Post

Yanlışlıkla Açığa Çıkan Gizli Belgeler: Güvenli Dizinleme

Posted Updated
By sayinayse
1 min read
Yanlışlıkla Açığa Çıkan Gizli Belgeler: Güvenli Dizinleme

Arama Motorları

Arama motorları yalnızca herkese açık bilgileri bulup istemcisine getirmez. Bazen yanlış yapılandırılmış sistem ve ihmaller, gizli belgelerin de dizinlenmesine sebep olabilir. Çok sayıda arama motoru var; bazıları belirli görevler için özelleşmiş. Örneğin, shodan internet ağına bağlı cihazlarla ilgili sorgular yapabileceğin bir arama motoru. Burada sunucuların türlerini, sürümlerini ya da bir web sunucusu sürümünün kaç sunucu tarafından ve hangi ülkelerde çalıştırıldığını sorgulayabilir ve görebilirsin. Ya da exploit-db ile spesifik bir uygulama için zafiyet sorgusu yapabilirsin.

Problem ne?

Peki burada sorun ne? Arama motorları gelişmiş sorgu parametreleri sunarak kullanıcıların belirli dosya tiplerini, anahtar kelimeleri veya unutulmuş açık içerikleri bulmasına imkân verebilir (örneğin Google dorking, Google hacking). Bu yöntem, düzgün yapılandırılmamış ve güvenlik önlemleri alınmamış sistemlerde erişilmesi istenmeyen, gizli içeriklerin açığa çıkmasına sebep olabilir.

Örneğin aşağıdaki sorgu, docdroid.net üzerinde “confidential” kelimesi geçen PDF dosyalarını listeliyor:

1

site:docdroid.net "confidential" filetype:pdf

Yaptığım test sırasında, uluslararası bir organizasyonun “Confidential” ibaresi taşıyan bir katılımcı listesine dâhil olmak üzere üzerinde gizlilik ibaresi bulunan birçok dosyaya rastladım. Buradaki sorun, yalnızca yetkililerin erişebilmesi gereken dosyaların arama motoru tarafından dizinlenmesidir.

Örnek

Bahis olunan bu dizinlenme hatası nedeniyle World Economic Forum Annual Meeting 2023 başlıklı, “Confidential” ibaresi taşıyan bir belgeye eriştim. Belgede katılımcı isimleri ve e-posta adresleri bulunuyordu, ancak PDF üzerinde bu bilgiler görsel olarak siyah kutularla kapatılmıştı (ve gözden kaçan e-posta adresi de mevcuttu). Zaten bu tip görsel kapatmalar yapılsa da metni tamamen kaldırmadığı için teknik olarak geri kazanılabiliyor çoğu zaman.

Aşağıda belgenin kişisel verilerden tamamen arındırılmış, yalnızca başlık ve “Confidential” uyarısını içeren ilk sayfa görüntüsü yer almakta:

Belge

Ne yapmalı?

Peki bu sızıntının (ve benzerlerinin) nedeni nedir ve önlemek için neler yapılabilir?

  1. Yanlış robots.txt yapılandırması yapmamalı —> Tarayıcıların bu belgelere erişiminin engellenmesi gerekir.
  2. HTTP başlıkları eksik olmamalı —> x-robots-tag: noindexeklenmeli.
  3. Açık erişimli depolama alanlarında yanlış erişim yönetimi yapılmamalı.
  4. Yanlış yöntemle gizleme işlemi yapılması —> Görsel kapatma yerine metnin dosyadan kaldırılmalı ya da geri çıkarılamayacak şekilde kapatılmalı.
Çeşitli Yazılar
bilgi güvenliği
This post is licensed under CC BY 4.0 by the author.