Web Site Saldırısı Nedir? Türleri? Nasıl Anlaşılır?

Web site saldırısı nedir? Siber suçlular, bilgisayar korsanları ve hackerlar tarafından; bilişim araç ve teknolojilerini (bilgisayar, telefon, tablet, internet, ağ, yazılım vb) farklı teknikler kullanılarak, belli bir amaca hizmet için yapılan saldırılarına denir (Bu teknik ve amaçları aşağıdaki web site saldırı türleri içeriklerinde detaylı şekilde yazdım). Web site saldırılarının çoğu maddi çıkar elde etmek için yapılmaktadır. Genellikle bu saldırıları gerçekleştiren kişiler web yazılımı, sunucu ve güvenlik odaklı açıklardan faydalanıp bu saldırıları yaparlar.

Web Site Saldırı Türleri ve Etkileri​

İnternet sitesi saldırıları tür ve etki bakımından farklı sonuç ve yıkımlara neden olmaktadır. Bir çok web sitesi saldırı tekniği ve yöntemi mevcuttur. Bu teknik ve yöntemler saldırının amacına uygun planlanır. Siteye yapılan saldırıların etkisi kalıcı veya geçici olabilir. Geçici etki bile, site yöneticilerinin müdahale etmemesi sonucu kalıcı olabilir. Aşağıda en çok yapılan 5 web sitesi saldırı çeşidinin ne anlama geldiklerini ve etkilerini ele aldık.

1) Siteler Arası Komut Dosyası Saldırısı (XSS – Cross Site Scripting)​

Çapraz Site Betik Saldırısı (XSS); ASP, PHP gibi birçok dille yazılmış dinamik sitelerde, HTML ve Javascript kodları çalıştırılarak yetkisiz erişim sağlamaya yönelik saldırılardır. Yorum kutuları, giriş formları, arama kutuları, iletişim popup ları kullanılarak; kredi kartı verileri, kimlik bilgileri, adres ve iletişim bilgileri gibi önemli bilgilerin çalınması XSS saldırıyla yapılabilir. Genellikle dinamik web sitelerinde kullanılan javascript dili hedef alınır. Bunun yanı sıra XSS HTML, Flash, VBScript, CSS ve diğer birçok dilin kullanıldığı web sayfaları da saldırıya açık olarak kullanılır. Örneğin, JS, CSS ve HTML ile oluşturulmuş bir formu XSS saldırısı için kullanılabilir. XSS saldırıyla;

• Web site kullanıcılarının oturum açma bilgilerini çalınabilir.
• Web sayfasını ziyaret edenlerin cihazlarına virüs vb yazılımlar gönderilebilir.
• Web sayfasını ziyaret edenlerin cihazları zombi cihaz olarak kullanılabilir.
• Web sitesi çökertilebilir.
• Web site sunucusuna dosyalar gönderilerek, kişisel bilgiler çalınabilir.
• Çalınan bilgiler dolandırıcılık faaliyetlerinde kullanılabilir.
• Web site kullanıcının tarayıcısının kontrolü ele geçirilebilir.

XSS saldırılarının üç bilinen ana türü vardır.

1) Yansıtılmış XSS (Kalıcı olmayan) saldırıları​

Yansıtılmış (Reflected) XSS saldırıları, saldırıyı yapan tarafından, web sayfasına kötü amaçlı kodun enjekte edilmesi ve ardından sunucuda depolanmadan hemen kullanıcıya geri yansıtılması sonucu oluşur. Yansıtılan XSS saldırıyla, hedef kişilere e-posta mesajı, başka bir web sitesinden bağlantı gibi farklı yollarla link, form gibi bağlantılar iletilir. Bu kullanıcılar, kötü amaçlı bu bağlantılara tıklaması, form göndermesi veya yalnızca kötü amaçlı hazırlanmış bir siteye göz atması için farklı teşvik teknikleri kullanması sonucu; siteye enjekte edilen kod, saldırıyı kullanıcının tarayıcısına geri yansıtan savunmasız web sitesine gitmesini sağlar. Bu sayede, web tarayıcı kötü amaçlı kodu, güvenilir bir sunucudan geldiği için yürütür. Javascript dili kullanılan sitelerde, bu açığa çok rastlanmaktadır.

