OWA için Captcha Validation Kullanarak Güvenliğin Sınırlarını Zorlayın

11/05/2006 Okuma süresi: 3dk, 52sn

Daha önce Outlook Web Access üzerinde SSL yapılandırmasını incelemiştik. Şimdi OWA güvenliğinin sınırlarını biraz daha zorlayalım istiyorum. Bildiğiniz gibi genelde şifrenizi kırmak isteyen kötü niyetli bir kullanıcı bu işlemi tek tek şifreleri deneyerek yapmaz. Bunun için bir şifre havuzundan, şifreleri otomatik deneyen bir bot kullanır. Bu işleme bruteforce attack denir. OWA üzerinde brute force attacklere karşı alabileceğimiz en iyi önlemlerden biri Captcha Validation ‘dır.

Captcha validation nedir? Aslında çoğumuz internet sitelerine üye olurken bir çok kez kullandık ancak ismini bilmiyor olabiliriz. Completely Automated Public Turing test to tell Computers and Humans Apart (Captcha); kullanıcı adı ve şifre ile birlikte, site üzerinde rasgele beliren bir resim dosyası üzerindeki karakterlerin de kullanıcı tarafından yazılmasını gerektiren bir kimliklendirme biçimidir. Bruteforce yapan bir bot, resim dosyası üzerindeki yazıyı okuyamayacağı için kullanıcı adı ve şifreyi doğru tahmin etse bile sisteme giremeyecektir. Böylelikle sisteminiz botlarla insanları ayırt etme yetisine sahip olacaktır.

Peki captcha validation’ı OWA ile nasıl entegre edeceğiz? Bunun için bir çok çözüm var ancak ben tamamen ücretsiz olan Jonathan Feaster tarafından yazılmış bir script ile konuyu örneklemek istiyorum. http://www.archreality.com/jcap/ ‘den jcap.zip dosyasını indirip sisteminizde c:\program files\exchsrvr\exchweb\ dizinine açmamız gerekiyor. İki adet .js dosyası ve bir de resim dosyalarının tutulduğu cimg adında bir klasör göreceksiniz.

Şekil-1

Daha sonra C:\Program Files\Exchsrvr\exchweb\bin\auth\ klasörünü açın. Klasör içerisinde kullanıcı OWA ‘ya logon olurken karşınıza gelen asp sayfasına ait logon.asp dosyalarını içeren farklı diller için ayrı ayrı klasörler göreceksiniz. Eğer birden çok dil için yapılandırmak istiyorsanız logon.asp dosyalarını tek tek modifiye etmelisiniz. Ben burada sadece türkçe için gerekli ayarlamaları anlatacağım. C:\Program Files\Exchsrvr\exchweb\bin\auth\trk\logon.asp dosyasının bir yedeğini alalım. (En iyi bildiğimiz işi yapıyor olsak bile yedek her zaman iyidir!) Dosyayı notepad ile açalım. Dosya içinde </HEAD> kelimesini aratalım ve bu kelimenin önüne aşağıdaki kodu yapıştıralım. (Javascript’in case sensitive olduğunu unutmayalım)

function doJcap()

{

if (jcap() == true)

{ document.forms[0].action = “/exchweb/bin/auth/owaauth.dll”; return true; }

else

{ return false; }

}

</script>

Şekil-2

Şimdi <FORM kelimesini aratalım ve <FORM ile action arasına aşağıdaki kodu yerleştirelim.

onsubmit=”return doJcap();”

Aşağıdaki text’i silerek action tanımlamasını kaldıralım.

action=”/exchweb/bin/auth/owaauth.dll”

Birkaç satır aşağıda bir <FORM> kelimesi daha göreceksiniz, bu satır için de yukarıdaki iki düzenlemeyi tekrarlayalım.

Şekil-3

İkinci <FORM tag den sonra gelen <% End If %> satırından hemen sonraki satıra aşağıdaki kodu yerleştirin.

<font color=”white” size=”2″><b>Enter the code as it is shown above:</b><br>

</center>

Şekil-4

Logon.asp dosyası ile işimiz bitti, artık dosyayı kaydedip kapatabiliriz. Şimdi C:\Program Files\Exchsrvr\exchweb dizinine açtığımız jcap.js dosyasını notepad ile açalım. var imgdir ile başlayan satıra ilerleyelim ve tanımlanan path’i aşağıdaki gibi değiştirelim.

var imgdir = “/exchweb/cimg/”;

Şekil-5

Jcap.js dosyasını kaydedip kapatalım. İşlemimiz bitti artık OWA ya bir daha ki logon sırasında sistem karşınıza bir jpg dosyası getirecek ve kullanıcı adı + şifreniz yanında bu jpg dosyasındaki karakterleri yazmanızı isteyecektir. Böylelikle bir spambot ile normal bir kullanıcıyı ayırt etmiş olacak, OWA güvenliğini bir kat daha arttırmış olacaksınız.

Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.

Referanslar

www.mshowto.org

Bu İçeriğe Tepkin Ne Oldu?