OWASP Top 10: 2023 Güncellemesi ve İşletmeler İçin Anlamı
OWASP Top 10, web uygulamalarının güvenliği için kritik öneme sahip olan güvenlik tehditlerini belirlemeye ve önceliklendirmeye yardımcı olan bir rehberdir. 2023 güncellemesi, API güvenliği, yapılandırma yönetimi, otomasyon ve güvenlik denetimleri gibi önemli konulara odaklanarak işletmelerin daha güvende olmalarına katkı sağlamayı hedefler. İşletmeler, bu güncellemeleri güvenlik risklerini değerlendirmek, personeli eğitmek, siber güvenlik politikalarını güncellemek ve zafiyet taramaları yapmak gibi önlemlerle entegre ederek web uygulamaları ve API’larını daha güvenli hale getirebilirler. Bu yazıda, OWASP Top 10’un 2023 güncellemesinin işletmeler açısından taşıdığı önemi ayrıntılı bir şekilde inceleyeceğiz.
Değişmeyen Kategoriler, Kırık Nesne Düzeyi Yetkilendirme (BOLA), Kırık Fonksiyon Düzeyi Yetkilendirme (BFLA), Güvenlik Yanlış Yapılandırmaları, 2023 OWASP API Güvenlik Açıklıkları Top 10 listesindeki yerini koruyor.
BOLA, hala OWASP API Top 10 2023 listesinin bir numarasında bulunuyor çünkü tehdit aktörleri için en sık başvurulan saldırı yöntemlerinden biri olma özelliğini sürdürüyor ve günümüz API’lerinin karşı karşıya olduğu en büyük güvenlik risklerinden biri olarak kabul ediliyor. Nesne düzeyi yetkilendirme mekanizmaları oldukça karmaşık ve çeşitlidir.
Hızlı geliştirme süreçleri içinde, geliştiriciler bu karmaşıklığı takip etmekte güçlük yaşayabilir ve yetkilendirme sorunlarını gözden kaçırabilir veya nesne erişimini yeterince inceleme ve test etmeyebilirler. Ayrıca, birçok API çerçevesi, yetkilendirmenin etkili bir şekilde yönetilmesine izin vermediği için bu tür saldırılara karşı savunmasız olabilir.
BFLA ve güvenlik yanlış yapılandırmaları ise hala çok yaygın olarak karşılaşılan sorunlar olduğu için sıralamalarda değişiklik olmamıştır. Bu kategoriler, kolayca kötüye kullanılabilir ve hassas verilere ve kısıtlı kaynaklara kolayca erişim sağlayabilirler. Bu nedenle, bu güvenlik açıklıkları ile mücadele etmek hala büyük bir öncelik taşımaktadır.
Yeni Eklemeler
2023 OWASP API Güvenlik Açıklıkları Top 10 listesine, Hassas İş Süreçlerine Sınırsız Erişim, Sunucu Tarafı İstek Sahtekarlığı (SSRF), API’ların Güvensiz Kullanımı gibi yeni kategoriler eklenmiştir.
Yeni eklenen Hassas İş Süreçlerine Sınırsız Erişim (UASFB) kategorisi, OWASP API Top 10 2023 listesinde 6. sırada yer almaktadır. UASFB etkili bir şekilde azaltılabilecek çeşitli tehditleri içermektedir ve bunların üstesinden gelmek için hız sınırlama önlemlerinin uygulanması önerilmektedir.
2019 OWASP API Top 10 listesine giren Sunucu Tarafı İstek Sahtekarlığı (SSRF) 2023 listesinde 7. sırada yer almaktadır. SSRF, yıllar içindeki saldırılarının önemli ölçüde artmasından dolayı listeye girmiştir. Bu artışın ana nedeni ise modern IT mimarilerinde, API’lar aracılığıyla iletişim kurulmasıdır. Geliştiriciler, URL tabanlı dosya alma, özel Tek Oturum Açma (SSO), URL önizlemeleri gibi kullanıcı girdilerine dayalı olarak harici kaynaklara erişme eğilimindedirler. Bu özellikler, uygulamaların işlevselliğini artırırken SSRF güvenlik açıklıklarının sömürülmesini kolaylaştırır. SSRF güvenlik açıklıkları tehlikeli, yaygın ve azaltılması zor tehditlerdir.
API’ların Güvensiz Kullanımı (UCA), ise 2023 listesine dahil olan üçüncü yeni kategori olarak 10. sırada yer almaktadır. Saldırganlar, artık API’leri doğrudan hedeflemek yerine, hedeflerine bağlı olan entegre hizmetleri tehlikeye atma stratejisi benimsemektedirler. İşletmeler, bu yeni tehditleri anlamak ve karşılamak için uygun güvenlik önlemlerini almalıdır.