2) Kalıcı XSS saldırıları​

Kalıcı (Depolanmış – Stored) XSS saldırısı; Saldırı yapan bilgisayar korsanı tarafından, kötü amaçlı kodu sayfaya enjekte etmesinin ardından sayfaya her erişim olduğunda ve yürütüleceği sunucuda depolandığında ortaya çıkar. Kod enjekte edilmiş bir form sayesinde, kullanıcının girmiş olduğu tüm bilgiler, saldırıyı yapanın yönlendirdiği sunucuya – veri tabanına kaydolur. bu saldırı türü ciddi olumsuz sonuçlar doğurabilir. çok tehlikelidir.

3) DOM XSS Saldırıları​

DOM (Document Object Model – Belge Nesne Modeli) XSS saldırısı; saldırıyı yapan bilgisayar korsanı, istemci komut dosyasının çalıştığı internet sitesinin tarayıcısında DOM değiştirerek yük enjekte eder. Web sayfası değişmez, fakat sayfada bulunan istemci tarafı kodu, kötü amaçlı kod değişiklikleriyle çalışır. Bu XSS saldırı türü de çok tehlikelidir.

XSS Saldırılarına Karşı Alınak Önlemler​

XSS web site saldırısına karşı önlem almanın birkaç yolu bulunmaktadır.

• Web uygulaması güvenlik duvarı (WAF) kullanmak. (Kötü amaçlı kodu filtrelemek için vs)
• Giriş, form vb için doğrulamak kullanmak. Sunucu tarafından işlenmeden önce, kötü amaçlı kod için kullanıcı verisinin kontrol edilmesi anlamına gelir.
• Özel karakterleri HTML varlık eşdeğerlerine dönüştüren çıktı kodlamasını kullanmak.
• Arama kutu girdisi, uygun kodlama kontrolünü içerecek şekilde sterilize etmek.
• Web site sunucusu geçersiz istekleri yönlendirecek şekilde ayarlamak.
• Web site sunucusu, eşzamanlı birden çok girişi tespit edebilir. Ve bu giriş oturumlarını sonlandırabilir şekilde ayarlamak.
• Web site sunucusu iki veya daha fazla farklı IP adresinden, eşzamanlı girişi tespit edebilir. Ve oturumları sonlandırabilir.
• Web sitesi daha önce kullanılan kredi kartı numarası, TC numarası gibi önemli bilgilerin sadece birkaç hanesini gösterebilir şekilde ayarlamak.
• Web sitesi kullanıcıların kayıt bilgilerini değiştirmeden önce, tekrar eski parolalarını girmelerini sağlamak .
• Web sitesinde İçerik Güvenlik Politikası‘nın pek çok farklı yönünü kullanmak ve sağlamak.
• Çerez HttpOnly bayrağı ile işaretlenerek JavaScript’in çereze erişimi engellemek. (HttpOnly nedir? JavaScript kodlarının Cookie bilgisini okumasına izin vermez, XSS saldırısından korunmuş olur.)

2) SQL Enjeksiyonu​

SQL (Structured Query Language – Yapılandırılmış Sorgu Dili) web site kullanıcılarının veri tabanlarıyla bağlantı ve etkileşim kurmasını sağlayan bir sorgu dilidir. Oturum açma, form, sepetler vs genellikle bir SQL veri tabanına bağlanır. Örneğin; kullanıcılar, yöneticiler, editörler ad, şifre gibi bilgileri girerek bir web sitesinin korumalı bu alanlarında oturum açabilir. SQL bu almış olduğu ve veri tabanına kayıt edilen bu tür oturum açma, giriş bilgilerini bir sonraki oturum açma, giriş vs için işler. SQL enjeksiyonu çok ciddi bir güvenlik sorunu olmasının yanı sıra SQL veritabanı kullanan web sitesine, uygulamasına saldırmak için kullanılıyor.

SQL enjeksiyonu ise; arka planda (back-end) veri tabanına dayalı web siteleri ve uygulamalarına saldırmak için kullanılan bir saldırı türüdür. Bu saldırı için, web yazılım güvenlik açığından ve SQL dili özelliklerinden faydalanarak kod yerleştirme ve yürütme tekniğidir. Saldırgan SQL kodlarını silebilir, değiştirebilir, veri tabanını ele geçirebilir. Bu tür web site saldırısı – SQL enjeksiyonu saldırıları önlemek zordur. ancak veritabanınızı korumaya yardımcı olmak için atabileceğiniz birkaç adım vardır. En yaygın SQL enjeksiyonu web site saldırı türleri;

