Information Disclosure (Hassas Bilgi İfşası) Nedir?

Information Disclosure (Hassas Bilgi İfşası) Nedir?

Information Disclosure (Hassas Bilgi İfşası) Nedir?

Bir websitesinin, sistem ve kullanıcıları açısından kritik derecede öneme sahip bilgilerin veya dosyaların istenmeyecek kişilere sızdırılmasıdır. Sızdırılan verilerin ne olduğu konusu tamamen sisteme bağlıdır bu bazen kredi kartı bilgileri olurken bazen de sisteme ait önemli bir teknolojinin versiyon numarası olabilmektedir.

Information Disclosure Nasıl Ortaya Çıkar?

Bu zafiyetin sebebine gelecek olursak; misconfiguration dediğimiz düzgün olmayan yapılandırmalar burada önemli bir yere sahiptir. Örnek vermek gerekirse herkes tarafından görüntülenememesi gereken bir dosyamız olsun şayet biz bu dosyaya dizin aracılığıyla erişilebiliyorsak ortada bir misconfiguration vardır ve bu Information Dislosure gibi zafiyetlerin ortaya çıkmasına sebep olur.

Information disclosure görünüşte düşük bir etkiye sahip gibi görünse de büyük çapta saldırıların çıkış noktası olabilmektedir.

Örnek bir Information Dislosure Saldırı Senaryosu

Hedef sisteminde bir zafiyet bulmak için gezinirken /.git adlı bir dizinle karşılaşıyoruz ve burayı ziyaret ediyoruz.

Burada birtakım araştırmalar yapalım. 
Dosyanın bir git dosyası olduğunun biliyoruz bu sebeple dosyayı daha düzgün görüntüleyebilmek için git-cola adlı toolu kullanıyoruz. 
Bunun için önce sayfayı indirelim.

Bu tool ile yapılan değişiklikleri, eklemeleri vs. görme imkanımız var bunun için “undo last commit“ diyoruz.

Gördüğünüz üzere admin kullanıcısına ait parola açık birkaç adımda saldırganın eline geçmiş oldu. Bu olayın yaşanmasındaki temel sebepler credentiallerın static olarak bir dosyanın içerisinde bulunması ve buna ek olarak dosyanın herkesin rahatlıkla erişebileceği bir dizine kaydedilmiş olmasıdır. 
Başta belirttiğimiz gibi Information Disclosure zafiyetleri önemsiz gibi görünse de etki bakımından tahmin edeceğinizden daha fazlası olabilmektedir.

Information Disclosure Zafiyetlerini Nasıl Engelleyebiliriz?

Information Disclosure zafiyetinin yaşanmaması için alınabilecek birtakım önlemler aşağıda sıralanmıştır.

  •  Yeni update ve güncellemelerde sistemin tekrar tekrar kontrol edilmelidir.
  • .php, .asp gibi sistem hakkında bilgi verebilecek URL’lerden kaçınılmalı daha düzgün URL’ler kullanılmalıdır.
  • Cookielerin sistem hakkında bilgiler içermeyecek şekilde yapılandırılması gerekir.
  • Sistemin döndürdüğü hata kodlarının sistem hakkında kullanıcılara bilgi vermemesi amacıyla genel tüm hatalar için 500 kodu döndürülebilir.

Information disclosure zafiyetinin engellenmesi çoğu zaman sistemin düzgün yapılandırılması ve sistemin bir insan ürünü olduğu göz önünde bulundurularak titizlikle kontrollerinin yapılması ile mümkündür.