Bug vs Vulnerability

Her bug zafiyet demek değildir.
Her zafiyet bug demek değildir.

Her bug bir zafiyet değildir. Bir bug programda bir hata olarak kalabilir ama zafiyet sunan bir yanı olmayabilir. Her zafiyet de bir bug değildir. Bir zafiyet programda bir güvenlik problemi doğurur, fakat programın çalışması noktasında hata sunan bir yanı olmayabilir. Dolayısıyla programda bug bulmak her zaman zafiyet bulmak anlamına gelemeyeceği gibi programda zafiyet bulmak da her zaman programda bug bulduk anlamına gelemeyebilir. Sonuç olarak yazılımcılar bug'sız program yaparak yazılımlarının güvenli olduğu kanısına varmamalıdır. Bug'sız bir program güvenli programdır şeklinde bir önerme yanlıştır.

Bug (arıza), kullanıcının uygulamayı sunduğu özellikler doğrultusunda çeşitli kusurları nedeniyle kullanamamasına / faydalanamamasına yol açar.

Güvenlik zafiyeti (açıklık), kullanıcının ve/veya sunucunun uygulamayı sunduğu özellikler doğrultusunda normal manada kullanabilmesi veya kullanamaması fark etmeksizin zararlı aktivitelerde bulunanların amaçlarına ulaşabilmesine yol açar.

Aşağıda uygulamada var olabilecek problem şeması (diyagramı) verilmiştir:

Aşağıda ise uygulamada bug ve/veya açıklık olup olmamasına göre var olan 4 olasılık ve örneklemeleri verilmiştir.

Olasılıklar:

“Bug teşkil etmez, ama güvenlik zafiyeti teşkil eder”,
“Bug teşkil eder, ama güvenlik zafiyeti teşkil etmez”,
“Bug teşkil eder, aynı zamanda güvenlik zafiyeti teşkil eder”,
“Bug teşkil etmez, aynı zamanda güvenlik zafiyeti teşkil etmez”.

Örnekler:

xss

// Bug teşkil etmez. Ama güvenlik zafiyeti doğurur.

- Web uygulamasındaki xss zafiyetinin varlığı arıza teşkil etmez ve uygulamanın çalışma dinamiğini bozmaz. Bir bug (yanlış / hatalı / bozuk kodlama) değildir. Ama bu güvenlik zafiyeti istismar edildiğinde her güvenlik zafiyeti istismar edildiğinde olduğu gibi uygulama ve/veya kullanıcı zarar görür.

file inclusion

// Bug teşkil etmez. Ama güvenlik zafiyeti doğurur.

- Web uygulamasındaki file inclusion zafiyetinin varlığı arıza teşkil etmez ve uygulamanın çalışma dinamiğini bozmaz. Bir bug (yanlış / hatalı / bozuk kodlama) değildir. Ama bu güvenlik zafiyeti istismar edildiğinde her güvenlik zafiyeti istismar edildiğinde olduğu gibi uygulama ve/veya kullanıcı zarar görür.

file upload

// Bug teşkil etmez. Ama güvenlik zafiyeti doğurur.

- Web uygulamasındaki file upload zafiyetinin varlığı arıza teşkil etmez ve uygulamanın çalışma dinamiğini bozmaz. Bir bug (yanlış / hatalı / bozuk kodlama) değildir. Ama bu güvenlik zafiyeti istismar edildiğinde her güvenlik zafiyeti istismar edildiğinde olduğu gibi uygulama ve/veya kullanıcı zarar görür.

command execution

// Bug teşkil etmez. Ama güvenlik zafiyeti doğurur.

- Web uygulamasındaki command execution zafiyetinin varlığı arıza teşkil etmez ve uygulamanın çalışma dinamiğini bozmaz. Bir bug (yanlış / hatalı / bozuk kodlama) değildir. Ama bu güvenlik zafiyeti istismar edildiğinde her güvenlik zafiyeti istismar edildiğinde olduğu gibi uygulama ve/veya kullanıcı zarar görür.

sqli

// Bug teşkil etmez. Ama güvenlik zafiyeti doğurur.