1. In-Band SQL (Klasik SQL Saldırıları)
2. Error-Based SQL (Hata tabanlı SQL Saldırıları)
3. Union-Based SQL Saldırıları
4. Inferential SQL Saldırıları
5. Content-Based Blind SQL (İçerik tabanlı SQL Saldırıları)
6. Time-Based Blind SQL (Zamana dayalı SQL Saldırıları)
7. Out-of-Band SQL

3) DDoS Web Site Saldırısı (Distrubuted Denial of Service Attack)​

Dağıtılmış hizmet engelleme saldırısı olarak türkçeye çevrilen DDOS saldırısı; web sitesine sahte trafik sağlayıp, sürekli istek göndermesi sonucu internet sitesini kullanılmaz hale getirilmek için amaçlanan yıkıcı bir siber saldırıdır. Ağa bağlı web sitesinin alt yapısının bağlı olduğu hostun kapasite sınırlarında faydalanarak gerçekleştirilir. internet sitesine çok fazla sahte kullanıcı trafik isteği yapılması, web sunucunun kapasitesini ve çalışmasını engeller. Web hosting kullanıcı trafik limitini doldurmak için, birden fazla bilgisayara ihtiyaçları yoktur. Tek bilgisayardan, birden fazla istek gönderebilirler. Bazı DDoS web site saldırı türleri şu şekildedir.

1. Volume Based DDoS Attack (Hacim Odaklı DDoS Saldırılar)
2. Protocol Based DDoS Attack (Protokol Odaklı DDoS Saldırılar)
3. Application Layer DDoS Attack (Uygulama Katmanlı DDoS Saldırılar)
   • SYN Flood DDoS Saldırıları
   • UDP Flood DDoS Saldırıları
   • Ping of Death (PoD) Saldırıları
   • Ping Flood Saldırıları

DDoS Web Site Saldırılarına Karşı Alınacak Önlemler​

DDoS saldırılarını önlemek zor olabilir. Fakat bu saldırıları karşı önlem almak mümkün. Ama kesim çözüm değildir.

• Web sunucusunun saldırı esnasında, sahte trafiği bertaraf edecek DDoS koruması kullanabilirsiniz. Bu hizmeti, günümüzde hosting- sunucu hizmeti sağlayan şirketler sağlamaktadır.
• CDN (içerik dağıtım ağı) kullanılması tavsiye edilir. İnternet üzerindeki birden çok veri merkezinde bulunan dağınık ve geniş bir sunucu sistemi olduğu için web sitesi sunucuna yapılan saldırılardan, büyük çoğunlukta zarar görmeyecektir.
• Ağ sunucu altyapısının iyi tasarlanmış bir sisteme sahip olması önemlidir.
• Rate limiting ile aynı IP adresinden gelen, belirli bir süre içindeki maksimum istek sayısı belirlenir, bu sayede maksimum trafik değerini aşan IP engellenir.
• Sunucu sistem güncellemeleri aksatılmamalı ve tam yapılmalı.
• Anti virüs programları kullanılmalıdır.
• Güvenlik duvarının aktif hale getirilmesi ve kullanılması.
• E-posta filtrelerin kullanılması ve spam trafiğinin engellenmesi için ilgili ayarların yapılması.

4) Parola Saldırıları (Password Spraying Attack)​

Web site kullanıcılarının şifrelerinin, varsayılan veya çok kullanılan akılda kalıcı şifrelerden oluşturulmuş olmasından faydalanan bilgisayar korsanları tarafından yapılan siber saldırı türüdür. Kaba kuvvet saldırıları, parola püskürtme saldırıları olarakta bilinmektedir. En çok kullanılan parola saldırıları;

1. Kaba Kuvvet Saldırıları
2. Sözlük Saldırıları
3. Sosyal Mühendislik Saldırıları

Parola Saldırılarına Karşı Alınacak Önlemler​

• Tüm web tabanlı hesaplar için güçlü, benzersiz parolalar oluşturmak gerekir.
• Düzenli olarak parolaları yinelemek gerekir. Eski parolayı anımsatmamalı ve benzerlik olmaması gerekir.
• Ziyaretçiler için gizlenmiş link,görmek için Giriş yap veya üye ol.
  gibi parola yöneticisi kullanılması tavsiye edilir. Şifre yöneticisi sayesinde, güvenli parola oluşturma, yönetme ve saklama aracı olmasından dolayı, parola püskürtme siber saldırılarını durdurmanın en etkili ve en kolay yollarından biridir.
• iki faktörlü kimlik doğrulama giriş yöntemini kullanarak, bir hesaba şifreli girişin yanında kod, desen gibi sizin yönetiminizde olan cihazların fiziksel temas özelliklerini kullanarak giriş yapılabilir.

parola saldırılarına karşı alınabilecek bu önlemlere ek birçok yöntem vardır.

