Ders 22 - Authentication Flaws > Basic Authentication

Authentication Flaws(Kimlik Doğrulama Kusurları) ünitesinin üçüncü dersi olan Basic Authentication(Temel Kimlik Onaylama) dersinde http header'ında yer alan authorization'den(yetkilendirmeden) ve jsessionid'dan(çerezlerden) bahsedilecektir(Http header'ın ne olduğuyla alakalı yazı için bkz. Ders 3 - General > Http Split).

Dersin Hedefi

Bu derste hedefiniz temel kimlik doğrulamayı anlamak ve ders ekranında verilen soruları cevaplamaktır.

Açıklamalar

Basic Authentication(Temel kimlik doğrulama) sunucu tarafındaki kaynakları korumak için kullanılır. Web sunucusu talep edilen kaynak için yanıt olarak 401 nolu kimlik doğrulama talebi gönderir. İstemci tarafındaki tarayıcı ise bunun üzerine kendinden olan pencereleri(dialog box'ları) kullanarak kullanıcı adı ve şifre için kullanıcıyı harekete geçirtecektir. Tarayıcı girilen kullanıcı adı ve şifreyi base64 algoritması ile kodlayacaktır. Sonra web sunucusu hesap bilgilerini denetleyecektir ve eğer hesap bilgileri doğru ise talep edilen kaynağı istemciye döndürecektir. Bu tarz kimlik doğrulama mekanizması ile korunan her sayfa için tekrardan hesap bilgilerini girmeye lüzum olmadan girilmiş hesap bilgileri sunucuya otomatik olarak gönderilir.

Bu dersin sonunda oturum yönetimi için JSESSIONID çerezinin nasıl kullanıldığını anlamanız ve ayrıca kimlik doğrulama için temel kimlik doğrulama header'ının nasıl kullanıldığını anlamanız beklenmektedir. Bu iki header Dersin Çözümü başlığında değerleri manipule edilerek anlatılmaya çalışılacaktır. Ama önce tanımlarına değinmekte fayda var.

Bu dersin başlığı da olan Authentication kavramı bir kişinin sistemin geçerli bir kullanıcısı olup olmadığının sunucu tarafında sorgulanması hakkındadır. Eğer sorgulamaya geçerli hesap bilgileri girilmişse o kişi authenticate edilmiş olur. Bunun üzerine sunucu JSESSIONID denilen çerezi yollar(Java web uygulamalarında çerez ismi olarak JSESSIONID kullanılmaktadır). Authorization kavramı ise bir kişinin belirli bir içeriğe erişimine izin verme ya da o içeriğe erişim yetkisi verme hakkındadır. Yani bir kimse oturum açmış bir kullanıcı dahi olsa erişimi sınırlandırılmış bir içeriğe erişemiyorsa o kişi o içerik için authorizate edilmemiş demektir. Şimdi JSESSIONID ve Authorization header'larını sunucu nasıl yorumluyoru uygulama üzerinde deneyimleyelim.

Dersin Çözümü

Yukarıdaki resimde gördüğünüz üzere sorular şu şekildedir:

What is the name of the authentication header:
(Kimlik doğrulama header'ının adı nedir?)

What is the decoded value of the authentication header:
(Kimlik doğrulama header'ının kodlanmadan arınmış değeri nedir?)

Bu sorulara cevap verebilmek için http header'a odaklanmamız gerekmektedir. Dolayısıyla bizim bir talep yapmamız ve bu talebi WebScarab aracılığıyla yakalamamız gerekmektedir. Böylece gönderdiğimiz http header'ı gözlemleyebiliriz. Bunun için WebScarab'ı talepleri yakalabileceği şekilde aktifleştirin. Aktifleştirme işlemi WebScarab arayüzünde yer alan Intercept sekmesindeki Intercept Request [✔] 'e tick koyarak gerçekleşir.

WebScarab'ı talebi yakalayabiliyor hale getirdikten sonra ders ekranındaki Submit butonuna tıklayın. Böylece bir talebi başlatmış olursunuz. Bu işlem sonrası ekranınızda bir webscarab popup penceresi gelmiş olması gerekir.

Bu pencerede yukarıdaki resimden de görebileceğiniz üzere sarı ile vurgulanan kolon http header bileşenlerinin sıralandığı bölümdür. Temel kimlik doğrulama başlığı bu header'lar içerisinden Authorization şeklinde adlandırılandır. Değeri de Z3Vlc3Q6Z3Vlc3Q= şeklindedir. Bu değer kodlanmış değerdir. Daha önce de bahsedildiği gibi tarayıcı kimlik doğrulama bilgilerini base64 algoritması ile kodlamaktadır. Bu kodlanmış veriyi decode edebilmek için, yani orijinal haline dönüştürebilmek için WebScarab'ın penceresine gelin. Ardından Tools menüsündeki Transcoder sekmesine tıklayın. Bu açılan ekrana base64 algoritmasına göre kodlanmış Z3Vlc3Q6Z3Vlc3Q= verisini kopyalayın. Ardından pencerenin aşağısındaki düğmelerden Base64 Decode düğmesine basarak kimlik doğrulama verisini orjinal haline dönüştürün.