- Web uygulamasındaki sqli zafiyetinin varlığı arıza teşkil etmez ve uygulamanın çalışma dinamiğini bozmaz. Bir bug (yanlış / hatalı / bozuk kodlama) değildir. Ama bu güvenlik zafiyeti istismar edildiğinde her güvenlik zafiyeti istismar edildiğinde olduğu gibi uygulama ve/veya kullanıcı zarar görür.

slow http attacks

// Bug teşkil etmez. Ama güvenlik zafiyeti doğurur.

- Apache web sunucu yazılımının paralel programlama metoduyla olan programlaması dolayısıyla (paralel programlama kodlamasının zorluğu (karmaşıklığı) nedeniyle) yaşanan teknik zorluklar sonucunda çok kullanıcıya aynı anda sunduğu hizmetteki thread yönetimi servisi çözümlenemeyen bir açığa sahiptir. Bu apache sunucularda dünden bugüne devam eden kronik bir açıklıktır. Bu zafiyet uygulama ve sunduğu hizmetlerin normal kullanımda işleyişini etkilememektedir. Dolayısıyla bir arıza (//bug) değildir. Fakat suistimal edildiğinde apache sunucunun cevap veremez hale gelmesine ve servis dışı kalmasına neden olur.

ms08-067 netapi

// Bug teşkil etmez. Ama güvenlik zafiyeti doğurur.

- Windows sistemlerde yerel ağ içerisinde dosya paylaşımını sağlayan sistem kütüphanesi (.dll) içerisindeki dizin yolu genelleştirme kodunda yer alan parsing metodu normal işleyişte sorun teşkil etmediğinden bug değildir, fakat suistimal edildiğinde üzerinden zararlı aktiviteler yapılabildiğinden bir güvenlik açığıdır.

Improper Usage of + Operator in Java

// Bug teşkil eder. Ama güvenlik zafiyeti doğurmaz.

- Genellikle her programlama dilinde syntax gereği yapılan / yapılabilen yaygın kodlama hataları (bug’ları) mevcuttur. Örneğin Java dilinde yapılan yaygın hatalardan biri + operatörünün java’da iki amaç için kullanılabiliyor olmasında yatar. Birisi matematiksel açıdan, diğeri concatenation (birleştirme) açısından kullanıldığından kullanımı karıştırılabilmektedir. Örneğin 5 değerini tutan y değişkeni ile 2 değerini matematiksel olarak toplayıp ekrana basmak istersek aşağıdaki kullanım hatalı bir kullanım olur,

Java:

y = 5;

System.out.println("y + 2 = " + y + 2);	    // y + 2 = 52

ve milyonlarca satırlık yazılım içerisinde bir bug olarak yer ederek yazılımın hatalı çalışmasına neden olabilir. Matematiksel olarak kullanılacaksa şöyle kullanılması gerekecekti:

Java: (doğrusu)

y = 5;
	
System.out.println("y + 2 = " + (y + 2));	// y + 2 = 7

[ Custom Errors / Nonstandard Errors ]

Hatalı / Yanlış Girdi Kuralı

// Bug teşkil eder. Ama güvenlik zafiyeti doğurmaz.

- Örneğin; eposta textbox’ına konulan karakter seti kuralı dolayısıyla @ sembolünün koyulamaması

Hatalı / Eksik Kodlama

// Bug teşkil eder. Ama güvenlik zafiyeti doğurmaz.

- “Yazı Sil” butonuna basılmasına rağmen uygulamanın istenilen tepkiyi vermemesi

Thread Safety Bugs (e.g. Concurrency Flaw in Shopping Cart)

// Bug teşkil eder. Aynı zamanda güvenlik zafiyeti doğurur.

- Alışveriş sitesindeki thread safety bug’ı dolayısıyla eşzamanlılığın iyi çalışmaması durumunda doğabilecek müşterilerin aldığı ürünlerin farklı farklı fiyatlarda faturalandırılması (örn; çok daha pahalıya alınması) veya bug’ın varlığını fark eden kötü niyetli kişilerce vurgun yapmak bağlamında eşzamanlılık problemini exploit ederek bir çok müşteri profilinden düzinelerce ürünü çok ucuza kasıtlı olarak almak. Sonuç olarak thread safety iyi kodlanmadığı takdirde bir bug’tır, çünkü uygulama işleyişini bozmaktadır. Mağduriyetler doğurabilmektedir. Fakat aynı zamanda kötü niyetli kişilerce istismar edildiğinde bir güvenlik zafiyeti teşkil eder. Çünkü uygulama işletmecisinin kasasındaki parası gider.

