HTTP Desteği Veren Web Uygulamasında HTTPS Protokolünde Araya Girme Saldırılarına Karşı Güvenlik Önlemleri

SSL, istemci ile sunucu arasındaki trafiği şifreleyerek güvenli haberleşmeyi sağlayan bir güvenlik protokolüdür. Ancak HTTP üzerinden hizmet veren ve HTTPS sayfasına yönlendiren web sitelerinde SSL ile araya girilebilmektedir. Bu yazıda, HTTP üzerinden HTTPS sayfaya yönlendirme yapan web uygulamalarında SSL bağlantısında araya girilme saldırılarından korunma yöntemleri ele alınacaktır.

SSL’de araya girme saldırılarından korunmak için öncelikle kullanıcının daha dikkatli olması gerekmektedir. Kritik bir uygulamaya(E-Posta,E-Ticaret) giriş yapılacak ise URL üzerinden gidilen adresin HTTPS olduğundan emin olunmalıdır.

Bankalar İnternet bankacılığı uygulamalarında bu tür saldırılara önlem almak amacı ile HTTP desteğini vermezler. Aşağıdaki ekran görüntüsünden de anlaşılacağı gibi kritik uygulamaya HTTP bağlantısı ile erişilmeye çalışıldığında sayfa erişiminin olmadığı ile alakalı 404 veya 403 hata sayfası gösterilir. Bu sayede SSLStrip gibi saldırılara maruz kalınması engellenmiş olunur.

mitigating-man-in-the-middle-and-sslstrip-attacks-over-https-01

Şekil – 1. İnternet bankacılığı sayfalarına HTTP ile bağlanıldığında gösterilen 404 hata sayfası

 

 

mitigating-man-in-the-middle-and-sslstrip-attacks-over-https-02

Şekil – 2. İnternet bankacılığı sayfalarına HTTP ile bağlanıldığında gösterilen 404 hata sayfası

 

 

Ayrıca tarayıcı bazlı bir güvenlik önlemi olarak ta Mozilla Firefox’ un No_Script [4] veya Google Chrome’ un notScript eklentileri kullanılabilir. Bu eklentiler ile Gelişmiş ayarlar altında bulunan HTTPS sekmesinde belirleyeceğiniz sitelere HTTPS dışında erişimi engelleyebilirsiniz. Bu sayede kritik işlemlerinizi yaptığınız uygulamalar için böyle bir kural ile bu tarz saldırılardan korunmuş olunur.

mitigating-man-in-the-middle-and-sslstrip-attacks-over-https-03

Şekil – 3. Korunma yöntemi olarak kullanılabilecek NoScript ayarlarını gösterir ekran görüntüsü

 

 

Kaynaklar:

[1] http://www.thoughtcrime.org/software/sslstrip/
[2] http://www.backtrack-linux.org/
[3] http://tr.wikipedia.org/wiki/Arp_zehirlenmesi
[4] https://addons.mozilla.org/en-us/firefox/addon/noscript/
[5] http://ettercap.github.io/ettercap/index.html

 

 

 

 

 

 

Yazarın Bilgileri

Abdurrahim ÖZEL
Abdurrahim ÖZEL

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.