AnasayfatahkikatDijital Devlet Bakanlığı web sitesinde güvenlik açığı

Dijital Devlet Bakanlığı web sitesinde güvenlik açığı

Dijital Devlet Bakanlığı'na ait Kamu Web Siteleri ve Uygulamaları Sicili'nin web sitesinde 585 kayıtlı web sitesi ve 36 kayıtlı uygulama bulunan kritik bir güvenlik açığı bulundu.

İki Yunanlı araştırmacı, Dimitris Hatzidimitris ve Anastasis Vassiliadis, Dijital Hükümet Bakanlığı'nın web sitesinde ve daha özel olarak Kamu Web Siteleri ve Uygulamalar Kaydı'nda bir güvenlik boşluğu bulmayı başardılar. Bu, SQL enjeksiyon tekniğini gerçekleştirmelerine ve kuruluşun veritabanının bir kısmına erişim sağlamalarına izin verdi.

Daha fazla haber: Siber güvenlik analizi: Kıbrıs'ta siber saldırı üzerine araştırma sonuçları

Dijital Devlet Bakanlığı web sitesinde güvenlik açığı
Dijital Devlet Bakanlığı web sitesinde güvenlik açığı

Yunan müfettişlere göre, örgüte güvenlik açığı zamanında bildirildi, ancak bugüne kadar herhangi bir onarım yapılmadı.

Güvenlik açığı, SQL enjeksiyon türü ve belirli bir zayıflıktır:

  • Parametre: orgID (GET)
  • Tür: zamana dayalı kör
  • Başlık: MySQL> = 5.0.12 VE zaman tabanlı kör (SLEEP sorgusu)

"Bu güvenlik açığı, herkese açık web sitelerinin ve uygulamalarının kayıtlarının veritabanına erişmemizi sağladı. Araştırmacılar tipik olarak "Bundan sonra, web sitesinin güvenliğindeki zayıflığı zaten doğruladığımız için, temelin ötesinde sunucuya olası bir erişimle aşağıya devam etmedik", diyorlar.

İşte veritabanından bir ekran görüntüsü.

Tabloların isimler ve şifreler gibi hassas kullanıcı verileri içerdiğini fark ettik.

gibi içeriklerle:

Araştırmacılar tarafından kullanılan kesin bilgi ve zayıflık, araştırmacıların kendileri ve aynı zamanda SecNews tarafından doğrudan ilgilenenlerin hizmetindedir. Kötü niyetli kullanıcılar veya üçüncü ülke bilgisayar korsanları tarafından istismar edilmemesi için güvenlik açığının tam boyutunu ifşa etmiyoruz.

Daha fazla haber: Grace CPU NVIDIA'nın ilk ARM tabanlı veri merkezi işlemcisi

Kuruluşlarda keşfedilen güvenlik açıkları hakkındaki bilgiler son derece gerekli kabul edilir (özellikle yüksek trafikli web sitelerinde olduklarında ve hassas kullanıcı verileri içerdiklerinde) ve SecNews'de bizim için bunlar acil bir önceliktir.

Umarız bu şekilde, yani herhangi bir güvenlik açığının doğrudan açığa çıkması ve "başlığının" daha güvenli bir internete katkıda bulunacağımızı umuyoruz.

Dijital Devlet Bakanlığı web sitesinde güvenlik açığı
Dijital Devlet Bakanlığı web sitesinde güvenlik açığı

Genel Web Siteleri ve Uygulamaların Kaydı

Kamu Web Siteleri ve Uygulamalar Kaydı, Dijital Devlet Bakanlığına aittir, 585 kayıtlı web sitesine ve 36 kayıtlı uygulamaya sahiptir.

İlgili bir yasaya göre, yasal gerekliliklere erişilebilirlik ile uyumlu kamu kurumlarının mobil cihazlarına yönelik tüm web sitelerini ve uygulamalarını zorunlu olarak içeren "Genel Web Siteleri ve Uygulamalar Kaydı" nın (ΜΗ.Δ.ΙΣ.ΕΦ.) bakımı. (ΜΗ.Δ.ΙΣ.ΕΦ.) Dijital Yönetişim Bakanlığı Dijital Strateji Genel Müdürlüğü Erişilebilirlik ve Sosyal İşler Daire Başkanlığı'nda tutulmaktadır.

