Kod Enjeksiyonu

[bullvar_katip]

Kod enjeksiyonu, geçersiz verilerin işlenmesinden kaynaklanan bilgisayar hatasından yararlanmadır. Enjeksiyon, saldırgan tarafından savunmasız bir bilgisayar programına kod enjekte etmek ve yürütmenin seyrini değiştirmek için kullanılır. Başarılı kod eklemenin sonucu felaket olabilir. Örneğin, bilgisayar virüslerinin ya da solucanların yayılmasına izin verilebilir. Uygulama yorumlayıcıya güvensiz veri gönderdiğinde kod güvenlik açıkları oluşur. Enjeksiyon kusurları sıklıkla SQL, LDAP, XPath, NoSQL sorgularında, işletim sistemi komutlarında, XML ayrıştırıcılarında, SMTP başlıklarında, program değişkenlerinde bulunur. Enjeksiyon kusurları kaynak kodu inceleme ile testten daha kolay bir şekilde keşfedilme eğilimindedir. Tarayıcılar ve fuzzer’lar kod enjeksiyonunun bulunmasında yardımcı olabilir. Enjeksiyon, veri kaybına veya bozulmasına, hesap verilebilirliğin olmamasına veya erişimin engellenmesine sebep olabilir. Enjeksiyon bazen ana bilgisayarın tamamen devralınmasına sebep olabilir. Kod enjeksiyonu belirli türleri, kullanıcı girdisine özel anlam veren yorumlama hatalarıdır. Benzer yorumlama hataları, komedi rutini Who’s on First gibi bilgisayar bilimi dünyasının dışında da bulunmaktadır. Rutin olarak, özel isimleri normal sözcüklerden ayırt etmede bir başarısızlık vardır. Kod enjeksiyon teknikleri, bilgi elde etmek için, ayrıcalık yükseltmek veya bir sisteme yetkisiz erişim elde etmek için sistem saldırıları ve kırma işlemlerinde popülerdir. Kod enjeksiyonu, aşağıdakiler de dahil olmak üzere birkaç amaç için kötü niyetli olarak kullanılabilir: SQL enjeksiyonu yoluyla bir veritabanındaki değerleri keyfi olarak değiştirme. Bunu etkisi, web sitesi silinmesinden hassas verilerin ciddi şekilde tehlikeye atılmasına kadar değişebilir. Sunucu komut dosyası kodunu (PHP veya ASP) gibi ekleme yapılarak bir sunucuya kötü niyetli yazılım yüklemek veya çalıştırmak. Microsoft Windows üzerindeki bir servisi kullanarak yerel sistemi veya UNIX üzerindeki setuid kök ikilisi içerisindeki Shell enjeksiyon güvenlik açıklarını kullanarak ayrıcalık yükseltmek. Web kullanıcılarına HTML/komut dosyası ekleme. (Siteler arası komut dosyası ekleme). Kayıtlardaki en yüksek yıl olan 2008’de bildirilen tüm güvenlik açıklarının %5.66’sı kod enjeksiyonu olarak sınıflandırılmıştır. 2015’te bu oran %0.77’ye düşmüştür. İyi huylu ve kasıtsız kullanım Kod enjeksiyonu iyi niyetle kullanılabilir, örneğin bir programın ya da sistemin davranışını kod enjeksiyonu yoluyla değiştirme ya da ince ayar yapmak, sistemin herhangi bir kötü niyeti olmaksızın belirli bir şekilde davranmasına sebep olabilir. Örneğin kod yerleştirme, Arama sonuçları sayfasının orijinal tasarımında görünmeyen kullanışlı yeni bir sütun eklemek. Orijinal tasarımın varsayılan işlevlerinde gösterilmeyen bir alanı kullanarak verileri filtreleme, sıralama veya gruplama için yeni bir yol önermek. Dropbox gibi programlarla ilgili olarak, çevrimdışı bir programda çevrimiçi kaynaklara bağlanmak için kullanılabilecek özel parçalar eklemek. Belirli bir libc fonksiyonuyla aynı ada sahip bir işlev tanımlayarak bu işlevi bir kütüphane olarak bağlamak ve libc fonksiyonunun kullanımını geçersiz kılmak için Linux Dinamik Bağlayıcı kullanmak. Bazı kullanıcılar şüphesizce kod enjeksiyonu gerçekleştirebilir çünkü programa sağladıkları girdi, sistemi ilk geliştirenler tarafından dikkate alınmazdı. Örneğin: Kullanıcının geçerli bir girdi olarak kabul edebileceği şey, geliştirici tarafından