Görüldüğü üzere kodlanmış veri aslında kullanıcı adı ve şifrenin birleşiminden oluşturulmuş bir veriymiş. (guest:guest | Kullanıcı adı: guest, Şifre: guest) Dersin ilk aşamasını tamamlayabilmek için header'ın adı olarak ilk metin kutusuna Authorization, bu header'ın değeri olarak da ikinci metin kutusuna guest:guest ifadesini giriniz ve Submit butonuna basınız. Ekrana gelen popup penceresi için de Accept Changes butonuna basınız. Böylece ilk aşama bitmiş bulunmaktadır.

Dersi tamamlayabilmek için bir dokunuşa daha ihtiyaç vardır. Bu dokunuş Açıklamalar başlığında bahsedilen çerez ve kimlik doğrulama bilgilerinin pratikteki kullanımını içerecektir. Yukarıdaki resimde yer alan kırmızı yazıda bizden kullanıcı adı olarak basic ve şifre olarak da basic olacak şekilde WebGoat'a tekrardan kimlik doğrulama yaptırtmayı denememiz isteniyor. basic kullanıcı adı ve şifresi ile WebGoat'a erişmek için JSESSIONID'yi ve Authorization header'ını bozmanız gerekir. Bozmanız gerekir derken aslında amaç bu iki header'ı anlamlandırabilmek içindir. Bu bozma işlemini WebScarab ile yapabilirsiniz. Talepleri yakalayacak şekilde WebScarab yine aktif kalsın ve ders ekranındaki Hint adlı sekmeye bir kez tıklayın. Böylece bir webscrab popup'ı ekrana gelecektir. Bu ekrandaki cookie ve Authorization başlıklarının değerlerinden birer karakter silin ve Accept Changes butonuna tıklayın. Böylece WebGoat kimlik doğrulaması yapmaya ihtiyaç duyacaktır. Bu yüzden ekrana kullanıcı adı ve şifre girilmesini isteyen tarayıcı penceresi(dialog box) gelecektir. Kullanıcı adı ve şifre olarak dersin bizden istediği gibi basic kelimesini giriniz.

OK tuşuna bastıktan sonra ekrana yeni bir WebScarab popup'ı daha gelecektir. Bu popup'a dikkat edelim.

Authorization kısmı dikkat ederseniz değişti. Fakat cookie(çerez), yani JSESSIONID değişmedi. Yani daha basic olarak oturum açamadık. Neden olduğuna birazdan değineceğim. Fakat önce bazı şeylerden bahsedilecektir.

Oturum çerezi olmadığında, eğer zaten kimlik onaylamasından geçilmişse Webgoat sizi onaylar. Eğer kimlik onaylamasından geçilmemişse kullanıcı adı ve şifre girilmesini isteyen tarayıcı pencereleri görüntülenir. basic kullanıcı adı ve basic şifre girişi gerçek manada onaylandıktan sonra WebGoat'un başlangıç sayfasına yönlendirilirsiniz ve bu oturum için size yeni bir JSESSIONID sunucu tarafından verilir. Fakat hatırlayın: JSESSIONID değişmemişti. Sıra geldi bunu izah etmeye. JSESSIONID ilk ziyaret sürecinde oluşturulan ve kalıcı olmayan bir çerezdir. Tarayıcıdan WebGoat'a giden her talepte bu eski JSESSIONID değeri kullanılır. Önceki talepte yaptığımız JESSIONID'yi bozma işlemi tarayıcı belleğindeki depolanmış çerez değerini değiştirmeyecektir. Sonuçta çerez dosyasını manipule etmedik. Talebimizle gönderdiğimiz http header'ı manipule ettik. İşte bu yüzden kimlik doğrulama sonrası Hint butonuna tıklayarak yapılan talepte olduğu gibi ve bundan sonra olacak taleplerdeki gibi eski JSESSIONID her defasında gönderilecektir. Bu eski ama geçerli JSESSIONID yüzünden WebGoat kendi içindeki fonksiyonları kullanarak( getSession().getUser() ) sunucu taraflı oturum nesnesi üzerinden kimlik onaylamasından geçmiş kullanıcıyı bulup çıkaracaktır. WebGoat'a basic olarak kimlik onaylamasından geçtiğinize inandırmak için JSESSIONID'yi aşağıdaki resimde olduğu gibi novalidsession ile doldurmanız gerekmektedir.

