{"id":476115,"date":"2023-08-09T07:25:33","date_gmt":"2023-08-09T07:25:33","guid":{"rendered":""},"modified":"2023-09-05T11:12:01","modified_gmt":"2023-09-05T11:12:01","slug":"broken-access-control","status":"publish","type":"wiki","link":"https:\/\/oneproxy.pro\/tr\/wiki\/broken-access-control\/","title":{"rendered":"Bozuk eri\u015fim kontrol\u00fc"},"content":{"rendered":"

Bozuk eri\u015fim kontrol\u00fc, bir uygulama veya sistemin kullan\u0131c\u0131lar\u0131n eri\u015febilece\u011fi \u015feyler \u00fczerinde uygun k\u0131s\u0131tlamalar\u0131 uygulamamas\u0131 durumunda ortaya \u00e7\u0131kan kritik bir g\u00fcvenlik a\u00e7\u0131\u011f\u0131d\u0131r. Bu g\u00fcvenlik a\u00e7\u0131\u011f\u0131, yetkisiz kullan\u0131c\u0131lar\u0131n hassas bilgilere eri\u015fmesine, izin verilmemesi gereken eylemleri ger\u00e7ekle\u015ftirmesine veya sistem i\u00e7indeki ayr\u0131cal\u0131klar\u0131n\u0131 y\u00fckseltmesine olanak tan\u0131r. Bu, ciddi sonu\u00e7lara yol a\u00e7abilecek yayg\u0131n bir g\u00fcvenlik kusurudur ve kurulu\u015flar\u0131n bu t\u00fcr sorunlar\u0131 derhal ele al\u0131p azaltmas\u0131n\u0131 zorunlu k\u0131lmaktad\u0131r.<\/p>\n

K\u0131r\u0131k Eri\u015fim Kontrol\u00fcn\u00fcn Tarih\u00e7esi ve \u0130lk S\u00f6z\u00fc<\/h2>\n

Bozuk eri\u015fim kontrol\u00fc kavram\u0131, bilgisayar sistemlerinin ilk g\u00fcnlerinden beri bir endi\u015fe kayna\u011f\u0131 olmu\u015ftur. Daha fazla uygulama ve web sitesi geli\u015ftirildik\u00e7e, uygunsuz \u015fekilde uygulanan eri\u015fim kontrolleri sorunu daha belirgin hale geldi. \u0130lk kez, en kritik web uygulamas\u0131 g\u00fcvenlik risklerini vurgulamay\u0131 ama\u00e7layan A\u00e7\u0131k Web Uygulama G\u00fcvenli\u011fi Projesi (OWASP) Top Ten Projesi'nde resmi olarak bir g\u00fcvenlik riski olarak tan\u0131mland\u0131. OWASP \u0130lk On listesinde, bozuk eri\u015fim kontrol\u00fc, uygulama g\u00fcvenli\u011fi \u00fczerindeki ciddi etkisi nedeniyle s\u00fcrekli olarak \u00fcst s\u0131ralarda yer almaktad\u0131r.<\/p>\n

K\u0131r\u0131k Eri\u015fim Kontrol\u00fc Hakk\u0131nda Detayl\u0131 Bilgi<\/h2>\n

Bozuk eri\u015fim kontrol\u00fc, kullan\u0131c\u0131lar\u0131n yaln\u0131zca kullanma yetkisine sahip olduklar\u0131 kaynaklara eri\u015febilmelerini sa\u011flayacak uygun kontroller ve do\u011frulamalar olmad\u0131\u011f\u0131nda ortaya \u00e7\u0131kar. Bu g\u00fcvenlik a\u00e7\u0131\u011f\u0131, k\u00f6t\u00fc tasarlanm\u0131\u015f eri\u015fim kontrol mekanizmalar\u0131, yanl\u0131\u015f yap\u0131land\u0131rmalar ve hatta kodlama hatalar\u0131 gibi \u00e7e\u015fitli kaynaklardan kaynaklanabilir. Bozuk eri\u015fim kontrol\u00fcn\u00fcn baz\u0131 yayg\u0131n belirtileri \u015funlard\u0131r:<\/p>\n

    \n
  1. \n

    Dikey Ayr\u0131cal\u0131k Y\u00fckseltmesi<\/strong>: Yetkisiz kullan\u0131c\u0131lar, sahip olmalar\u0131 gerekenden daha y\u00fcksek ayr\u0131cal\u0131k d\u00fczeylerine eri\u015fim elde ederek, y\u00f6neticilere veya ayr\u0131cal\u0131kl\u0131 kullan\u0131c\u0131lara ayr\u0131lm\u0131\u015f eylemleri ger\u00e7ekle\u015ftirmelerine olanak tan\u0131r.<\/p>\n<\/li>\n

  2. \n

    Yatay Ayr\u0131cal\u0131k Y\u00fckseltmesi<\/strong>: Yetkisiz kullan\u0131c\u0131lar, yaln\u0131zca benzer ayr\u0131cal\u0131klara sahip di\u011fer belirli kullan\u0131c\u0131lar\u0131n eri\u015febilmesi gereken kaynaklara eri\u015fim kazan\u0131r.<\/p>\n<\/li>\n

  3. \n

    Do\u011frudan Nesne Referanslar\u0131<\/strong>: Bir uygulama dahili nesnelere do\u011frudan referanslar kulland\u0131\u011f\u0131nda, sald\u0131rganlar eri\u015fmemeleri gereken kaynaklara eri\u015fmek i\u00e7in parametreleri de\u011fi\u015ftirebilir.<\/p>\n<\/li>\n

  4. \n

    G\u00fcvenli Olmayan Do\u011frudan Nesne Referanslar\u0131<\/strong>: Uygulama, yetkisiz kaynaklara eri\u015fmek \u00fczere sald\u0131rganlar taraf\u0131ndan do\u011frudan de\u011fi\u015ftirilebilecek URL'ler veya anahtarlar gibi dahili nesne referanslar\u0131n\u0131 a\u00e7\u0131\u011fa \u00e7\u0131kar\u0131r.<\/p>\n<\/li>\n<\/ol>\n

    K\u0131r\u0131k Eri\u015fim Kontrol\u00fcn\u00fcn \u0130\u00e7 Yap\u0131s\u0131 ve Nas\u0131l \u00c7al\u0131\u015f\u0131r?<\/h2>\n

    Bozuk eri\u015fim kontrol\u00fc, eri\u015fim kontrol mekanizmalar\u0131n\u0131n tasar\u0131m\u0131 ve uygulanmas\u0131ndaki kusurlardan kaynaklan\u0131r. Bu sistemler genellikle her kullan\u0131c\u0131n\u0131n veya grubun hangi eylemleri ger\u00e7ekle\u015ftirebilece\u011fini belirleyen bir dizi kurala ve izinlere dayan\u0131r. Bu kurallar do\u011fru \u015fekilde uygulanmad\u0131\u011f\u0131nda veya kurallarda bo\u015fluklar oldu\u011funda, sald\u0131rganlar bu zay\u0131fl\u0131klardan yararlanarak eri\u015fim kontrollerini atlayabilir.<\/p>\n

    \u00d6rne\u011fin, k\u00f6t\u00fc tasarlanm\u0131\u015f bir eri\u015fim kontrol mekanizmas\u0131, tahmin edilebilir modeller veya kolayca tahmin edilebilir parametreler kullanabilir ve sald\u0131rganlar\u0131n, URL parametrelerini veya oturum verilerini de\u011fi\u015ftirerek k\u0131s\u0131tl\u0131 kaynaklara eri\u015fmesine olanak tan\u0131yabilir. Ayr\u0131ca, uygun kimlik do\u011frulama ve yetkilendirme kontrollerinin eksikli\u011fi, hassas verilere veya idari i\u015flevlere yetkisiz eri\u015fime yol a\u00e7abilir.<\/p>\n

    K\u0131r\u0131k Eri\u015fim Kontrol\u00fcn\u00fcn Temel \u00d6zelliklerinin Analizi<\/h2>\n

    K\u0131r\u0131k eri\u015fim kontrol\u00fcn\u00fcn temel \u00f6zellikleri \u015funlar\u0131 i\u00e7erir:<\/p>\n

