Siber Güvenlik

Same Site Scripting ve DNS Misconfiguration

9.07.2021 0 Yorum 107 Beğeni

Açık alan bağlantılarında istismar edilemeyen bir DNS yapılandırılması hatası olsa da yerel ağda kurumlara göre tehdit unsuru olabilen bir açıktır.

İnternette bir siteye giriş yapmak istediğinizde herkesin bildiği üzere iletişim IP adresleri üzerinden gerçekleşir. DNS (Domain Name System – Alan Adı Sistemi) sunucuları üzerinden tarayıcıdan sorgulamak istediğiniz alan adı IP adreslerine dönüştürülür. OSI standartlarına göre Application Layer’da (Uygulama Katmanı) çalışır. HTTP ile aralarında bir bağ yoktur. DNS, alan adını IP adresine dönüştürdükten sonra tarayıcı IP adresine TCP bağlantısını başlatır ve bu oturum üzerinden HTTP protokolü başlar. Sonrasında site tarayıcınızda gösterilir.

DNS yapılandırmasındaki hata ise şu şekilde işler: Örneğin gitmek istediğiniz xyz.com alan adlı sitenin gerçek IP adresi 123.456.78.90 olsun. Ancak sorgu sırasında DNS sunucusu yanıtı 105.1.51.81 şeklinde geri çevirirse tarayıcınız 105.1.51.81 adresini önünüze getirir. 105.1.51.81 adresi de kötü niyetli bir site barındırıyor olabilir. Burada yapılan DNS hatasını ancak TLS sertifikaları önler. Alan adı sağlayıcınızdan sertifikaladığınız xyz.com alan adı eğer 105.1.51.81 IP adresinin anahtarı ile uyuşmuyorsa 403 Refused hatası alırsınız.

DNS yapılandırmasındaki en hassas konu web sitenizin alan adının doğru IP adresi ile eşleşmesidir. Yanlış yapılandırmalar güvenlik açıklarını meydana getirir. Same Site Scripting açıkları DNS kayıtlarınızda yaptığınız bir hatadan meydana gelmektedir. DNS kayıtlarına eklenen aşağıdaki A kaydı sistemdeki açığı tetikleyecektir:

localhost.xyz.com. IN A 127.0.0.1

localhost.xyx.com.” kaydında sona konulan “.” kaydın tamamlandığını gösterir. Bu kayıt sayesinde tarayıcınız belli hatalardan dolayı “host” kayıtlarına bakmadığı zamanlarda istemcinizin NS sunucularına ilgili siteyi çözümlemesi için sorgu gönderir. Ancak ilgili kaydın sonuna nokta koymadığınız zaman kayıt tamamlanmaz ve sitenizin ana makinesine Loopback adresi (127.0.0.1) atarsınız. İlgili kayıt tamamlanmadığında da “localhost.xyz.com” adresi çözümlenebilir hale gelecektir. Loopback adresine (127.0.0.1) bağlanmaya çalıştığınız zaman makine size cevap verecektir. Eğer sitenizi barındıran sunucuların Localhost adresinde bir yazılım çalışıyorsa localhost.xyz.com adresini ziyaretinizde hizmete yönlendirileceksiniz. Bu da “Same Site Scripting” adlı güvenlik açığına sebep olacaktır.

Saldırgan paylaşılan sistemin bir parçası olduğunda sistemi dinler ve aynı XSS açıklarında olduğu gibi kurbanı localhost’ta herhangi bir kaynağa yönlendirir. Kaynak kurban tarafından görüntülenemezse bile saldırgan localhost’a giden istekleri depolar.

 

Kaynaklar:

1-      https://www.geeksforgeeks.org/same-site-scripting/

2-      https://www.securityfocus.com/archive/1/486606/30/0/threaded

3-      https://serverfault.com/questions/120769/localhost-in-a-dns-zone

(Bu yazıya şu şekilde atıf yapınız: Same Site Scripting ve DNS Misconfiguration, Mehmet Bahadır Savaş, 09.07.2021)


Beğen
Bilgi paylaştıkça çoğalır. Yazımızı paylaşmak ister misiniz?

Buffer Digg Email Facebook Google LinkedIn Pinterest Print Reddit StumbleUpon Tumblr Twitter VK Yummly

0 Yorum

Yorum Bulunamadı

Yorum Bırakın - E-Posta Adresiniz Yayınlanmayacaktır


SİZİ DİNLİYORUZ

Formumuzu Doldurun

En Kısa Sürede İletişime Geçelim

5+2 = ?