Bu şekilde yapınca Accept Changes diyerek olması gerektiği gibi WebGoat'ın başlangıç sayfasına yönlendirileceksiniz. JSESSIONID artık değiştirilmiştir. Bu yüzden sunucu verdiği bu yeni oturuma göre derslere sıfırdan sizi başlatacaktır. Bu zamana dek yaptığınız dersleri tamamlamamış görüceksiniz. Çünkü artık oturumunuz değişti. Bu oturum açıkken başlangıç sayfasından derslerin listeleneceyi arayüze geçin. Ardından yapmakta olduğunuz ders olan "Basic Authentication"a tıklayın. Böylece dersi başarıyla tamamlamış olursunuz. Eski oturumunuza dönebilmek için WebGoat'u terminalden sonlandırın ve tekrar başlatın. Böylece kaldığınız yerden devam edebilirsiniz. Webscarab'ın popup'ları karşınıza gelmesin istiyorsanız koyduğunuz tick'i kaldırmanız yeterlidir.

Sonuç
Bu derste iki kavram üzerinde durulmuştur. Bunlardan birincisi JSESSIONID, yani çerez, ikincisi ise authorization, yani yetki. Bu iki kavram(header) sırayla manipule edilerek ne anlama geldikleri uygulama üzerinden deneyimlenmeye çalışılmıştır. Toparlayacak olursak bir kimse bir web uygulamasının login ekranına hesap bilgilerini girmekle authenticate edilir. Bunun üzerine sunucu kullanıcıya ilgili çerezi ve authorization'ı gönderir. Kullanıcı böylece çerez ile sistem üzerinde online kalacağı gibi authorization'ın izin verdiği ölçüde de içeriklere ulaşabilir olacaktır.

Yararlanılan Kaynak

http://www.toptal.com/security/10-most-common-web-security-vulnerabilities

Bu yazı 01.09.2015 tarihinde, saat 18:37:14'de yazılmıştır. 27.10.2015 tarihi ve 06:28:46 saatinde ise güncellenmiştir.

Yazar : Hasan Fatih ŞİMŞEK

Görüntülenme Sayısı : 2300

Yorumlar

Henüz yorum girilmemiştir.

Yorum Ekle

	#Kategoriler
	->	Genel
	->	Webgoat Uygulaması
	->	DVWA Uygulaması
	->	Çeşitli Sızma Teknikleri
	->	Güvenlik Araçları
	->	Linux Temelleri
	->	Genel Kültür (Siber Güvenlik)

#Popüler Yazılar
	->	Faz Açısını Hesaplama
	->	Hub, Switch, Router, Modem, Gateway ve Access Point Farkları
	->	Ders 12 - Ajax Security > DOM-Based cross-site scripting
	->	GET ile POST Arasındaki Fark
	->	BGA Sınav Soruları 2016

#En Son Yazılar
	->	Apache Web Sunucuyu Yurt Dışı (Türkiye Dışı) Trafiğe Kapama
	->	Siber Güvenlikte Düşük Seviye Açıklık Nedir
	->	Haberleşme Teknolojisi
	->	Oyun Motoru Nedir
	->	Arp Spoofing İlave Uygulamalar

