Hatalı kimlik doğrulama riski, belirli bir saldırı modeli veya uygulama güvenlik zafiyetiyle sınırlı değildir.
Kullanıcı kimlik doğrulama kontrolleri doğru uygulanmadığında veya tamamen gözden kaçtığında uygulamalar zafiyet barındırır hale gelir ve kullanıcı hesaplarının ele geçirilmesi riski de artar.
OWASP, yetersiz kimlik doğrulama hatalarından faydalanarak gerçekleştirilebilen saldırıları 3 ana başlık altında açıklamaktadır:
- Kullanıcı bilgilerini deneme (Credential Stuffing)
- Kaba kuvvet saldırıları ile erişim (Brute Force Access)
- Oturum çalma (Session Hijacking)
Kullanıcı bilgilerini deneme (Credential Stuffing) çeşitli veri ihlalleri sonucu internete düşmüş olan kullanıcı adı ve parola kombinasyonlarından oluşturulan listeleri kullanarak otomatize araçlar ile kullanıcı girişi yapmaya çalışmaktır.
Kullanıcıların genellikle farklı platformlarda aynı parolayı kullanma alışkanlığı olduğundan saldırganlar bu yöntem ile zaman zaman başarı sağlayabilmektedir.
Kaba kuvvet saldırıları ile erişim yöntemi, her bir parola ihtimalinin denenmesi ile doğru parolanın bulunmasına çalışılması anlamına gelmektedir. Saldırganlar internette kolay bir arama ile erişilebilen “sık kullanılan parolalar” listelerinden faydalanarak bu parolaları deneyen betikler kullanır ve otomatik araçların kullanılan parolayı bulmasını sağlamaya çalışır.
Kullanıcıların çok sayıda farklı hesap için parola kullanması gerektiğinden genel eğilimleri hatırlayabilecekleri kolay parolalar belirlemektir. Ayrıca farklı hesaplarda aynı parolaları kullanmaları da genellikle karşılaşılan bir durumdur. Bu nedenle kaba kuvvet saldırıları basit ve genellikle başarılı bir saldırı çeşidi haline gelir.
Oturum çalma meşru bir kullanıcının kimliği doğrulanmış oturumunun kötüye kullanılmasıdır. Oturum açıldıktan sonra, sistem genellikle kullanıcıya bir oturum kimliği (session ID) atar, böylece ziyaret edilen her yeni sayfa için yeniden oturum açmaya gerek kalmaz. Bu oturum kimliği, genellikle tarayıcıdaki URL’ye eklenen bir sayı veya kullanıcının cihazına yerleştirilen bir oturum çerezidir. Teorik olarak, kullanıcı oturumu kapattığında (oturumdan) kaldırılır.
Saldırganlar, trafiği izleyerek oturum kimliğini elde edebilirse, meşru kullanıcının oturumunu ele geçirebilir. Mevcut kullanıcının kimliği zaten doğrulanmış olduğundan, saldırgan o kullanıcıya izin verilen herhangi bir eylemi gerçekleştirebilir.
En yaygın oturum çalma saldırıları:
– Oturum jetonunu (token) tahmin etmek,
– Jetonu yakalamak,
– İstemci tarafı saldırılar (XSS, zararlı yazılım barındıran JavaScript Kodları, Truva atları vb.),
– Ortadaki adam (MITM) saldırıları,
– Tarayıcıda ortadaki adam (MITB) saldırılarıdır.
Yetersiz kimlik doğrulama nedeniyle ortaya çıkabilecek hasar uygulamaların işlevselliğini etkileyebilmektedir. Yönetici yetkilerine sahip tek bir hesabın ele geçirilmesi sonucu saldırganlar tüm hesaplara, sisteme ya da ağa erişim sağlayabilir.
Güvenliği ihlal edilen hesabın niteliğine bağlı olarak, saldırganlar hassas verilere erişim sağlayabilir veya kimlik hırsızlığı, dolandırıcılık gibi pek çok yönteme başvurabilir.
Kullanıcı bilgilerinin denenmesi ve kaba kuvvet saldırıları en sık görülen saldırı vektörleridir.