Güncellenen Kategoriler
Kırık Kullanıcı Kimlik Doğrulama (BUA), Kırık Kimlik Doğrulama (BA) olarak güncellenmiş ve hala OWASP API 2023 listesindeki 2. sırasını korumuştur. API ve mikro servis kimlik doğrulama hataları yanı sıra, kullanıcılara parola onayı olmadan hassas bilgileri değiştirme izni verme ve JWT son kullanma tarihini doğrulamama gibi yeni riskler de bu kategoriye dahil edilmiştir.
OWASP API Top 10 2023 listesinde 3. sırada yer alan Kırık Nesne Özellik Düzeyi Yetkilendirme(BOPLA), Aşırı Veri Açığa Çıkarma (EDE:API03:2019) ve Toplu Atama (MA:API06:2019) birleştirilerek oluşturulmuştur. Her iki güvenlik açığı da tehdit aktörlerinin yetkisiz erişimi ve sömürüyü önlemek için API uç noktalarını doğru şekilde güvence altına almanın önemini vurgular. Hız sınırlamasının yanı sıra çalışma zamanı sınırları, maksimum izin verilen bellek ve işlem sayısı gibi diğer sınırlamalar da dahil edilmiştir. Bu sınırlamalar birlikte, API’ların düzgün çalışmasını sağlama konusunda yardımcı olur.
Kaynakların ve Hız Sınırlamanın Eksikliği (LRRL), OWASP API Top 10 2023’te Sınırsız Kaynak Tüketimi (URC) olarak yeniden adlandırılmıştır. Önceki odak sadece güvenlik açıklıklarına yönelikti, ancak artık URC aynı zamanda kaynak kullanımı üzerinde uygun hız sınırları ve yürütme zaman aşımları izin verilen maksimum bellek ve maksimum işlem sayısı gibi kısıtlamaların olmamasının sonuçlarını da vurgulamaktadır.
İşletmeler Üzerindeki Potansiyel Etkileri
API1: Bozuk Nesne Düzeyinde Yetkilendirme (BOLA) : Bozuk Nesne Düzeyinde Yetkilendirme (BOLA) güvenlik açıklıkları, yetkilendirilmemiş istekleri kullanarak saldırganların veri nesnelerine erişmesine neden olabilir. Bu durum veri nesnelerinin açığa çıkmasına, veri sızıntısına, değiştirilmesine ve verinin zarar görmesine yol açabilir. Bu durumun önüne geçmek için, Ayrıntılı erişim kontrollerini uygulama. Güçlü kimlik doğrulama ve oturum yönetimi sağlama. Her erişim noktasında yetkilendirmeyi onaylama ve zorlama. Düzenli güvenlik testleri ve denetimler gerçekleştirme. Yetkilendirme faaliyetlerini izleme ve kayıt altına alma. API’leri ve kütüphaneleri düzenli olarak güncel tutma gibi etkenler göz önünde bulundurulabilir.
API2:2023 Kırık Kimlik Doğrulama (Broken Authentication): Kırık Kimlik Doğrulama, API’nin kullanıcılarını düzgün bir şekilde kimlik doğrulayamadığında ve uygulama kullanıcının meşru olup olmadığını tespit edemediğinde ortaya çıkan bir güvenlik açığıdır. Sonuç olarak, saldırgan API, uygulama ve kaynakları üzerinde kısmi veya tam kontrol sağlayabilir. Bu OWASP API Top 10 2023 zayıflıkları, API’yi şiddetli saldırılara, kimlik bilgileri sızdırma saldırılarına vb. karşı savunmasız hale getirir. Bu durumunun önüne geçmek adına, Güçlü kimlik doğrulama mekanizmaları uygulama, güvenli oturum yönetimi, güvenli kimlik bilgisi depolama kullanma, hız sınırlama ve hesap kilitleme uygulama, kimlik doğrulama kitaplıklarını düzenli olarak güncelleme ve yama yapma, güvenli kodlama uygulamaları gerçekleştirme, düzenli güvenlik testleri ve denetlemeler gerçekleştirme gibi faktörlere dikkat edilebilir.
