1. Ana Sayfa
  2. Exchange Server 2003
  3. OWA için Captcha Validation Kullanarak Güvenliğin Sınırlarını Zorlayın

OWA için Captcha Validation Kullanarak Güvenliğin Sınırlarını Zorlayın

Daha önce Outlook Web Access üzerinde SSL yapılandırmasını incelemiştik. Şimdi güvenliğinin sınırlarını biraz daha zorlayalım istiyorum. Bildiğiniz gibi genelde şifrenizi kırmak isteyen kötü niyetli bir kullanıcı bu işlemi tek tek şifreleri deneyerek yapmaz. Bunun için bir şifre havuzundan, şifreleri otomatik deneyen bir bot kullanır. Bu işleme bruteforce attack denir. üzerinde brute force attacklere karşı alabileceğimiz en iyi önlemlerden biri  ‘dır.

Captcha validation nedir? Aslında çoğumuz internet sitelerine üye olurken bir çok kez kullandık ancak ismini bilmiyor olabiliriz. Completely Automated Public Turing test to tell Computers and Humans Apart (Captcha); kullanıcı adı ve şifre ile birlikte, site üzerinde rasgele beliren bir dosyası üzerindeki karakterlerin de kullanıcı tarafından yazılmasını gerektiren bir kimliklendirme biçimidir. Bruteforce yapan bir bot, dosyası üzerindeki yazıyı okuyamayacağı için kullanıcı adı ve şifreyi doğru tahmin etse bile sisteme giremeyecektir. Böylelikle sisteminiz botlarla insanları ayırt etme yetisine sahip olacaktır.

Peki captcha validation’ı OWA ile nasıl entegre edeceğiz? Bunun için bir çok çözüm var ancak ben tamamen ücretsiz olan Jonathan Feaster tarafından yazılmış bir script ile konuyu örneklemek istiyorum. http://www.archreality.com/jcap/ ‘den jcap.zip dosyasını indirip sisteminizde c:\program files\exchsrvr\exchweb\ dizinine açmamız gerekiyor. İki adet .js dosyası ve bir de resim dosyalarının tutulduğu cimg adında bir klasör göreceksiniz.

Şekil-1

Daha sonra C:\Program Files\Exchsrvr\exchweb\bin\auth\ klasörünü açın. Klasör içerisinde kullanıcı OWA ‘ya logon olurken karşınıza gelen asp sayfasına ait logon.asp dosyalarını içeren farklı diller için ayrı ayrı klasörler göreceksiniz. Eğer birden çok dil için yapılandırmak istiyorsanız logon.asp dosyalarını tek tek modifiye etmelisiniz. Ben burada sadece türkçe için gerekli ayarlamaları anlatacağım. C:\Program Files\Exchsrvr\exchweb\bin\auth\trk\logon.asp dosyasının bir yedeğini alalım. (En iyi bildiğimiz işi yapıyor olsak bile yedek her zaman iyidir!) Dosyayı notepad ile açalım. Dosya içinde </HEAD> kelimesini aratalım ve bu kelimenin önüne aşağıdaki kodu yapıştıralım. (Javascript’in case sensitive olduğunu unutmayalım)

<script type=”text/javascript” language=”javascript” src=”/exchweb/md5.js”></script>

<script type=”text/javascript” language=”javascript” src=”/exchweb/jcap.js”></script>

<script type=”text/javascript” language=”javascript”>

function doJcap()

{

if (jcap() == true)

{ document.forms[0].action = “/exchweb/bin/auth/owaauth.dll”; return true; }

else

{ return false; }

}

</script>

Şekil-2

Şimdi <FORM kelimesini aratalım ve  <FORM ile action arasına aşağıdaki kodu yerleştirelim.

onsubmit=”return doJcap();”

Aşağıdaki text’i silerek action tanımlamasını kaldıralım.

action=”/exchweb/bin/auth/owaauth.dll”

Birkaç satır aşağıda bir <FORM> kelimesi daha göreceksiniz, bu satır için de yukarıdaki iki düzenlemeyi tekrarlayalım.

Şekil-3

İkinci <FORM tag den sonra gelen <% End If %> satırından hemen sonraki satıra aşağıdaki kodu yerleştirin.

<center>

<script language=”javascript” type=”text/javascript”>cimg()</script><br>

<noscript>[This resource requires a Javascript enabled browser.]</noscript>

<font color=”white” size=”2″><b>Enter the code as it is shown above:</b><br>

<input type=”text” name=”uword” id=”uword”>

</center>

Şekil-4

Logon.asp dosyası ile işimiz bitti, artık dosyayı kaydedip kapatabiliriz. Şimdi C:\Program Files\Exchsrvr\exchweb dizinine açtığımız jcap.js dosyasını notepad ile açalım. var imgdir ile başlayan satıra ilerleyelim ve tanımlanan path’i aşağıdaki gibi değiştirelim.

var imgdir = “/exchweb/cimg/”;

Şekil-5

Jcap.js dosyasını kaydedip kapatalım. İşlemimiz bitti artık OWA ya bir daha ki logon sırasında sistem karşınıza bir jpg dosyası getirecek ve kullanıcı adı + şifreniz yanında bu jpg dosyasındaki karakterleri yazmanızı isteyecektir. Böylelikle bir spambot ile normal bir kullanıcıyı ayırt etmiş olacak, OWA güvenliğini bir kat daha arttırmış olacaksınız.

Bu konuyla ilgili sorularınızı https://forum.mshowto.org linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz.

Referanslar

www.mshowto.org

Yorum Yap

Yorum Yap