Oturum Yönetimi Nedir?
Oturum yönetimi, kullanıcının sisteme giriş yaptıktan sonra kimliğinin her istekte yeniden doğrulanması yerine, benzersiz bir Session ID veya Token (JWT) üzerinden tanınmasını sağlayan kritik bir mekanizmadır. Saldırganlar için bu yapı, parola bilmeye gerek kalmadan sadece bu kimliği ele geçirerek (Session Hijacking) veya kullanıcıyı belirli bir kimliğe zorlayarak (Session Fixation) hesabı ele geçirmenin en kestirme yoludur. Güvenli bir oturum yönetimi için token’ların tahmin edilemez karmaşıklıkta olması, HttpOnly ve Secure bayraklarıyla korunması ve mutlaka makul bir zaman aşımı (Timeout) süresiyle sınırlandırılması hayati önem taşır.
Ters Proxy Saldırıları (Reverse Proxy Phishing): Gerçek Zamanlı Oturum Çerezlerini Ele Geçiren Ortadaki Adam Saldırıları
Siber saldırganlar, geleneksel kimlik avı yöntemlerinin MFA (Çok Faktörlü Doğrulama) duvarına çarpmasıyla birlikte, Ters Proxy Phishing adı verilen çok daha sofistike bir yönteme yönelmişlerdir. Bu saldırıda, saldırgan hedef sitenin statik bir kopyasını oluşturmak yerine, kullanıcı ile meşru site arasında canlı bir “proxy” sunucusu olarak konumlanır. Kullanıcı şifresini ve MFA kodunu girdiğinde, bu veriler saldırganın üzerinden gerçek siteye iletilir; ancak bu esnada saldırgan, oturumun devamlılığını sağlayan Oturum Çerezlerini (Session Cookies) ele geçirir.
Bu saldırı türünün en tehlikeli yanı, şifre ve MFA kodu tek kullanımlık olsa bile, çalınan çerez sayesinde saldırganın kurbanın hesabına “doğrulanmış bir oturum” ile doğrudan sızabilmesidir. Geleneksel SMS veya uygulama tabanlı (TOTP) kodlar bu saldırıya karşı savunmasız kalırken, yalnızca FIDO2/WebAuthn tabanlı donanım anahtarları (YubiKey vb.) bu süreci durdurabilir. Çünkü bu cihazlar, kimlik doğrulama işlemini doğrudan alan adı (domain) ile ilişkilendirerek proxy sunucularının araya girmesini engeller.
[Image comparing standard phishing versus reverse proxy phishing with real-time session hijacking]
Kurumsal savunma için sadece kullanıcı eğitimi yeterli değildir; HttpOnly ve SameSite gibi çerez güvenlik politikalarının sıkılaştırılması, davranışsal anomali tespit sistemlerinin devreye alınması ve mümkünse tamamen donanımsal kimlik doğrulamaya geçilmesi hayati önem taşır. Ters proxy saldırıları, siber güvenliğin statik bir savunma değil, sürekli değişen saldırgan taktiklerine karşı dinamik bir “karşı hamle” sanatı olduğunu bir kez daha kanıtlamıştır.