özel bir anlamı olması için ayrılmış belirteç karakteri ya da karakter dizeleri içerebilir. (Belki “Shannon & Jason” için “&” karakteri ya da “Bob ‘Slugger’ McCracken” içerisindeki tırnak işareti) Kullanıcı tek bir uygulamada incelikle işlenmiş ancak alıcı sistem için zararlı olan hatalı biçimlendirilmiş bir dosyayı girdi olarak gönderebilir. Kod enjeksiyonunda bir başka iyi niyetli kullanım ise bu kusurları düzeltmek amacıyla enjeksiyon kusurlarının keşfedilmesi olabilir. Bu beyaz şapka sızma testi olarak bilinir. Sorunları önleme Kod enjeksiyonu problemlerini önlemek için, güvenli giriş ve çıkış işlemleri kullanılır. Örneğin: API kullanmak. Doğru kullanılırsa tüm giriş karakterlerine karşı güvenlidir. Parametreli sorgular (“Derlenmiş Sorgular”, “Hazırlanmış İfadeler”, “Bağlı Değişkenler” olarak da bilinir.) kullanıcı verilerinin yorumlanacak dize dışına taşınmasına izin verir. Ek olarak Criteria API ve benzeri API’lar, oluşturulan ve yorumlanan komut dizilerinden uzaklaşır. Statik tür sistemi aracılığıyla dil ayrımını zorlamak. Yalnızca bilinen iyi değerlerin beyaz listeye alınması gibi girdi doğrulaması, örneğin Javascript kullanılarak istemci tarafında yapılabilir ya da daha güvenli olan sunucu tarafında yapılabilir. Giriş kodlaması (Tehlikeli karakterlerden kaçınmak). Örneğin PHP’de “htmlspecialchars” HTML’deki metnin güvenli çıktısı için özel karakterlerden kaçınmak ve “mysqli::real_escape_string” SQL enjeksiyona karşı koruma sağlamak için bir SQL isteğine dahil edilecek verileri izole etme fonksiyonunu kullanmak. Çıktı kodlaması yani web sitesi ziyaretçilerine yönelik HTML Enjeksiyon (XSS) saldırısını önleme. “HttpOnly”, HTTP çerezleri için bir bayraktır ve ayarlandığı zaman, çerezler ile sunucu/istemci etkileşimine izin vermez. Böylece belirli XSS saldırıları önlenir. Kernel’den modüler kabul ayırma. SQL enjeksiyon ile sorunları azaltmaya yardımcı olmak için parametreli sorgular, saklı prosedürler, beyaz liste giriş doğrulaması ve daha fazlası kullanılabilir. Yukarıda listelenen çözümler, öncelikle web tabanlı HTML veya komut dosyası kodunun bir sunucu tarafı uygulamasına eklenmesiyle ilgilidir. Bununla beraber kullanıcı makinesi üzerindeki kullanıcı kodunun enjeksiyonu ile uğraşırken, ayrıcalık yükseltme saldırılarına neden olan başka yaklaşımlar da alınmalıdır. Yönetilen ve yönetilemeyen kod enjeksiyonlarını algılamak ve izole etmek için kullanılan bazı yaklaşımlar vardır: Çalışma zamanı görüntü özet (hash) doğrulaması: Bellek içerisindeki çalıştırılabilir dosyanın bir bölümünün ya da tamamının görüntü özetinin yakalanması ve saklanan ile beklenen özetlerin karşılaştırılması. NX Bit: Tüm kullanıcı verileri, çalıştırılamaz olarak işaretli özel bellek bölgelerinde saklanır. İşlemci, belleğin o bölümünde hiç kod olmadığını anlar ve orada bulunan herhangi bir şeyi çalıştırmayı reddeder. Kanaryalar (Canaries): Değerlerin rastgele bellek alanlarına yerleştirilmesi. Çalışma zamanında, bir fonksiyon döndüğü zaman, bir kanarya kontrol edilir. Kanarya değiştirilmişse, program çalışmayı durdurur ve çıkış yapar. Bu yığın taşması saldırısında oluşur. (C dilinde) Kod İşaretçi (Pointer) Maskeleme (CPM): (Potansiyel olarak değiştirilmiş) bir kod işaretçisini bir kayıt defterine yükledikten sonra işaretçiye bit maskesi uygulanır. Bu işaretçinin gösterdiği adresleri etkili bir şekilde kısıtlar. Örnekler SQL enjeksiyonu SQL enjeksiyonu, bir veritabanını okuyabilen, değiştirebilen veya orijinal sorgunun anlamından taviz verebilen komutları