HTTP Desteği Veren Web Uygulamasında HTTPS Protokolünde Araya Girme Saldırılarına Karşı Güvenlik Önlemleri

SSL, istemci ile sunucu arasındaki trafiği şifreleyerek güvenli haberleşmeyi sağlayan bir güvenlik protokolüdür. Ancak HTTP üzerinden hizmet veren ve HTTPS sayfasına yönlendiren web sitelerinde SSL ile araya girilebilmektedir. Bu yazıda, HTTP üzerinden HTTPS sayfaya yönlendirme yapan web uygulamalarında SSL bağlantısında araya girilme saldırılarından korunma yöntemleri ele alınacaktır.

SSL’de araya girme saldırılarından korunmak için öncelikle kullanıcının daha dikkatli olması gerekmektedir. Kritik bir uygulamaya(E-Posta,E-Ticaret) giriş yapılacak ise URL üzerinden gidilen adresin HTTPS olduğundan emin olunmalıdır.

Bankalar İnternet bankacılığı uygulamalarında bu tür saldırılara önlem almak amacı ile HTTP desteğini vermezler. Aşağıdaki ekran görüntüsünden de anlaşılacağı gibi kritik uygulamaya HTTP bağlantısı ile erişilmeye çalışıldığında sayfa erişiminin olmadığı ile alakalı 404 veya 403 hata sayfası gösterilir. Bu sayede SSLStrip gibi saldırılara maruz kalınması engellenmiş olunur.

 

 

 

 

Ayrıca tarayıcı bazlı bir güvenlik önlemi olarak ta Mozilla Firefox’ un No_Script [4] veya Google Chrome’ un notScript eklentileri kullanılabilir. Bu eklentiler ile Gelişmiş ayarlar altında bulunan HTTPS sekmesinde belirleyeceğiniz sitelere HTTPS dışında erişimi engelleyebilirsiniz. Bu sayede kritik işlemlerinizi yaptığınız uygulamalar için böyle bir kural ile bu tarz saldırılardan korunmuş olunur.

 

 

Kaynaklar:

[1] http://www.thoughtcrime.org/software/sslstrip/
[2] http://www.backtrack-linux.org/
[3] http://tr.wikipedia.org/wiki/Arp_zehirlenmesi
[4] https://addons.mozilla.org/en-us/firefox/addon/noscript/
[5] http://ettercap.github.io/ettercap/index.html