#Arşiv
	► 2014 ► Ekim (1) • Blog Maceram Başlar ► Kasım (7) • Parazit ve Gürültü Arasındaki Fark Nedir? • Stack ve Heap Arasındaki Fark • Sinyal Denkleminin Anlamı • Periyot ve Frekans Nedir? • Faz Açısını Hesaplama • Üniversite Öğrencilerinin Sağlık Aktivasyonu • Nesne Yönelimli Programlama Nedir ► Aralık (3) • Skype'ta Birbirimizin Sesini Nasıl Duyuyoruz? • Hub, Switch, Router, Modem, Gateway ve Access Point Farkları • Askerlikle İlgili Sorular ► 2015 ► Ocak (1) • Dev Firmaların Mülakatlarda Sorduğu 15 Çetin Soru ► Şubat (4) • Yapay Zeka İnsanı Geçemez • Webgoat Nedir? • Ubuntu 14.04 LTS Linux'a Webgoat Kurulumu • Windows'a Webgoat Kurulumu ► Mart (1) • Ders 1 - Introduction(Giriş) ► Nisan (3) • Ders 2 - General > Http Basics • Ders 3 - General > Http Split • Ders 4 - Access Control Flaws > Using an Access Control Matrix ► Mayıs (7) • Ders 5 - Access Control Flaws > Bypass a Path Based Access Control Scheme • Ders 6 - Role Based Access Control > Stage 1 • Ders 7 - Role Based Access Control > Stage 2 • Ders 8 - Role Based Access Control > Stage 3 • Ders 9 - Role Based Access Control > Stage 4 • Ders 10 - Access Control Flaws > Remote Admin Access • Ders 11 - Ajax Security > Same Origin Policy Protection ► Haziran (4) • Ders 12 - Ajax Security > DOM-Based cross-site scripting • Ders 13 - Ajax Security > Client Side Filtering • GET ile POST Arasındaki Fark • Ders 14 - Ajax Security > DOM Injection ► Temmuz (7) • Ders 15 - Ajax Security > XML Injection • Ders 16 - Ajax Security > JSON Injection • Ders 17 - Ajax Security > Silent Transactions Attacks • UML Sınıf Diyagramları • UML Sınıf Diyagramı İlişkileri • Association vs. Aggregation vs. Composition • Ders 18 - Ajax Security > Dangerous Use of Eval ► Ağustos (2) • Ders 19 - Ajax Security > Insecure Client Storage • Ders 20 - Authentication Flaws > Password Strength ► Eylül (11) • Ders 21 - Authentication Flaws > Forgot Password • Ders 22 - Authentication Flaws > Basic Authentication • Ders 23 - Authentication Flaws > Multi Level Login 1 • Ders 24 - Authentication Flaws > Multi Level Login 2 • Ders 25 - Buffer Overflows > Off-by-One Overflows • Ders 26 - Code Quality > Discover Clues in the HTML • Ders 27 - Concurrency > Thread Safety Problems • Ders 28 - Concurrency > Shopping Cart Concurrency Flaw • Ders 29 - Cross-Site Scripting (XSS) > Phishing with XSS • Ders 30 - Cross-Site Scripting (XSS) > Stage 1: Stored XSS • Ders 31 - Cross-Site Scripting > Stage 2: Block Stored XSS using Input Validation ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2016 ► Ocak (27) • DVWA Nedir? • Windows'a DVWA Kurulumu • Ubuntu 14.04 LTS Linux'a DVWA Kurulumu • Ders 1 - DVWA'ya Giriş • Ders 2 - Brute Force (Low Level) • Ders 3 - Brute Force (Medium Level) • Ders 4 - Command Injection (Low Level) • Ders 5 - Command Injection (Medium Level) • Ders 6 - Command Injection (High Level) • Ders 7 - Cross Site Request Forgery (Low Level) • Ders 8 - File Inclusion (Low Level) • Ders 9 - File Inclusion (Medium Level) • Ders 10 - File Inclusion (High Level) • Ders 11 - File Upload (Low Level) • Ders 12 - File Upload (Medium Level) • Ders 13 - File Upload (High Level) • Ders 14 - SQL Injection (Low Level) • Ders 15 - SQL Injection (Low Level) II • Ders 16 - SQL Injection (Medium Level) • Ders 17 - Blind SQL Injection (Low Level) • BGA Sınav Soruları 2016 • Ders 18 - Blind SQL Injection (Medium Level) • Ders 19 - Reflected XSS (Low Level) • Ders 20 - Reflected XSS (Medium Level) • Ders 21 - Reflected XSS (High Level) • Ders 22 - Stored XSS (Low Level) • Ders 23 - Stored XSS (Medium Level) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2017 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2018 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (1) • Ve Blog'a Döndüm ► Ekim (0) ► Kasım (6) • Metasploit Framework'e Giriş • Metasploit ile Bir Sızma Uygulaması (ms08-067) • Metasploit Saldırı Aşamaları (Özet) • Metasploit Komutları • Metasploit Detay Bilgiler • Metasploit Detay Bilgiler (Özet) ► Aralık (0) ► 2019 ► Ocak (0) ► Şubat (0) ► Mart (2) • Arp Spoofing Saldırısı Nedir ve Nasıl Yapılır • Arp Spoofing İlave Uygulamalar ► Nisan (0) ► Mayıs (0) ► Haziran (1) • Oyun Motoru Nedir ► Temmuz (1) • Haberleşme Teknolojisi ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2020 ► Ocak (1) • Siber Güvenlikte Düşük Seviye Açıklık Nedir ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2021 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2022 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (1) • Apache Web Sunucuyu Yurt Dışı (Türkiye Dışı) Trafiğe Kapama ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2023 ► Ocak () ► Şubat () ► Mart () ► Nisan () ► Mayıs () ► Haziran () ► Temmuz () ► Ağustos () ► Eylül () ► Ekim () ► Kasım () ► Aralık () ▼ 2024

#Giriş

	ID	:
	Şifre	: