File Upload Açıkları ve Exploit Yöntemleri
Nisan 14, 2026
Sızma Testi
Web uygulamalarında kullanıcıların sunucuya dosya (profil resmi, doküman, fatura vb.) yüklemesine izin veren fonksiyonlar, siber saldırganlar için en kritik ve doğrudan istismar edilebilir saldırı yüzeylerinden birini oluşturur. File Upload (Dosya Yükleme) açıkları, uygulamanın yüklenen dosyanın adını, tipini, içeriğini veya boyutunu yeterince doğrulamadığı durumlarda ortaya çıkar. 2026 yılı itibarıyla, bulut tabanlı depolama çözümleri ve gelişmiş güvenlik duvarları yaygınlaşsa da, yanlış yapılandırılmış sunucular ve eksik girdi kontrolleri bu açığı hala “kritik” seviyede tutmaktadır. Başarılı bir dosya yükleme istismarı, saldırganın sunucu üzerinde tam kontrol sağlamasına (RCE – Remote Code Execution) yol açabilir. Bu makale, dosya yükleme zafiyetlerinin teknik anatomisini, gelişmiş exploit yöntemlerini ve bu risklere karşı alınması gereken savunma stratejilerini analiz etmektedir.
File Upload Açığı Nedir?
Dosya yükleme açığı, özünde bir “güven” ve “filtreleme” hatasıdır. Uygulama, kullanıcının sadece zararsız bir resim dosyası (örneğin .jpg) yükleyeceğini varsayar; ancak saldırgan, sunucu tarafında yorumlanabilecek bir betik dosyası (örneğin .php, .asp, .jsp) yükleyerek bu güveni suistimal eder. Eğer sunucu, yüklenen bu dosyayı bir metin dosyası gibi saklamak yerine bir program gibi çalıştırırsa, saldırgan sunucu içerisinde komut koşturabilir. Kurumsal perspektifte bu durum, tüm veritabanının çalınması, sistemin fidye yazılımı ile şifrelenmesi veya sunucunun bir “zombi” makineye dönüştürülerek başka saldırılarda kullanılması anlamına gelir.
Gelişmiş Exploit Yöntemleri
Saldırganlar uygulama filtrelerini aşmak için çeşitli teknikler geliştirmişlerdir:
1. Uzantı Filtrelerini Aşma (Extension Bypass)
Alternatif Uzantılar: .php yerine .php5, .phtml, .phar veya .asa, .cer gibi alternatifleri denemek.
Çift Uzantı (Double Extension):
resim.jpg.phpşeklinde bir isimlendirme ile kontrol mekanizmalarını yanıltmak.Null Byte Injection:
kabuk.php%00.jpgkullanarak kontrolün dosyayı resim sanmasını, ancak sistemin dosyayı .php olarak kaydetmesini sağlamak.
2. İçerik ve MIME Tipi Manipülasyonu
MIME Spoofing: HTTP başlığındaki
Content-Typebilgisini manuel olarakimage/jpegşeklinde değiştirmek.Magic Bytes Manipülasyonu: Dosyanın en başına bir resim imzasını (örneğin GIF89a;) ekleyerek sunucu tarafındaki doğrulamaları kandırmak.
3. İstemci Tarafı Kontrollerini Devre Dışı Bırakma
Kontrol sadece JavaScript ile yapılıyorsa, saldırgan doğrudan Proxy araçları (Burp Suite gibi) ile zararlı dosyayı sunucuya gönderebilir.
Riskler ve Kurumsal Etkiler
Uzaktan Komut Çalıştırma (RCE): Sunucunun tam kontrolünün kaybedilmesi.
Veri İhlali ve KVKK: Kişisel verilerin ve veritabanı bağlantı bilgilerinin ele geçirilmesi.
Defacement: Web sitesinin ana sayfasının değiştirilmesiyle oluşan itibar kaybı.
Lateral Movement: Ele geçirilen sunucu üzerinden kurumun iç ağına sızılması.
Önleme ve Güvenlik Önlemleri
“Asla Kullanıcı Girdisine Güvenme” prensibiyle şu teknik önlemler alınmalıdır:
Beyaz Liste (Whitelist) Kontrolü: Sadece izin verilen uzantılara (örneğin .pdf, .jpg) izin verilmelidir.
Dosya İsmini Yeniden Oluşturma: Kullanıcının verdiği isim yerine rastgele bir isim (UUID) atanmalıdır:
user_123.jpg -> a1b2-c3d4.jpg.Depolama Alanını İzole Etme: Dosyalar web sunucusunun çalışma dizininin dışında veya bulut depolama servislerinde saklanmalıdır.
Çalıştırma Yetkisini Kaldırma: Dosyaların yüklendiği dizinde script çalıştırma yetkisi sunucu konfigürasyonu üzerinden kapatılmalıdır.
Antivirüs Taraması: Yüklenen her dosya kalıcı dizine taşınmadan önce otomatik bir taramadan geçirilmelidir.
File Upload açıkları, basit bir dikkatsizliğin tüm bilişim altyapısını çökertebileceği en tehlikeli zafiyet türlerinden biridir. 2026 dünyasında siber dayanıklılık, her bir baytlık verinin sunucuya girmeden önce titizlikle incelenmesini gerektirir. Güvenli bir uygulama, yüklenen her dosyayı potansiyel bir “bomba” olarak gören ve onu güvenli bir alanda etkisiz hale getiren mimari üzerine inşa edilir.
Tags :
#RCE,#SiberSavunma,BypassTeknikleri,fileupload,WebGüvenliği
Share This :