5) Kimlik Avı Saldırıları​

Kimlik avı saldırısı, web sitesi kullanıcı oturum açma bilgileri, bankacılık sistemine giriş bilgileri, içerik yönetim sistemi yönetici bilgileri gibi önemli bilgileri çalmak, kaydetmek, aktarmak için yapılan bir siber saldırıdır.

Kimlik avı saldırılarında kullanılan yöntemler benzerlik gösterir. Örneğin, güvenilir bir kurumdan gelen maillere benzer e-postalar gönderilmesi ve ardından mağdurun bu maili dikkate almasını sağlamak. En çok kullanılan yöntemler arasında yer alıyor. Kişi bu mail içeriğindeki bir bağlantı linki ile gitmiş olduğu sahte web sayfasındaki giriş bölümlerini tamamlaması sonrasındaki süreç ile saldırganın tüm bilgiye ulaşması sağlanmış olunur.

Kimlik Avı Saldırılarına Karşı Alınacak Önlemler​

• Size gelen yönlendirici içeriği hassasiyetle inceleyin.
• Link/URL yapısını kontrol edin.
• E-posta uzantısını araştırın, uzantının karşılığı bir dijital veya kurumsal içerik var mı? yok mu? Bu önemli.
• Eğer yönlendirilen site içeriği uygun görünüyor olsa bile URL’de https güvenlik protokolü var mı diye kontrol edin.
• Web tabanlı tarama yapan, anti virüs yazılımları kullanın.
• Yazılı içeriklerinde kullanılan dil yapısı, kurallarına da dikkat ederseniz. Hatalar yakalamanız mümkün.

Web Sitesine Yapılan Saldırı Nasıl Anlaşılır?​

Web sitesinin siber saldırıya uğradığını nasıl anlarız? internet sitesi sahibi kişiler ve işletmeler çokça bu soruya yanıt aradıkları dönemler olmuştur. Bu konu hem web sitesi güvenliği hem de internet sitesi kullanıcıları için çok önemlidir. Bir siber saldırısı, tüm site yapısını bozar, ele geçirir, siler, kopyalar, engeller, değiştir. Bunlara benzer birçok negatif sonuçlar gerçekleştirilebilir. Bu saldırırlar sonucu internet sitesini komple kaybedebilirsiniz. Hatta bu saldırılar sonucu birçok yasal süreçle karşı karşıya kalınabilir. Saldırı türleri ve amaçlarına göre zarar boyutu farklılık gösterir.

Web sitesinin saldırıya uğradığı Google tarafından nasıl anlarız.

• Google tarafından sitenin siber saldırıya uğradığına dair uyarı alırsanız.
• Google arama motorunda web sitesinin saldırıya uğradığı ve/veya güvenlik ihlali olduğunu görürseniz.
• Siteniz Search Console kayıtlı web sitesi ise;
  Ziyaretçiler için gizlenmiş link,görmek için Giriş yap veya üye ol.
  bölümünden saldırıya uğranan sayfaları görürsünüz.
• Google Search Console’da saldırıya uğramış sayfa ve içeriği göremiyorsanız, hedef alınan sayfa ve içerik; içeriği gizleme tekniği kullanılmıştır. Bu saldırı yöntemi, kullanıcı türlerine göre farklı içerikler sunmayı hedefleyen, temizlenmesi zor bir yöntemdir.
• Search Console URL Denetleme raporu ve testi ile Google dizine eklenmiş sayfa ve içerik hakkında detaylı bilgiye ulaşabilirsiniz
• Google arama motoru sayfasında, saldırıya uğrayan sayfayı da Google uyarı olarak site sahibine göstermektedir.
• Birçok analiz aracı ile de bu saldırıları tespit etmek mümkündür.
• Sitenizden backlink çıkışlarında, site sahibinin bilgisi dahilinde olmayan bir link çıkışı varsa, buradan da anlaşılabilir.