HTTP İstek Kaçakçılığı

Okuma Süresi: 2 Dakika

HTTP İstek Kaçakçılığı

Giriş ve HTTP

Siber saldırılarında çokça kullanılan HTTP İstek Kaçakçılığı olasılık, karmaşıklık, iş etkisini son derece etkileyen bir saldırıdır.

Web servisleri, gelen HTTP isteklerini tek bir bağlantı üzerinden yönetebilmek için yük dengeleyicilere (Load Balancer) içerik dağıtım networklerine (CDN) veya ters Proxy’lere güvenmektedir. İstek kaçakçılığı, ön uç sunucuların (Proxy) ve arka uç sunucuların birden fazla göndericiden gelen istekleri işleme biçimindeki tutarsızlıklardan dolayı saldırı gerçekleştirilen web servis saldırısıdır.

Şekil [1] :        HTTP istek kaçakçılığı işleyiş şeması

Yukarıdaki şekilden hareketle, bu saldırganın güvenlik checkpointlerini atlamasına ve site yönetimin sayfasına erişmesinde veya siteler arasında komut dosyası çalıştırması (XSS) gibi diğer saldırı tekniklerini olanak sağlamasına neden olabilir. Aslında web servis ve sunucudaki http dosyası senkronizasyon çalışmasında neden olmaktadır.

Kullanıcı sayfaya bir istek gönderdiğinde sunucu, Content-Length (CL) veya Transfer -Encoding (TE) başlıklarına başvurarak HTTP içeriğinin başlangıç ve bitişi belirler. Bu bilgiler http dosyasının <meta></meta> taglerin arasında bulunmaktadır.  Bu bilgiler her ikisi aynı http isteğinde bulunursa, yanlış bilgiler sağlayabilirler. Bu olayı önlemek için sunucu başlıklardan birisini siler. İşte tam burada, bir ön uç Proxy sunucusu  bir meta tagleri arasındaki farklı bilgiyi yok sayabilir. HTTP istek kaçakçılığı saldırıları bir istekte her iki bilgiyi ve ardından tek bir http bağlantısında birbirine bağlı olan http isteğini içerir. Ön ve Arka uçda çalışan proxyler bağlı olan her isteğin başlangıcı ve sonunu nasıl belirlediği konusunda da bir soruna neden olabilmektedir. Kötü amaçlı bir http isteğinin sonu yanlış hesaplanır, kötü amaçlı içerik bir sunucuda işlenmeden kalır.Kalan bu paket sonraki gelen isteğinin başına eklenir. Saldırgan sunucuya erişmiştir.

HTTP İstek Kaçakçılığına Karşı Korunma:

Bilişim teknolojileri uygulamaları, arka uç sunucu connectionları yeniden kullanılması gibi sistemleri http kaçakçılığına karşı savunmasız bırakabilir. Yeniden kullanımın devre dışı bırakılması ve bunun gibi ekstra yazılım kontrolleri ile devre dışı bırakılabilir. Her isteğin ayrı bir bağlantı üzerinden gönderilmesi sağlanabilirse riski büyük oranda azaltacaktır.

HTTP/2 gibi sistemlerin özellikle arka uç terminallerinde kullanılması yetkisiz isteklerin düşürülmesine yararlı olacaktır. Web uygulamaları güvenlik duvarları istek trafiğinde tutarsızlıkları belirlemeye bunların çözülmesine yardımcı olabilmektedir, fakat yeterli olmayacaktır. Hatta bu sistemleri bile ele geçirebilme olanakları olur.

HTTP İstek Kaçakçılığının Belirlenmesi

HTTP istek kaçakçılığı saldırıların tespiti , şifre çözme kullanılarak geliştirebilir. Güvenlik araçlarının TLS (Transport Layer Security) gibi yaygın şifrelenmiş ve protokoller için şifre çözeme yeteneklerinin sahip olması çok önemlidir.

Not: Önlem ve bakım yapıldığında düzenli aralıklarda bu tarz siber saldırılar engellenebilir.

Hukuk ve Bilişim Dergisi‘nin Yeni Platformunda Yeni Sayısına bağlantıdan ulaşabilirsiniz.

Erdem ECE’nin tüm yazılarını okumak için bağlantıya tıklayınız.

Kaynakça

1 : ozztech.net/siber-guvenlik/http-istek-kacakciligi/