      \n
    1. \n

      Ayr\u0131cal\u0131k Y\u00fckseltmesi<\/strong>: Sald\u0131rganlar ayr\u0131cal\u0131klar\u0131n\u0131 ama\u00e7lanan d\u00fczeyin \u00f6tesine y\u00fckselterek hassas verilere ve i\u015flevlere yetkisiz eri\u015fim sa\u011flayabilir.<\/p>\n<\/li>\n

    2. \n

      G\u00fcvenli Olmayan Do\u011frudan Nesne Referanslar\u0131<\/strong>: Sald\u0131rganlar, yetkisiz kaynaklara do\u011frudan eri\u015fmek i\u00e7in nesne referanslar\u0131n\u0131 de\u011fi\u015ftirir.<\/p>\n<\/li>\n

    3. \n

      Yetersiz Do\u011frulama<\/strong>: Uygun giri\u015f do\u011frulamas\u0131n\u0131n olmamas\u0131, kaynaklara yetkisiz eri\u015fime yol a\u00e7abilir.<\/p>\n<\/li>\n

    4. \n

      Eri\u015fim Kontrollerini Atlamak<\/strong>: Sald\u0131rganlar, kimlik do\u011frulama ve yetkilendirme kontrollerini atlaman\u0131n yollar\u0131n\u0131 bularak k\u0131s\u0131tl\u0131 alanlara eri\u015fmelerini sa\u011flayabilir.<\/p>\n<\/li>\n<\/ol>\n

      Bozuk Eri\u015fim Kontrol\u00fc T\u00fcrleri<\/h2>\n

      Bozuk eri\u015fim kontrol\u00fc, belirli g\u00fcvenlik a\u00e7\u0131klar\u0131na ve bunlar\u0131n etkilerine ba\u011fl\u0131 olarak \u00e7e\u015fitli t\u00fcrlere ayr\u0131labilir. A\u015fa\u011f\u0131daki tabloda baz\u0131 yayg\u0131n bozuk eri\u015fim kontrol\u00fc t\u00fcrleri \u00f6zetlenmektedir:<\/p>\n\n\n\n\n\n\n\n\n\n\n
      Tip<\/th>\nTan\u0131m<\/th>\n<\/tr>\n<\/thead>\n
      Dikey Ayr\u0131cal\u0131k Y\u00fckseltmesi<\/td>\nYetkisiz kullan\u0131c\u0131lar daha y\u00fcksek ayr\u0131cal\u0131klar elde ederek sistemin tehlikeye girmesine neden olabilir.<\/td>\n<\/tr>\n
      Yatay Ayr\u0131cal\u0131k Y\u00fckseltmesi<\/td>\nYetkisiz kullan\u0131c\u0131lar, ayn\u0131 ayr\u0131cal\u0131k d\u00fczeyine sahip di\u011fer kullan\u0131c\u0131lar\u0131n kaynaklar\u0131na eri\u015febilir.<\/td>\n<\/tr>\n
      G\u00fcvenli Olmayan Do\u011frudan Nesne Referanslar\u0131<\/td>\nSald\u0131rganlar, URL'leri veya di\u011fer parametreleri de\u011fi\u015ftirerek kaynaklara do\u011frudan eri\u015fir.<\/td>\n<\/tr>\n
      Eksik \u0130\u015flev D\u00fczeyi Eri\u015fim Kontrol\u00fc<\/td>\nUygulamadaki uygunsuz kontroller, k\u0131s\u0131tlanmas\u0131 gereken i\u015flevlere veya u\u00e7 noktalara eri\u015fime izin verir.<\/td>\n<\/tr>\n
      G\u00fc\u00e7l\u00fc Tarama<\/td>\nSald\u0131rganlar, URL'leri manuel olarak olu\u015fturarak kaynaklar\u0131 numaraland\u0131r\u0131r ve bunlara eri\u015fir.<\/td>\n<\/tr>\n
      G\u00fcvenli Olmayan Yap\u0131land\u0131rma<\/td>\nZay\u0131f veya yanl\u0131\u015f yap\u0131land\u0131rma ayarlar\u0131 yetkisiz eri\u015fime yol a\u00e7ar.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

