SGE Blog Yayınları

Web Uygulamalarda Eposta Adres İfşası Açıklığı

Web Uygulamalarda Eposta Adres İfşası Açıklığı

yazan Hasan Fatih Şimşek -
Number of replies: 0

Web uygulamalarında eposta adreslerine yer verilmesine eposta ifşası adı verilir. Web uygulamaları içerisinde yer alan eposta adreslerinin varlığı bir güvenlik zafiyeti doğurur demek tam doğru olmasa da bir miktar doğruluk payına sahiptir. Saldırganlar web uygulamalarındaki eposta adreslerini otomatik eposta yakalayıcısı araçlar kullanarak elde edebilirler. Buradan hareketle bu adreslere yoğun bir spam yağmuru saldırısı yapabilirler (böylece epostanıza hergün / her saat yüzlerce / binlerce istenmeyen eposta gelebilir ve belki sunucunuzun kapasitesi zorlanabilir), aldatıcı epostalar gönderebilirler ve bu sayede kritik bilgileri almaya dönük sosyal mühendislik saldırıları yapılabilirler veya eposta adreslerinin şifresini kırmak için şifre kırma saldırıları yapma imkanı elde edebilirler. Eğer web uygulaması içerisinde yer alan eposta adresleri "kişisel" eposta adresleri ise saldırganlar bu eposta adreslerinin üzerinde yer alan isim-soyisim, doğum tarihi, kullanıcı adı gibi bilgilerden yola çıkarak başka saldırı türlerine evrilebilirler.

Normalde web uygulama içerisinde eposta adresi verilmesi olmazsa olmaz olabilir. Bu durumda eposta adreslerinin "kişisel" olmamasına dikkat edilmesi gerekmektedir. Bu türden kişisel eposta adresleri yerine genel isimlendirmeye (örn; destek@example.com, iletisim@example.com, support@example.com, contact@example.com, info@example.com gibi isimlendirmelere) sahip eposta adresleri kullanılmalıdır. Bu sayede sosyal yönden aldatılma saldırılarına (sosyal mühendislik saldırılarına) karşı minimum bilgi verme prensibi doğrultusunda daha güvende kalınabilir.

Web uygulama içerisinde eposta adresi kulanımı gerekli olduğu durumlarda ayrıca kötü niyetli kimselere karşı, bir malzeme (eposta adresleri) edinme zorluğu vermek amacıyla otomatik eposta yakalayıcı araçların ekranına düşmeyecek şekilde eposta adresleri kullanılabilir.

deneme[at]kurumadi.com
deneme[at]kurumadi[nokta]com
deneme(at)kurumadi.com
deneme(at)kurumadi(nokta)com
...

Bu önlemler ile birçok eposta yakalayıcı araç eposta adreslerini yakalayamayacağından geriye manuel (elle) tarama ve inceleme seçeneği kalacaktır. Bu ise ekstra efor istediğinden saldırganların birçoğunu elemiş olacaktır. Yani bu durum olası saldırıların önemli ölçüde azalmasıyla sonuçlanacaktır. Ancak bazı eposta yakalayıcı araçlar regexp desteğine de sahip olduklarından yukarıdaki önlemler uygulansa bile epostaların otomatize bir şekilde yakalanması halen mümkündür. Bu nedenle güvenliği bir kademe daha yükseltmek için @ sembolünün eposta adresi üzerinde resim olarak yerleştirilmesi önerilir veya eposta adresinin tamamen resim halde sunulması önerilir. Bu şekilde bütün eposta yakalayıcı araçlar atlatılabilir ve spam, sosyal mühendislik, şifre kırma saldırıları minimize edilebilir.

Not: Eğer web uygulama içerisinde sunulan eposta adresinin kullandığı eposta sunucusu spam epostalarına karşı koruma mekanizmasına sahip değilse web sayfalarında sunmak hedef tahtası haline getirebilir ve bu durum eposta adresine spam yağmuru olarak dönebilir. Bu nedenle web uygulama içerisinde eposta adreslerini sunmak yerine web uygulamasına captcha koruması olan bir iletişim formu ekleme tercih edilebilir. Bu sayede eposta yakalayıcı araçlar hedef web uygulamasında hiçbir eposta adresi yakalayamayacakları gibi iletişim formundaki captcha sayesinde de iletişim formuna spam yapamayacaklardır.


415 kelime