enjekte etmek için SQL sözdiziminden yararlanır. Örneğin, kullanıcıların kullanıcı adı ve parola girmesi için 2 alanı bulunan bir web sayfası varsayın. Sayfanın arkasındaki kod, kullanıcıların isim listesine göre parolayı kontrol etmek için bir SQL sorgusu oluşturacaktır:Eğer sorgu bir satır dönerse erişime izin verilir. Ancak, kötü niyetli bir kullanıcı geçerli bir kullanıcı adı girerse ve parola alanına geçerli bir kod eklerse ortaya çıkan sorgu şu şekilde görünür:Yukarıdaki örnekte, parolanın boş ya da zararsız bir karakter dizisi olduğu varsayılır. "" daima doğru olacaktır ve çok sayıda satır dönecek, bu sayede erişime izin verilecektir. Bu teknik, birden çok ifadenin çalışmasına izin verecek, hatta harici programları yükleyip çalıştıracak şekilde iyileştirilebilir. Aşağıdaki formatta bir sorgu varsayılır:Bir saldırgan aşağıdaki girdilere sahipse: sorgu şu şekilde ayrıştırılacaktır:Sonuç olarak “User” tablosu veritabanından kaldırılacaktır. Bunun nedeni, “ ; ” sembolü bir komutun sonunu ve yenisinin başlangıcını gösterir. “ -- ” bir yorumun başlangıcını gösterir. Kod enjeksiyonu, bir uygulamaya kötü amaçlı yazılımın eklenmesidir. Bazı web sunucularında, kullanıcılardan gelen küçük mesajları kabul eden ve genellikle aşağıdaki gibi mesajları alan bir ziyaretçi defteri komut dizisi (script) içerir: Ancak kötü niyetli bir kişi, ziyaretçi defterindeki kod enjeksiyon açıklarını bilebilir ve aşağıdai gibi bir mesaj girer:Başka bir kullanıcı sayfayı görüntülerse enjekte edilen kod yürütülür. Bu kod, saldırganın başka bir kullanıcının yerine geçmesine izin verir. Fakat aynı yazılım hatası, web sitesinin hatalı HTML kodu görüntülenmesine neden olacak şekilde iyi niyetli bir kullanıcı tarafından yanlışlıkla tetiklenebilir. HTML ve komut dizisi enjeksiyonu, yaygın olarak “siteler arası komut dosyası çalıştırma” veya “XSS” olarak adlandırılan popüler bir konudur. XSS, kullanıcı girişinin, HTML kodu veya komut dosyası için kontrol edilmeden çıktı HTML koduna bu satırların yerleştirildiği bir enjeksiyon kusurunu ifade eder. Bu problemlerin çoğu, hangi girdi verilerinin mümkün olduğuna dair hatalı varsayımlara ve özel verilerin etkileriyle ilgilidir. Dinamik değerlendirme güvenlik açıkları Bir saldırgan fonksiyon çağrısına verilen girdi karakter dizisinin bir kısmını ya da tamamını kontrol ettiği zaman, enjeksiyon güvenlik açığı oluşur.“ eval ” parametresi PHP gibi işlenecek, böylece ek komutlar eklenebilir olacaktır. Örneğin, “ arg ” değeri "" olarak ayarlanırsa sunucu üzerinde "" dizininde bir program ek olarak çalıştırılır. Nesne enjeksiyonu PHP, tüm nesnelerin serileştirilmesine ve serileştirmenin kaldırılmasına izin verir. Seri durumdan çıkarma fonksiyonunda güvenilmeyen girdilere izin verilirse, programdaki mevcut sınıfların üzerine yazmak ve kötü niyetli saldırılar çalıştırmak mümkün olacaktır. Bunun gibi bir saldırıyı 2013 yılında Joomla’da bulunmuştur. Uzaktan dosya enjeksiyonu İstek mesajı içeren bir PHP programı varsayalım:Bu örnek sadece “blue.php” ve “red.php” gibi okunabilir renk dosyalarını yükleyebilirken, saldırganlar harici bir dosya yüklemeyi ile sağlayabilirler. Format belirteci enjeksiyonu Format dizisi hataları, en yaygın olarak, bir programcının kullanıcı tarafından girilen bir karakter dizisini yazdırmak istediği zaman ortaya çıkar. Programcı yanlışlıkla yerine yazabilir. İlk versiyonda buffer bir karakter dizisi formatında yorumlanır ve içerdiği herhangi bir formattaki komutları çözümler. İkinci versiyonda buffer