      K\u0131r\u0131k Eri\u015fim Kontrol\u00fcn\u00fc Kullanma Yollar\u0131, Sorunlar ve \u00c7\u00f6z\u00fcmler<\/h2>\n

      K\u0131r\u0131k Eri\u015fim Kontrol\u00fcn\u00fc Kullanma Yollar\u0131<\/h3>\n

      Sald\u0131rganlar bozuk eri\u015fim kontrol\u00fcnden \u00e7e\u015fitli \u015fekillerde yararlanabilirler:<\/p>\n

        \n
      1. \n

        Yetkisiz Veri Eri\u015fimi<\/strong>: Sald\u0131rganlar, korunmas\u0131 gereken hassas kullan\u0131c\u0131 verilerine, finansal bilgilere veya ki\u015fisel kay\u0131tlara eri\u015fim sa\u011flayabilir.<\/p>\n<\/li>\n

      2. \n

        Hesap Devralma<\/strong>: Sald\u0131rganlar, bozuk eri\u015fim kontrollerinden yararlanarak kullan\u0131c\u0131 hesaplar\u0131n\u0131 ele ge\u00e7irebilir ve me\u015fru kullan\u0131c\u0131lar\u0131n kimli\u011fine b\u00fcr\u00fcnebilir.<\/p>\n<\/li>\n

      3. \n

        Ayr\u0131cal\u0131k Y\u00fckseltmesi<\/strong>: Sald\u0131rganlar, y\u00f6neticilere veya ayr\u0131cal\u0131kl\u0131 kullan\u0131c\u0131lara ayr\u0131lm\u0131\u015f eylemleri ger\u00e7ekle\u015ftirmek i\u00e7in ayr\u0131cal\u0131klar\u0131n\u0131 y\u00fckseltir.<\/p>\n<\/li>\n<\/ol>\n

        Bozuk Eri\u015fim Kontrol\u00fcyle \u0130lgili Sorunlar<\/h3>\n
          \n
        1. \n

          Veri ihlalleri<\/strong>: Eri\u015fim kontrol\u00fcn\u00fcn bozulmas\u0131 veri ihlallerine yol a\u00e7arak itibar\u0131n\u0131z\u0131n zarar g\u00f6rmesine ve olas\u0131 yasal sonu\u00e7lara yol a\u00e7abilir.<\/p>\n<\/li>\n

        2. \n

          Finansal kay\u0131p<\/strong>: Bozuk eri\u015fim kontrol\u00fcnden yararlanan sald\u0131r\u0131lar, hileli i\u015flemler veya \u00fccretli hizmetlere yetkisiz eri\u015fim nedeniyle mali kay\u0131plara yol a\u00e7abilir.<\/p>\n<\/li>\n

        3. \n

          Mevzuata uygunluk<\/strong>: Bozuk eri\u015fim kontrol\u00fcn\u00fc ele alamayan kurulu\u015flar, \u00f6zellikle kat\u0131 veri koruma d\u00fczenlemelerinin oldu\u011fu sekt\u00f6rlerde uyumluluk sorunlar\u0131yla kar\u015f\u0131la\u015fabilir.<\/p>\n<\/li>\n<\/ol>\n

          K\u0131r\u0131k Eri\u015fim Kontrol\u00fcne Y\u00f6nelik \u00c7\u00f6z\u00fcmler<\/h3>\n

          Bozuk eri\u015fim kontrol\u00fcn\u00fc ele almak, web uygulamas\u0131 geli\u015ftirmeyi g\u00fcvence alt\u0131na almak i\u00e7in kapsaml\u0131 bir yakla\u015f\u0131m gerektirir:<\/p>\n

            \n
          1. \n

            G\u00fc\u00e7l\u00fc Kimlik Do\u011frulama ve Yetkilendirme Uygulay\u0131n<\/strong>: \u00c7ok fakt\u00f6rl\u00fc kimlik do\u011frulama gibi g\u00fcvenli kimlik do\u011frulama y\u00f6ntemlerini kullan\u0131n ve kullan\u0131c\u0131lar\u0131n gerekli kaynaklara eri\u015fimini s\u0131n\u0131rlamak i\u00e7in uygun yetkilendirme kontrollerini uygulay\u0131n.<\/p>\n<\/li>\n

          2. \n

            En Az Ayr\u0131cal\u0131k \u0130lkesini Uygulay\u0131n<\/strong>: Kullan\u0131c\u0131lara g\u00f6revlerini yerine getirmeleri i\u00e7in gereken minimum ayr\u0131cal\u0131k d\u00fczeyini vererek olas\u0131 ihlallerin etkisini azalt\u0131n.<\/p>\n<\/li>\n

          3. \n

            Rol Tabanl\u0131 Eri\u015fim Denetimini (RBAC) kullan\u0131n<\/strong>: \u00d6nceden tan\u0131mlanm\u0131\u015f rollere dayal\u0131 izinler atamak i\u00e7in RBAC'\u0131 kullan\u0131n, eri\u015fim y\u00f6netimini basitle\u015ftirin ve hata riskini azalt\u0131n.<\/p>\n<\/li>\n

          4. \n

            G\u00fcvenli Do\u011frudan Nesne Referanslar\u0131<\/strong>: Dahili nesne referanslar\u0131n\u0131 a\u00e7\u0131\u011fa \u00e7\u0131karmaktan ka\u00e7\u0131n\u0131n ve manip\u00fclasyonu \u00f6nlemek i\u00e7in dolayl\u0131 referanslar veya kriptografik teknikler kullan\u0131n.<\/p>\n<\/li>\n<\/ol>\n

            Ana \u00d6zellikler ve Benzer Terimlerle Kar\u015f\u0131la\u015ft\u0131rmalar<\/h2>\n\n\n\n\n\n\n\n\n\n\n
            Terim<\/th>\nTan\u0131m<\/th>\n<\/tr>\n<\/thead>\n
            Bozuk Eri\u015fim Kontrol\u00fc<\/td>\nKullan\u0131c\u0131lar\u0131n yetkilendirilmi\u015f izinlerinin \u00f6tesinde kaynaklara eri\u015febildi\u011fi bir g\u00fcvenlik a\u00e7\u0131\u011f\u0131.<\/td>\n<\/tr>\n
            G\u00fcvenli Olmayan Do\u011frudan Nesne Referanslar\u0131<\/td>\nSald\u0131rganlar\u0131n k\u0131s\u0131tl\u0131 kaynaklara eri\u015fmek i\u00e7in nesne referanslar\u0131n\u0131 de\u011fi\u015ftirdi\u011fi belirli bir bozuk eri\u015fim kontrol\u00fc t\u00fcr\u00fc.<\/td>\n<\/tr>\n
            Ayr\u0131cal\u0131k Y\u00fckseltmesi<\/td>\nGenellikle eri\u015fim kontrol\u00fcn\u00fcn bozulmas\u0131ndan kaynaklanan, ama\u00e7lanandan daha y\u00fcksek ayr\u0131cal\u0131klar elde etme eylemi.<\/td>\n<\/tr>\n
            Giri\u015f kontrolu<\/td>\nKaynaklara eri\u015fim i\u00e7in kullan\u0131c\u0131lara veya gruplara belirli izinlerin verilmesi veya reddedilmesi s\u00fcreci.<\/td>\n<\/tr>\n
            Kimlik do\u011frulama<\/td>\nKimlik bilgilerine dayal\u0131 olarak eri\u015fim izni vermek i\u00e7in kullan\u0131c\u0131lar\u0131n kimli\u011finin do\u011frulanmas\u0131.<\/td>\n<\/tr>\n
            yetki<\/td>\nKimli\u011fi do\u011frulanm\u0131\u015f kullan\u0131c\u0131lara rollerine veya niteliklerine g\u00f6re belirli ayr\u0131cal\u0131klar veya izinler vermek.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

            K\u0131r\u0131k Eri\u015fim Kontrol\u00fcyle \u0130lgili Gelece\u011fin Perspektifleri ve Teknolojileri<\/h2>\n

            Teknoloji geli\u015ftik\u00e7e bozuk eri\u015fim kontrol\u00fcyle m\u00fccadelede yeni yakla\u015f\u0131mlar ortaya \u00e7\u0131kacak. Kurulu\u015flar\u0131n, sa\u011flam bir g\u00fcvenlik sa\u011flamak i\u00e7in muhtemelen daha geli\u015fmi\u015f eri\u015fim kontrol\u00fc mekanizmalar\u0131 ve teknikleri benimsemeleri muhtemeldir:<\/p>\n

