele geçirdikleri kimliği doğrulanmış kullanıcı olduklarını düşünür.

Başka bir deyişle, bilgisayar korsanı, tehlikeye attığı kullanıcıyla aynı erişime sahip olacaktır. Meşru kullanıcı, saldırı gerçekleşmeden önce oturumunun kimliğini zaten doğruladığından, başarılı bir ele geçirme saldırganın kimlik doğrulamasını tamamen atlamasına olanak tanır.

Bu kılavuzda, oturum kaçırmanın ayrıntılarına gireceğiz. WordPress sitenize olmasını önlemek için tam olarak ne yapmanız gerektiğini size göstereceğiz.

Seans Tam Olarak Nedir?

Bir oturum, yalnızca tek bir HTTP bağlantısı boyunca gerçekleşen iletişim uç noktaları arasındaki bir dizi etkileşimdir.

Köprü Metni Aktarım Protokolü (HTTP), web'in temelidir. Köprü metni bağlantılarını kullanmanıza ve web sayfalarını yüklemenize izin veren şey budur. HTTP aynı zamanda bir ağdaki cihazlar arasında bilgi aktarımı için bir uygulama katmanı protokolüdür.

HTTP'nin temel bir özelliği, "durumsuz" olmasıdır. Bu, bir web sitesinde oturum açan müşteriler (siz ve tarayıcınız gibi) hakkında herhangi bir veri kaydetmediği anlamına gelir. Her oturum tamamen yenidir. HTTP, kullanıcıların önceki oturumlarındaki verileri korumaz.

Vatansızlıkla Başa Çıkmak

WordPress gibi web uygulamalarının, aynı ve farklı kullanıcılardan gelen birden çok bağlantı arasındaki durumu izlemesi gerekir. Potansiyel olarak birden fazla cihaz veya tarayıcıda oturum açtıktan sonra her kullanıcının oturumunu tanımlaması gerekir.

Bir kullanıcı WordPress gibi bir uygulamada oturum açtığında, sunucu bir oturum oluşturur. Oturum, kendilerine özgü parametreleri depolayarak kullanıcı için bağlantının "durumunu" koruyacaktır. Oturumlar, bir kullanıcının uygulamada oturum açtığı süre boyunca sunucuda canlı tutulur.

Oturum, bir kullanıcı sistemden çıktığında veya önceden tanımlanmış bir süre etkinlik olmadığında sona erer. Bir kullanıcı oturumu sona erdiğinde, uygulama verilerini sunucunun belleğinden silmelidir.

Oturum Tanımlayıcıları

Oturum Kimlikleri (veya "anahtarlar" veya "belirteçler"), benzersiz oturum tanımlayıcılarıdır. Tipik olarak, sunucu ve istemcinin birbirine ilettiği uzun, rasgele alfanümerik dizilerdir. Kimlik doğrulama uygulaması normalde oturum kimliklerini URL'lerde, çerezlerde veya web sayfalarındaki gizli alanlarda saklar.

Oturum kimlikleri, durum bilgisi olmayan bir sistemde durumu korumak için yararlı olmakla birlikte, bazı potansiyel güvenlik tehlikelerini de beraberinde getirir. Örneğin, bir web uygulaması için oturum kimlikleri oluşturan algoritmaları anlıyorsak, bunları kendimiz oluşturabiliriz. Ayrıca, web uygulaması HTTP'yi HTTPS olarak şifrelemek için SSL şifrelemesi kullanmıyorsa, oturum kimliklerini açık bir şekilde iletecektir. Herkese açık bir ağda, herkes şifrelenmemiş bağlantılara kulak misafiri olabilir ve oturum kimliklerini çalabilir.

Oturum Ele Geçirme Pratikte Tam Olarak Nasıl Çalışır?

Başarılı bir oturum kaçırma saldırısı son derece gizlidir. Genellikle çok sayıda aktif iletişim oturumunun olduğu çok meşgul ağlarda yapılırlar.

Oturum ele geçirmenin en yaygın biçimlerinden bazıları şunlardan yararlanır:

• Öngörülebilir oturum belirteci kimlikleri
• oturum koklama
• Oturumu kaçırma
• Tarayıcıdaki adam kötü amaçlı yazılımı
• Siteler arası komut dosyası çalıştırma
• oturum sabitleme

Bu tehdit vektörlerinin her birine ayrı ayrı göz atalım.

