Post by Can Deger

Isim biraz bilim kurgu filmi adi gibi: "React2shell". Ama yasanan senaryo bildiginiz korku filmi. Evinize son teknoloji akilli bir kapi sistemi (React) taktirdiginizi dusunun. Normalde disaridan gelen biri sadece zile basabilir, icerideki isleyise karisamaz. Ama bu zafiyet sayesinde, disaridaki kisi zile oyle ozel bir kodla basiyor ki; sistem bunu "kapiyi ac" olarak degil, "evi komple bosalt ve tapuyu bana devret" emri olarak algiliyor ve uyguluyor. Arayuz ile altyapi arasindaki o "tehlikeli" kopru iste boyle kuruluyor. Olayin teknigi kisaca su: Modern React mimarilerinde (ozellikle SSR ve Server Actions kullaniminda), sunucu ve istemci arasindaki veri akisi serilestirme (serialization) uzerinden yuruyor. Bu zafiyet, saldirganin arayuzden (frontend) gonderdigi manipule edilmis bir "prop" veya "state" verisinin, sunucu tarafinda deserialize edilirken dogrudan bir isletim sistemi komutuna donusmesine neden oluyor. Yani basit bir input alani, bir anda sunucuda kod calistiran (RCE) bir terminale donusuyor. Duruma iki farkli pencereden bakalim: Yazilimci icin ne demek? "Framework beni korur, React guvenlidir" rahatligini bir kenara birakiyoruz arkadaslar. Frontend'den gelen veriyi, backend'in en derin noktasinda filtrelemiyorsaniz (sanitization), gecmis olsun. Trust No One. Input validation artik opsiyonel bir iyilestirme degil, hayati bir zorunluluk. C-Level / Yonetici icin ne demek? Bu bir "teknik borc" veya "gelecek sprinte atalim" denilecek bir backlog maddesi degil. Bu, sirketin anahtarlarinin kapinin uzerinde unutulmasi demek. Ekiplerin "yeni feature" basilisini bir sureligine durdurup, iceriye donup "biz ne yapiyoruz, hangi kutuphaneleri kullaniyoruz" diye bakmasi gereken kirmizi alarm durumu. Panige gerek yok ama cok hizli aksiyona ihtiyac var. Detayli teknik analiz ve cozum onerileri icin asagidaki kaynaklara goz atabilirsiniz: https://lnkd.in/eyeiy_ux https://lnkd.in/eYaQHMFs https://lnkd.in/evhQfJqy