API3:2023 Kırık Nesne Özellik Düzeyi Yetkilendirme (Broken Object Property Level Authorization): Tüm kullanıcıların tüm nesne özelliklerine erişmesi gerekmez. Belirli nesne özelliklerine erişim sağlamak için kullanıcı kendini doğrulamalı ve erişim izinlerini doğrulamalıdır. Kırık Nesne Özellik Düzeyi Yetkilendirme zafiyeti, kısıtlanması gereken nesne özelliklerine sınırsız erişim sağlar. Bu nedenle saldırganlar nesne özelliklerine erişebilir, değiştirebilir, ekleyebilir ve silabilir. Bu gibi durumların önlenmesi adına, atıf tabanlı erişim kontrolü (ABAC) uygulama, girişleri doğrulama ve temizleme uygulama, uygun yetkilendirme kontrolleri uygulama, en az ayrıcalık ilkesini uygulama, güvenli nesne özellik manipülasyonunu uygulama, nesne özellik erişimini izleme ve kaydetme gibi önlemler alınabilir.
API4:2023 Sınırsız Kaynak Tüketimi (Unrestricted Resource Consumption): Kaynaklar, API’lerin temelindedir; kaynaklar olmadan API’ler çalışamaz. Ancak, kaynakların varlığı aynı zamanda API güvenliği risklerini de beraberinde getirir, çünkü kaynakları programlı olarak açığa çıkarır. Uygun sınırlamalar olmadan saldırganlar çoklu istekler göndererek API’leri aşırı yükleyebilir. Bu, hizmetlerin bozulmasına, DoS/DDoS saldırılarına, performans gecikme sorunlarına, çökmelere vb. neden olur. Bu durumlar için önerilebilecek çözümlerden bir kaçı şu şekilde olabilir, kısıtlama ve hız sınırlama uygulama, kota ve kullanım sınırları uygulama, kaynak kullanımını izleme ve analiz etme, önbellek ve içerik dağıtım ağları (CDN’ler) uygulama, verimli algoritmalar ve veri yapıları uygulama, giriş doğrulama ve temizleme uygulama, kaynak izleme ve ölçeklendirme uygulama.
API5:2023 Kırık İşlev Düzeyi Yetkilendirme (Broken Function Level Authorization – BFLA): API’ler, kullanıcıların yetki seviyelerine göre belirli kullanıcı işlevlerine ve eylemlerine erişimini kontrol etmek için işlev düzeyinde yetkilendirme kullanır. Her işlev ve eylemin yetkilendirme, doğrulama ve izin kontrolünü sağladığından emin olur. Kırık İşlev Düzeyi Yetkilendirme zafiyetleri, bu işlev düzeyi yetkilendirmeleri başarısız olduğunda ortaya çıkar ve saldırganlara veri/özellik değiştirme veya silme, yetkisiz erişim, ayrıcalık yükseltme saldırıları vb. gibi kısıtlanmış eylemleri gerçekleştirme olanağı tanır. Çözüm önerisi için ise, işlev düzeyi yetkilendirme temelinde ince ve ayrıntılı erişim kontrolleri uygulama, API içinde her işlev veya eylem için yetkilendirme kontrollerini doğrulama ve uygulama, yetkilendirme kurallarını düzenli olarak kullanıcı rollerindeki veya izinlerindeki değişiklikleri yansıtacak şekilde gözden geçirme ve güncelleme, kullanıcılara belirli işlevleri gerçekleştirmek için gerekli en az ayrıcalıkları vererek en az ayrıcalık ilkesini uygulama verilebilir.
API6:2023 Hassas İş Akışlarına Sınırsız Erişim (Unrestricted Access to Sensitive Business Flows): API uç noktasındaki yetersiz erişim kısıtlamaları, hassas iş akışlarının açığa çıkmasına yol açabilir. API uç noktasının açığa çıkardığı iş akışlarını dikkatlice düşünmek önemlidir, çünkü bazı akışlar daha hassas bilgilere sahiptir ve bu bilgilere uygun kısıtlamalar olmadan erişilirse ciddi zarara neden olabilir. Çözüm olarak ise, API içindeki hassas iş akışlarını tanımlama ve sınıflandırma, yalnızca yetkilendirilmiş kullanıcıların hassas iş akışlarına erişebilmesini sağlamak için uygun erişim kontrolleri ve kısıtlamaları uygulama, rol tabanlı erişim kontrolü (RBAC) veya özellik tabanlı erişim kontrolü (ABAC) mekanizmalarını kullanarak hassas iş akışları için uygun yetkilendirmeyi uygulama önerilebilir.
API7:2023 Sunucu Tarafı İstek Sahteciliği (Server-Side Request Forgery – SSRF): Sunucu Tarafı İstek Sahteciliği, API’lerin kullanıcı tarafından kontrol edilen URL’leri işlediği ve kullanıcı isteğini doğrulamadan içsel/uzak sunucu kaynaklarını alabildiği durumlarda meydana gelir. Bu nedenle, saldırganlar URL’yi manipüle ederek güvenlik duvarlarıyla korunan dahili sunuculara erişebilirler. Bu, hassas bilgilere erişim ve diğer kötü niyetli faaliyetler için kullanılabilir. Bu konuda önerilebilecek çözümler ise, kullanıcı tarafından kontrol edilen girişlerin sunucu tarafı isteklerinde kullanılmasını önlemek için sıkı giriş doğrulama ve temizleme uygulama, izin verilen URL’leri veya IP adreslerini sınırlamak için izin verilen URL’leri veya IP adreslerini beyaz liste olarak kullanma, geçerli URL’leri yalnızca kabul eden sıkı doğrulama uygulamak için URL ayrıştırma kitaplıklarını veya işlevlerini kullanma, sunucu tarafı isteklerinin uygun yetkilerle yapılmasını sağlamak için güvenli kimlik doğrulama ve yetkilendirme mekanizmalarını uygulama şeklinde olabilir.
API8:2023 Güvenlik Yanlış Yapılandırma (Security Misconfiguration): API’lerde güvenlik yanlış yapılandırmaları, güvenlik en iyi uygulamalarının düzgün bir şekilde takip edilmediği ve/veya API yığınının güvenliğinin düzgün bir şekilde sertifikalandırılmadığı durumlarda ortaya çıkar. Bu zafiyetlere örnek olarak en son yamaların uygulanmamış olması, hata günlüklerinin istenmeyen şekilde açığa çıkarılması, güncellenmemiş eski seçeneklerin açığa çıkması, gereksiz özellikler/hizmetler, CORS politikasının yanlış uygulanması, gereksiz etkinleştirilmiş HTTP fiilleri vb. verilebilir. Güvenlik yanlış yapılandırmaları, API’leri bir dizi güvenlik riskine açık hale getirir. Çözüm önerisi olarak, API’nin tüm bileşenleri için güvenli yapılandırma en iyi uygulamalarını takip etme, bunlar web sunucusu, uygulama sunucusu, veritabanı sunucusu ve diğer destekleyici yazılımları içerir, Tüm yazılım bileşenlerinin güncel ve güvenli sürümlerini çalıştıklarından emin olmak için düzenli olarak yazılım bileşenlerini güncelleme ve yama yapma önerilebilir.
API9:2023 Uygun Olmayan Envanter Yönetimi (Improper Inventory Management): Uygun Olmayan Envanter Yönetimi güvenlik riski, organizasyonların doğru bir şekilde envanterlenmeyen, belgelenmeyen ve yönetilmeyen çok sayıda iç ve üçüncü taraf API’sine sahip olmalarından kaynaklanır. Bu zafiyetlere örnek olarak kullanılan API’lerin çok sayıda sürümünün olması, geliştirme API’larının açığa çıkması, uygun erişim kontrol politikalarının olmaması vb. verilebilir. Uygun Olmayan envanter yönetimi, API’leri, iş mantığını ve kaynakları açığa çıkarır. Görünürlüğün eksikliği, güvenlik yanlış yapılandırmaları, zayıf yetkilendirme, kimlik doğrulama vb. gibi daha fazla zafiyet yaratır. Verilebilecek çözüm önerileri olarak. Tüm API ile ilgili varlıkları, donanımları, yazılımı ve ağ bileşenlerini takip ve izlemek için bir envanter yönetim sistemi uygulama, API envanterini yönetme ve bakma süreçleri ve sorumlulukları kurma, envanterin doğruluğunu ve eksiksizliğini doğrulamak için düzenli olarak denetlemeler yapma önerilebilir.
API10:2023 Güvensiz API Tüketimi (Unsafe Consumption of APIs): Geliştiriciler, özellikle tanınmış üçüncü taraf sağlayıcılar ve tedarikçilerle çalışırken alınan verilere güvenirler ve daha az sıkı güvenlik politika ve standartları uygularlar. Örneğin, izinleri sınırlamayabilirler, verileri/ girişleri yeterince doğrulamayabilirler ve gevşek kimlik doğrulama ve yetkilendirme politikalarına sahip olabilirler. Geliştiriciler, üçüncü taraf sağlayıcılarını ve tedarikçilerini hackleyebilirse, API’lerini ve kaynaklarını ihlallere ve saldırılara karşı savunmasız bırakırlar. Çözüm önerisi olarak, kötü niyetli veya beklenmeyen girişlerin API tarafından tüketilmesini önlemek için sıkı giriş doğrulama ve temizleme uygulama, yalnızca yetkilendirilmiş kullanıcıların veya sistemlerin API’yi tüketebilmesini sağlamak için uygun kimlik doğrulama ve yetkilendirme mekanizmalarını uygulama, API ile API tüketicileri arasında iletilen verilerin şifrelenmesi için TLS/SSL gibi güvenli iletişim protokollerini kullanma verilebilir.