Öngörülebilir Oturum Simgesi Kimlikleri

Birçok web sunucusu, oturum kimliklerini oluşturmak için özel algoritmalar veya önceden tanımlanmış modeller kullanır. Benzersiz bir oturum belirtecinin genel öngörülebilirliği ne kadar yüksekse, o kadar zayıftır.

Ve bir bilgisayar korsanının tahmin etmesi o kadar kolay olur.

Oturum Koklama

Oturum koklama, bilgisayar korsanlarının uygulama katmanı oturumu ele geçirmek için kullandıkları en basit ve temel yöntemlerden biridir.

Saldırgan, ağ trafiğini yakalamak için Wireshark gibi bir paket dinleyicisi veya OWASP Zed gibi bir proxy kullanır. Bu trafik, istemciler ve bir web sitesi arasındaki bağlantılar için şifrelenmemiş oturum kimlikleri içeriyorsa kimlikler çalınabilir. Bilgisayar korsanları, siteye ve kullanıcılarının hesaplarına hızla yetkisiz erişim elde etmek için geçerli kimliği veya belirteci kullanabilir.

Oturumun Yandan Korunması

Saldırgan, kullanıcılar bir sitede oturum açarken oturum çerezlerini engellemek için paket koklamayı kullanabilir. Oturum açma sayfaları şifrelenmemişse veya zayıf şifreleme kullanılıyorsa, bir siber suçlu bu şekilde kullanıcı oturumlarını kolayca ele geçirebilir.

Tarayıcıdaki Adam

Bu saldırıda, saldırganın öncelikle kurbanın bilgisayarına veya tarayıcısına kötü amaçlı yazılım bulaştırması gerekir.

Bu kötü amaçlı yazılım, tarayıcı işlem bilgilerini görünmez bir şekilde değiştirebilir ve kullanıcı farkında olmadan işlemler oluşturabilir. Bozuk tarayıcının istekleri, kurbanın fiziksel cihazı tarafından başlatılır, dolayısıyla geçerli oldukları varsayılır.

Siteler Arası Komut Dosyası Çalıştırma

Bir siber suçlu, bir sitenin web sayfalarına rastgele kod eklemek için uygulama veya sunucu güvenlik açıklarından yararlanabilir. Bu, güvenliği ihlal edilmiş bir sayfa yüklendiğinde ziyaretçilerin tarayıcılarının bu kodu yürütmesine neden olur.

Oturum çerezlerinde yalnızca HTTP ayarlanmadığında, enjekte edilen kod aracılığıyla bir oturum anahtarının çalınması mümkündür. Bu, saldırganlara bir kullanıcı oturumunu ele geçirmek için ihtiyaç duydukları her şeyi verir.

Oturum Sabitleme

Bu, henüz kimliği doğrulanmamış geçerli bir oturum kimliği kullanır. Saldırgan, oturum sabitlemeyi kullanarak bir kullanıcıyı bu belirli kimlikle kimlik doğrulaması yapması için kandırmaya çalışır.

Kimlik doğrulama gerçekleştiğinde, bir saldırgan artık kurbanın bilgisayarına tam erişime sahip olur.

Oturum sabitleme, web uygulamasının bir oturum kimliğini yönetme biçimindeki büyük bir sınırlamayı araştırır.

Bir Hacker Oturumu Ele Geçirmekten Ne Kazanır?

Bir bilgisayar korsanı bir oturumu ele geçirdiğinde, meşru bir kullanıcının o etkin oturumda yapmaya yetkili olduğu her şeyi yapabilir.

En etkili - ve zarar verici - oturum ele geçirme aşağıdakilerle sonuçlanabilir:

• Ele geçirilen banka hesapları
• Yetkisiz çevrimiçi ürün satın alma işlemleri
• Kimlik Hırsızı
• Dahili şirket sistemlerinden veri hırsızlığı

İyi değil! Başarılı bir oturum kaçırma oturumu çok fazla zarar verebilir.

Bazı Oturum Ele Geçirme Örnekleri Nelerdir?

2012 sonbaharında, Juliano Rizzo ve Thai Duong adlı iki güvenlik araştırmacısı, bir yan kanal olarak TLS isteklerinin sıkıştırma oranındaki bir bilgi sızıntısından yararlanan bir saldırı olan CRIME'ı duyurdu. Bu, istemci tarafından sunucuya yapılan isteklerin şifresini çözmelerini sağladı.