NULL

// Bug teşkil etmez. Güvenlik zafiyeti teşkil etmez.

- NULL. Yani ne bug ne de zafiyet var demektir. Yani uygulama kusursuzdur.

Yararlanılan Kaynaklar

Benim Not
Java How to Program, pg. 241
https://medium.com/bugbountywriteup/security-bugs-are-fundamentally-different-than-quality-bugs-9eb8f8663089
https://hacks.mozilla.org/2019/02/fearless-security-thread-safety/
http://www.includekarabuk.com/kategoriler/webgoatuygulamasi/Ders-28---Concurrency-%3E-Shopping-Cart-Concurrency-Flaw.php
https://www.researchgate.net/figure/Classification-of-software-bugs-and-vulnerabilities_fig1_220891308

Bu yazı 16.08.2024 tarihinde, saat 20:37:54'de yazılmıştır. 16.08.2024 tarihi ve 18:34:55 saatinde ise güncellenmiştir.

Yazar : Hasan Fatih ŞİMŞEK

Görüntülenme Sayısı : 35

Yorumlar

Henüz yorum girilmemiştir.

Yorum Ekle

	#Kategoriler
	->	Genel
	->	Webgoat Uygulaması
	->	DVWA Uygulaması
	->	Çeşitli Sızma Teknikleri
	->	Güvenlik Araçları
	->	Linux Temelleri
	->	Genel Kültür (Siber Güvenlik)

#Popüler Yazılar
	->	Faz Açısını Hesaplama
	->	Hub, Switch, Router, Modem, Gateway ve Access Point Farkları
	->	Ders 12 - Ajax Security > DOM-Based cross-site scripting
	->	GET ile POST Arasındaki Fark
	->	BGA Sınav Soruları 2016

#En Son Yazılar
	->	Crypto 101 - Notlarım
	->	Vulnerability Scanner'ların Çalışma Mantığı
	->	Stagefright Virüsü Nedir
	->	Sosyal Mühendislik Saldırı Türleri
	->	Sisteminizi Shell'lerden Korumanın Yöntemleri