ΜΗ.Δ.ΙΣ.ΕΦ. AB ve ulusal yasalara uymada önemli bir rol oynar. Ayrıca, mobil cihazlara yönelik web sitelerinin ve uygulamaların erişilebilirliği ve kamu sektörü organları tarafından uygun eylemlerin belirli bir süre içinde üstlenilmesi konularında vatandaşların kamu sektörü organları ile iletişimini kolaylaştıracak mekanizmayı pekiştirme yükümlülüğünün yerine getirilmesine katkıda bulunur.

bilgi: https://mhdisef.mindigital.gr/index.php

Dijital Devlet Bakanlığı web sitesinde güvenlik açığı
Dijital Devlet Bakanlığı web sitesinde güvenlik açığı

SQL enjeksiyon saldırısı

SQL enjeksiyonu, bir saldırganın bir hedef sunucuya karşı SQL ifadelerini "çalıştırmasına" izin veren bir kod enjeksiyon tekniğidir. Başarılı bir SQL enjeksiyon saldırısı, hedef veritabanındaki herhangi bir sorgunun yürütülmesine izin verir, bu da parolalar, kullanıcı adları, e-postalar, kredi kartı numaraları vb. Gibi önemli bilgileri toplama yeteneği anlamına gelir.

Bu saldırılar, veritabanlarının depolandığı arka uç sunucularıyla iletişim kuran web uygulamalarındaki güvenlik açıklarından yararlanır. SQL kısaltması, Yapılandırılmış Sorgu Dili (Yapılandırılmış Sorgu Dili) sözcüklerinden gelir. Bir SQL veritabanına veri eklemek, işlemek ve almak için kullanılan bir programlama dilidir. Saldırganlar, bir sayfanın SQL enjeksiyon güvenlik açığına açık olup olmadığını birkaç basit komutla kolayca öğrenebilirler. Eğer öyleyse, verileri çalabilecek, yok edebilecek ve hatta veritabanı sunucusu yöneticisi olabilecekler.

Dijital Devlet Bakanlığı web sitesinde güvenlik açığı

Daha fazla haber: Güvenlik Açıkları Milyonlarca IoT Cihazını Tehdit Ediyor - Şimdi Güncelleyin!

Önleyici tedbirler

  • Belki de en önemli önlem, bu saldırıya karşı savunmasız kalmaması için veritabanının düzgün tasarımı, iyi yapılandırılması ve sürekli izlenmesidir.
  • Sunucu yapılandırma verilerini kısıtlama: Yanlış parametrelere erişimi kısıtlamak, hedef sunucuya saldırı olasılığını azaltabilir. % 100 güvenlik sunmasa da, veritabanları etrafında güvenliğe yönelik ilk adımdır.
  • Yöneticiler tarafından ağdaki tüm SQL Sunucuları hakkında iyi bilgi: İlk olarak, yöneticiler ağda kaç tane SQL sunucusu olduğunu bilmelidir. Çoğu sunucu dinamik TCP bağlantı noktalarında çalıştığından ve genellikle bu sunucular yalnızca kullanıcı "ihtiyaç duyduğunda" çalıştığından, bu işlem göründüğü kadar basit olmayabilir. Bu nedenle bazı sunucular aktif olmayabilir. Tüm SQL Sunucularını bulmak için SQL Ping, SQL taraması ve daha özel yazılımlar kullanılabilir.
  • Sürekli güncellemeler. Yazılım şirketleri genellikle olası güvenlik açıklarını gidermek için güncellemeler yayınlar. Bu nedenle, kuruluşlar güvende kalmak için uygulamaları, yazılımları ve genel olarak kullandıkları sistemleri güncellemeye özen göstermelidir.
  • Web uygulaması güvenlik duvarını etkinleştirin ve yapılandırın.
  • Bilinmeyen kullanıcıların belirli sunucu bağlantı noktalarına erişiminin engellenmesi: Özellikle SQL enjeksiyon saldırılarında mutlak güvenlik sağlamaz, ancak bir şirketin veya kuruluşun tüm ağı için önemli bir güvenlik önlemidir. Örneğin, UDP Port 1434 [bu port Microsoft SQL veritabanlarını eşlemek için kullanılır] ve SQL Server'ın "dinlediği" tüm TCP portlarının kapatılması güvenliği artırabilir.
  • Güçlü yönetici şifrelerinin benimsenmesi. Güçlü bir parola kullanmak kaba kuvvet, SQL enjeksiyonu ve diğer birçok saldırıyı önleyebilir. Bunların da sık sık değiştirilmesi önerilir.

CEVAP BIRAKIN

Lütfen yorumunuzu girin!
Lütfen adınızı buraya girin

spot_img

CANLI HABERLER