              \n
            1. \n

              S\u0131f\u0131r G\u00fcven Mimarisi<\/strong>: Eri\u015fim kontrol\u00fc kararlar\u0131n\u0131n yaln\u0131zca kullan\u0131c\u0131 kimlik do\u011frulamas\u0131na dayanmak yerine \u00e7e\u015fitli risk fakt\u00f6rlerinin ger\u00e7ek zamanl\u0131 de\u011ferlendirmelerine dayand\u0131\u011f\u0131 s\u0131f\u0131r g\u00fcven g\u00fcvenlik modelleri pop\u00fclerlik kazanacakt\u0131r.<\/p>\n<\/li>\n

            2. \n

              Biyometrik Kimlik Do\u011frulama<\/strong>: Kullan\u0131c\u0131lar\u0131 benzersiz fiziksel \u00f6zelliklere g\u00f6re do\u011frulayarak daha y\u00fcksek d\u00fczeyde g\u00fcvenlik sunarak biyometrik kimlik do\u011frulama daha yayg\u0131n hale gelebilir.<\/p>\n<\/li>\n

            3. \n

              Eri\u015fim Kontrol\u00fc i\u00e7in Makine \u00d6\u011frenimi<\/strong>: Anormal davran\u0131\u015flar\u0131 ve olas\u0131 eri\u015fim kontrol\u00fc ihlallerini tespit etmek ve \u00f6nlemek i\u00e7in makine \u00f6\u011frenimi algoritmalar\u0131 eri\u015fim kontrol sistemlerine entegre edilebilir.<\/p>\n<\/li>\n<\/ol>\n

              Proxy Sunucular\u0131 Nas\u0131l Kullan\u0131labilir veya Bozuk Eri\u015fim Kontrol\u00fcyle Nas\u0131l \u0130li\u015fkilendirilebilir?<\/h2>\n

              Proxy sunucular\u0131, istemciler ile web sitesinin arka ucu aras\u0131nda arac\u0131 g\u00f6revi g\u00f6rerek bozuk eri\u015fim kontrol\u00fc risklerini azaltmada rol oynayabilir. Proxy sunucular\u0131 eri\u015fim kontrollerini uygulayabilir ve gelen istekleri filtreleyerek tan\u0131mlanan kurallar\u0131 ihlal edenleri engelleyebilir.<\/p>\n

              Ancak, proxy sunucusunun kendisi uygun \u015fekilde yap\u0131land\u0131r\u0131lmam\u0131\u015f veya g\u00fcvenli\u011fi sa\u011flanmad\u0131ysa ek eri\u015fim kontrol\u00fc sorunlar\u0131na neden olabilir. Proxy sunucusundaki yanl\u0131\u015f yap\u0131land\u0131rmalar veya g\u00fcvenlik a\u00e7\u0131klar\u0131, sald\u0131rganlar\u0131n eri\u015fim kontrollerini atlamas\u0131na ve kaynaklara yetkisiz eri\u015fim elde etmesine olanak tan\u0131yabilir.<\/p>\n

              Web sitesi y\u00f6neticileri, istenmeyen g\u00fcvenlik a\u00e7\u0131klar\u0131n\u0131 \u00f6nlemek i\u00e7in proxy sunucusunun do\u011fru \u015fekilde uyguland\u0131\u011f\u0131ndan, uygun \u015fekilde yap\u0131land\u0131r\u0131ld\u0131\u011f\u0131ndan ve d\u00fczenli olarak bak\u0131m\u0131n\u0131n yap\u0131ld\u0131\u011f\u0131ndan emin olmal\u0131d\u0131r.<\/p>\n

              \u0130lgili Ba\u011flant\u0131lar<\/h2>\n

              K\u0131r\u0131k Eri\u015fim Kontrol\u00fc ve web uygulamas\u0131 g\u00fcvenli\u011fi hakk\u0131nda daha fazla bilgi i\u00e7in a\u015fa\u011f\u0131daki kaynaklar\u0131 faydal\u0131 bulabilirsiniz:<\/p>\n