ekrana programcının amacına uygun basitçe karakter dizisi yazdırır. Şifreyi yerel “password” karakter dizisinde tutan kısa bir C programı düşünelim. Bu program kullanıcıdan bir tam sayı ve bir karakter dizisi ister. Sonra kullanıcının sağladığı karakter dizisini dışarıya tekrarlar.Kullanıcı gibi format belirteçleri kullanarak girdisini doldurursa komutu yığın (stack)’dan okumaya başlayacaktır. Sonunda, %s format belirteçlerinden biri yığın üzerinde bulunan adresine erişecektir ve ekrana yazdırır. Kabuk enjeksiyonu Kabuk (Shell) enjeksiyonu (komut enjeksiyonu) Unix kabuklarından sonra adlandırılır, ancak yazılımın programlı olarak komut satırından çalışmasına izin verilen çoğu sistemde uygulanabilir. Örneğin savunmasız komut dizisi:Yukarıdakiler çalıştırılabilir dosyası içerisine saklanırsa, kabuk komutu ile argümanı sabit olanla karşılaştırmak yerine enjekte edilen kabuk komutunu çalıştırmayı deneyecektir. Burada saldırı altındaki kod, parametreyi kontrol etmeye çalışan koddur, yani bir saldırıya karşı savunmak için parametreyi doğruılamaya çalışan koddur. Bir kabuk komutu oluşturma ve çalıştırmak için kullanılabilecek herhangi bir fonksiyon, bir kabuk enjeksiyon saldırısı başlatmak için potansiyel bir araçtır. Bunlar arasında , ve vardır. Web sunucuları ile web tarayıcıları etkileşimi gibi sunucu-istemci sistemleri, kabul enjeksiyonuna karşı potansiyel olarak savunmasızdır. Kullanıcının gönderdiği bir kelimeyi başka bir kelimeyle değiştirmek için çağrılan harici programını çalıştırmak amacıyla bir web sunucusunda çalıştırılabilen aşağıdaki kısa PHP programını düşünelim.Yukarıda oluşturulan bir kabuk komutu olan sonra web sunucusu tarafında yürütülür. Oluşturduğu komutun bir kısmı web tarayıcısı tarafından sağlanan URL’den alındığından, bu ’in kötü amaçlı kabuk komutları enjekte etmesine izin verir. Çeşitli kabuk özelliklerinin söz diziminden yararlanılarak bu programa kod enjekte edilebilir (bu liste ayrıntılı değildir): Bazı diller kabuk komutlarını oluşturmak için doğru bir şekilde kaçılan ya da alıntı yapılan karakter dizileri için fonksiyonlar önerir: PHP: ve Python: Ancak bu durum programcılara bu fonksiyonları bilme/öğrenme ve kabuk komutlarını her kullandıklarında bunlardan yararlanmayı hatırlama görevi yükler. Bu fonksiyonların kullanılmasına ek olarak kullanıcı girdisinin doğrulanması ve steril hale getirilmesi önerilir. Daha güvenli bir alternatif ise harici programları bir kabul yerine doğrudan çalıştıran API’lar kullanmaktır, böylece kabuk enjeksiyonunun olma ihtimalini önler. Ancak, bu API’lar kabuğun kolaylık sağlayan çeşitli özelliklerini destekleme eğiliminde değildirler ve/veya kısa kabuk sözdizimlerine kıyasla daha hantal/ayrıntılı olma eğilimindedir. Ayrıca bakınız arabellek taşması hata ayıklama SQL enjeksiyonu Truva atı (bilgisayar) Kaynakça Dış bağlantılar Makale "Three Ways to Inject Your Code into Another Process", Robert Kuster Makale "Inject your code to a Portable Executable file", A. Danehkar Makale "Injective Code inside Import Table", A. Danehkar Makale "Defending against Injection Attacks through Context-Sensitive String Evaluation (CSSE)" by Tadeusz Pietraszek and Chris Vanden Berghe Yeni makale "Flux spreads wider" - Güvenlik duvarından algılanmayı önlemek için kod enjeksiyonu kullanan ilk Truva atı The Daily WTF - Yazılımda kod enjeksiyonuna karşı gerçek dünyadaki duyarlılık olaylarını düzenli olarak raporlar. Kategori:Makine dili Kategori:Trojan Kategori:SQL Kategori:XSS Kategori:Truva atı