Buna karşılık, bu, bir kullanıcının oturum açma çerezini almalarına ve oturumu ele geçirmelerine, onları e-ticaret siteleri ve bankalar gibi yüksek değerli çevrimiçi hedeflerde taklit etmelerine izin verdi.

Bu gösteri, bir bilgisayar korsanının bir HTTP isteğinin başlıklarını kurtarmak için bu tür bir saldırıyı nasıl yürütebileceğini gösterdi.

CRIME, kaba kuvvet kullanarak kimliği doğrulanmış kullanıcıları hatırlamak için web siteleri tarafından ayarlanan HTTPS tanımlama bilgilerinin şifresini çözmek için çalışır. Saldırı kodu, kurbanın tarayıcısını hedeflenen bir web sitesine özel olarak hazırlanmış HTTPS istekleri göndermeye zorlar ve kurbanın oturum çerezinin değerini belirlemek için sıkıştırıldıktan sonra uzunluklarındaki değişimi analiz eder. Bu mümkündür çünkü SSL/TLS, yukarıda gördüğümüz gibi yinelenen dizeleri ortadan kaldıran DEFLATE adlı bir sıkıştırma algoritması kullanır.

Saldırı kodu, tarayıcıdaki güvenlik mekanizmaları nedeniyle isteklerde yer alan oturum çerezini okuyamaz. Ancak, her yeni isteğin yolunu kontrol edebilir ve çerezin değerini eşleştirmek için farklı dizeler ekleyebilir.

Oturum tanımlama bilgisi değerleri çok uzun olabilir. Büyük ve küçük harflerden ve rakamlardan oluşurlar.

Sonuç olarak, CRIME saldırı kodunun şifresini çözmek için çok sayıda istek başlatması gerekir ve bu işlem birkaç dakika sürebilir.

Oturum Ele Geçirme Önleme

Saldırganların, güvenli olmayan bir şekilde iletildiklerinde veya depolandıklarında oturum kimliklerini (veya hassas olan diğer çerez değerlerini) çalabileceğini ve yeniden kullanabileceğini unutmamak önemlidir. %100 koruma bir garanti olmasa da, şifreleme kullanmak büyük bir savunmadır.

Kullanıcılar kimlik doğrulaması yaptığında, SSL ve güvenli çerezlerin zorunlu olması gerekir. Kimliği doğrulanmış kullanıcılar birden fazla güvenli sayfayı ziyaret ettiğinde, HTTPS kullanmaya zorlanmaları gerekir.

Bunun ötesinde, WordPress site sahiplerinin oturum ele geçirme koruması için iThemes Security Pro WordPress güvenlik eklentisini kullanmaları gerekir. iThemes Security Pro'da yerleşik olarak bulunan Güvenilir Cihazlar özelliği, sitenizi bu tehlikeli saldırıdan korumaya yardımcı olmak için günde 24 saat, haftada yedi gün çalışacaktır. Sitenizin kullanıcıları için nasıl ayarlayacağınızı öğrenin.

Oturum Ele Geçirmeyi Anlama ve Önleme

Bu kılavuzdaki bilgilerle, WordPress sitenizi oturumların ele geçirilmesine karşı korumak için ihtiyacınız olan her şeyi biliyorsunuz:

1. Sitenizin SSL kullanılarak tamamen şifrelendiğinden ve kullanıcıları HTTPS'de kalmaya zorlayacağından emin olun.
2. iThemes Security Pro eklentisini indirip yükleyin.

Bu basit adımları atarak, sitenizi oturum hırsızlığına karşı koruyacaksınız.

WordPress'i Korumak ve Korumak için En İyi WordPress Güvenlik Eklentisi

WordPress şu anda tüm web sitelerinin %40'ından fazlasına güç veriyor, bu nedenle kötü niyetli bilgisayar korsanları için kolay bir hedef haline geldi. iThemes Security Pro eklentisi, WordPress web sitenizi güvenli hale getirmeyi ve korumayı kolaylaştırmak için WordPress güvenliğinin varsayımlarını ortadan kaldırır. Bu, WordPress sitenizi sizin için sürekli izleyen ve koruyan tam zamanlı bir güvenlik uzmanına sahip olmak gibidir.

iThemes Security Pro'yu edinin

Dan Knauss

Dan Knauss, StellarWP'nin Teknik İçerik Genel Sorumlusudur. 1990'ların sonlarından beri açık kaynakta ve 2004'ten beri WordPress ile çalışan bir yazar, öğretmen ve serbest çalışan.