fbpx
Back to Blog
4 Karmaşık API Saldırısı
Category: Genel Tags: , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , Post Date: 29 October 2021

4 Karmaşık API Saldırısı

Önceki yazımızda API’ların nasıl hacklendiğinden bahsetmiş, API’ların 8 zayıf noktasını detaylıca açıklamıştık. Şimdi ise sırada API saldırılarının derinine inmeye geldi. Bu yazımızda sizler için 4 adet API saldırısı örneği derledik. İşte 4 Karmaşık API Saldırısı!

4 Karmaşık API Saldırısı

4 Karmaşık API Saldırısı

4 Karmaşık API Saldırısı

1. XML harici varlık saldırısı 

XML harici varlık saldırıları son yıllarda adını sıkça duyduğumuz saldırı türlerinden biri. Aslında XML harici varlıklara kısaca XXE de deniyor.

XML Harici Varlık saldırısı, XML girdilerini ayrıştıran uygulamalara karşı gerçekleşiyor. Bu tip saldırılar, eksik yapılandırılmış bir XML ayrıştırıcısının harici bir varlığa referans içeren bir XML girdisini işlemesiyle meydana geliyor. XXE saldırıları, API kullanılarak XML veri işlemesi yapılan her yerde gerçekleşebilir. XML tabanlı oldukları için  genellikle SOAP API’ları XXE saldırılarına karşı da oldukça savunmasızdır. Hackerlar API’lara belirtilen tanımın dışında özel harici varlıklar enjekte edebilir. Bu harici varlıklar API tarafından ayrıştırılır, sonrasında hackerlar uygulamanın dahili dosyalarına erişebilir, hassas bilgileri kontrol edebilir veya bir sunucuya DOS sızdırabilir. Bu saldırıyı önlemek istiyorsanız XML ayrıştırıcınızı XML varlıklarını ayrıştırmayacak şekilde ayarladığınızdan emin olun.

2. İçerik Değiştirme

JSON kullanan API’larda bile temel sunucu/çerçevede XML gibi diğer veri formatları kullanılıyor olabilir. Bu nedenle hackerlar JSON içerikli bir API gördüğünde, içerik türünü XML’e çevirerek bir XML harici varlık saldırısı yapabilir. Hackerlar bu tip saldırıları ancak birden çok veri formatını kabul etmek üzere tasarlanmış API’lara karşı düzenleyebilir. Bu çerçevelerde genellikle mevcut biçimleri beyaz listeye alma seçeneği bulunur. Fakat bu saldırıların günümüzde oldukça az yaşandığını da belirtmeliyiz.

3. CSRF Saldırıları

Farklı API’lar genellikle farklı HTTP yöntemlerinden yararlanır. Bu yöntemlerden en sık kullanılanları GET, POST, PATCH, DELETE ve OPTIONS yöntemleridir. XSRF ya da CSRF (Siteler Arası İstek Sahteciliği) saldırısı da bu API’ları hedef alan kötü niyetli bir saldırı türüdür. Bu tip saldırılarda hackerlar  API’lara kullandıkları yöntemden farklı bir HTTP isteği gönderir. Örneğin PATCH isteği bekleyen bir API’a POST isteği gönderirler. Bu da uygulamanın beklenmedik tepkiler vermesine neden olabilir. Bu tepkiler sonucu, hackerlar kurbanın kişisel bilgilerini değiştirebilir, hatta kurbanın parolasını değiştirip hesabı tamamen ele geçirebilir. Bunu engellemek için HTTP komutlarını manuel olarak girin. Gereksiz yere komut kullanmayın ve tüm komutlar için uygulamadığınız kontrollerin aynı olduğundan emin olun. 

4. Enjeksiyon Saldırıları 

SQL enjeksiyonu, sunucu tarafı istek sahteciliği gibi sunucuyla alakalı enjeksiyon saldırıları, rastgele kod yürütme, komut enjeksiyonu gibi saldırılar son yıllarda oldukça arttı. Bu tip sunucu kaynaklı saldırılar normal web uygulamaları kadar API’ları da ilgilendiriyor. Hackerların bu saldırılarda enjekte ettiği herhangi bir veri doğrudan arka uçtaki yorumlayıcıya iletiliyor. Bu şekilde hacker dahili verilere erişebiliyor veya rastgele kod yürütmek için ihtiyaç duyduğu sorguları ve komutları gönderebiliyor. Arka uç yorumlayıcıları verileri düzgün bir şekilde doğrulamadığı takdirde hackerlar bunu kolayca yapabilir. Buna ek olarak istekteki veriler yanlış doğrulanmışsa, SQL enjeksiyonu saldırısı da meydana gelebilir. Çünkü yorumlayıcı istekleri düzgün bir şekilde doğrulamadığında, veritabanında bir zaman gecikmesi yaşanır, bu da hassas verileri sızdıran bir SQL enjeksiyonuna yol açabilir. 

API’ları ilgilendiren enjeksiyon saldırılarını engellemekle web uygulamalarındaki saldırıları engellemek hemen hemen aynıdır. Bunun için SAST/DAST tarayıcılarından da yararlanabilirsiniz. Fakat bu kalıcı bir çözüm değildir. Güvenli geliştirme uygulamalarını kullanmak SQL saldırılarını azaltmakta daha etkilidir. Mümkün olduğunca istekleri parametrelendirin, ORM’leri ve saygın kitaplıkları kullanın, kullanıcı girdisine güvenerek ilerlemeyin.

4 Karmaşık API Saldırısı: Kendinizi Nasıl Koruyabilirsiniz?

4 Karmaşık API Saldırısı

4 Karmaşık API Saldırısı

API saldırıları oldukça karmaşık ve üst düzey saldırılardır. Bu tip saldırılardan korunmak için sizin de üst düzey saldırı önleyici araçlardan yararlanmanız gerekir. Bu yüzden sizlere Tehdit İstihbaratı ve Tehdit Paylaşımı araçlarımızı öneriyoruz.

Tehdit İstihbaratı aracımız interneti tarayarak veri güvenliğinizin ihlalini ve işletmeniz için bir tehdit oluşturabilecek sinyalleri ve verileri arar. Bu şekilde olası bir saldırı durumunda müdahele sürenizi kısaltarak dolandırıcılık faaliyeti olasılığını azaltır. Tehdit Paylaşımı modülümüz ise topluluk üyelerinin toplu ağ bilgisinden yararlanarak grubun tehdit istihbaratını genişletmesini sağlar. Bu, maliyetleri düşürür ve uygulamayı hızlandırır. Tehdit Paylaşımı teknolojisi, tüm katılımcılar için bir erken uyarı ağı görevi görür.

Share this post

Back to Blog