#Arşiv
	► 2014 ► Ekim (1) • Blog Maceram Başlar ► Kasım (7) • Parazit ve Gürültü Arasındaki Fark Nedir? • Stack ve Heap Arasındaki Fark • Sinyal Denkleminin Anlamı • Periyot ve Frekans Nedir? • Faz Açısını Hesaplama • Üniversite Öğrencilerinin Sağlık Aktivasyonu • Nesne Yönelimli Programlama Nedir ► Aralık (3) • Skype'ta Birbirimizin Sesini Nasıl Duyuyoruz? • Hub, Switch, Router, Modem, Gateway ve Access Point Farkları • Askerlikle İlgili Sorular ► 2015 ► Ocak (1) • Dev Firmaların Mülakatlarda Sorduğu 15 Çetin Soru ► Şubat (4) • Yapay Zeka İnsanı Geçemez • Webgoat Nedir? • Ubuntu 14.04 LTS Linux'a Webgoat Kurulumu • Windows'a Webgoat Kurulumu ► Mart (1) • Ders 1 - Introduction(Giriş) ► Nisan (3) • Ders 2 - General > Http Basics • Ders 3 - General > Http Split • Ders 4 - Access Control Flaws > Using an Access Control Matrix ► Mayıs (7) • Ders 5 - Access Control Flaws > Bypass a Path Based Access Control Scheme • Ders 6 - Role Based Access Control > Stage 1 • Ders 7 - Role Based Access Control > Stage 2 • Ders 8 - Role Based Access Control > Stage 3 • Ders 9 - Role Based Access Control > Stage 4 • Ders 10 - Access Control Flaws > Remote Admin Access • Ders 11 - Ajax Security > Same Origin Policy Protection ► Haziran (4) • Ders 12 - Ajax Security > DOM-Based cross-site scripting • Ders 13 - Ajax Security > Client Side Filtering • GET ile POST Arasındaki Fark • Ders 14 - Ajax Security > DOM Injection ► Temmuz (7) • Ders 15 - Ajax Security > XML Injection • Ders 16 - Ajax Security > JSON Injection • Ders 17 - Ajax Security > Silent Transactions Attacks • UML Sınıf Diyagramları • UML Sınıf Diyagramı İlişkileri • Association vs. Aggregation vs. Composition • Ders 18 - Ajax Security > Dangerous Use of Eval ► Ağustos (2) • Ders 19 - Ajax Security > Insecure Client Storage • Ders 20 - Authentication Flaws > Password Strength ► Eylül (11) • Ders 21 - Authentication Flaws > Forgot Password • Ders 22 - Authentication Flaws > Basic Authentication • Ders 23 - Authentication Flaws > Multi Level Login 1 • Ders 24 - Authentication Flaws > Multi Level Login 2 • Ders 25 - Buffer Overflows > Off-by-One Overflows • Ders 26 - Code Quality > Discover Clues in the HTML • Ders 27 - Concurrency > Thread Safety Problems • Ders 28 - Concurrency > Shopping Cart Concurrency Flaw • Ders 29 - Cross-Site Scripting (XSS) > Phishing with XSS • Ders 30 - Cross-Site Scripting (XSS) > Stage 1: Stored XSS • Ders 31 - Cross-Site Scripting > Stage 2: Block Stored XSS using Input Validation ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2016 ► Ocak (27) • DVWA Nedir? • Windows'a DVWA Kurulumu • Ubuntu 14.04 LTS Linux'a DVWA Kurulumu • Ders 1 - DVWA'ya Giriş • Ders 2 - Brute Force (Low Level) • Ders 3 - Brute Force (Medium Level) • Ders 4 - Command Injection (Low Level) • Ders 5 - Command Injection (Medium Level) • Ders 6 - Command Injection (High Level) • Ders 7 - Cross Site Request Forgery (Low Level) • Ders 8 - File Inclusion (Low Level) • Ders 9 - File Inclusion (Medium Level) • Ders 10 - File Inclusion (High Level) • Ders 11 - File Upload (Low Level) • Ders 12 - File Upload (Medium Level) • Ders 13 - File Upload (High Level) • Ders 14 - SQL Injection (Low Level) • Ders 15 - SQL Injection (Low Level) II • Ders 16 - SQL Injection (Medium Level) • Ders 17 - Blind SQL Injection (Low Level) • BGA Sınav Soruları 2016 • Ders 18 - Blind SQL Injection (Medium Level) • Ders 19 - Reflected XSS (Low Level) • Ders 20 - Reflected XSS (Medium Level) • Ders 21 - Reflected XSS (High Level) • Ders 22 - Stored XSS (Low Level) • Ders 23 - Stored XSS (Medium Level) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2017 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2018 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (1) • Ve Blog'a Döndüm ► Ekim (0) ► Kasım (6) • Metasploit Framework'e Giriş • Metasploit ile Bir Sızma Uygulaması (ms08-067) • Metasploit Saldırı Aşamaları (Özet) • Metasploit Komutları • Metasploit Detay Bilgiler • Metasploit Detay Bilgiler (Özet) ► Aralık (0) ► 2019 ► Ocak (0) ► Şubat (0) ► Mart (2) • Arp Spoofing Saldırısı Nedir ve Nasıl Yapılır • Arp Spoofing İlave Uygulamalar ► Nisan (0) ► Mayıs (0) ► Haziran (1) • Oyun Motoru Nedir ► Temmuz (1) • Haberleşme Teknolojisi ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2020 ► Ocak (1) • Siber Güvenlikte Düşük Seviye Açıklık Nedir ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2021 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2022 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (1) • Apache Web Sunucuyu Yurt Dışı (Türkiye Dışı) Trafiğe Kapama ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2023 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ▼ 2024 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (19) • APT Saldırısı Nedir • Bug vs Vulnerability • CAPEC Nedir ve Kullanımı • CTF Nedir • CVE Nedir ve Kullanımı • CWE vs CVE • Character Set, Character Encoding ve Character Reference Nedir • Exploit Arama Yöntemi • Framework Nedir • Mirai Zararlısı Nedir • Paypal ve Güvenlik • RAT Nedir • Ransomware Nedir • Bir Siteye Shell Atmanın 20 Temel Yöntemi • Sisteminizi Shell'lerden Korumanın Yöntemleri • Sosyal Mühendislik Saldırı Türleri • Stagefright Virüsü Nedir • Vulnerability Scanner'ların Çalışma Mantığı • Crypto 101 - Notlarım

#Giriş

	ID	:
	Şifre	: