Hotmail XSS Açığı

+ Yorum Gönder
Bilgisayar Dünyası ve Spy ve Virüs Haberleri Bölümünden Hotmail XSS Açığı ile ilgili Kısaca Bilgi
  1. 1
    ULtRaDяagoN
    Usta Üye
    Reklam

    Hotmail XSS Açığı

    Reklam



    Hotmail XSS Açığı

    Forum Alev
    Slm arkadaşlar şu an bazılarınız biliyor olabilir duymamış olanlar da olabilir ama hotmail de xss açığını anlatim ben. Bunun çoğu forumda yayınlanması yasak. Konu hakkında bilgi verenleri banlıyorlar... Umarım başıma gelmez ;)

    Neyse sistem şu şekil işliyor:

    Bazı sitelerde bulunan hazır fake sayfalar yardımıyla kendi sayfanıza bir bağlantı kuruyorsunuz hotmaile insanlar girdikten sonra giriş bilgilerine ait cookieleri o scriptler sayesinde elde ediyorsunuz. Kişinin cookie bilgilerini ele geçirdikten sonra mailin sahipi sizmişsiniz gibi dolaşabiliyorsunuz. Detaylı bilgi vermiyeceğim...

    Ama bazı sayfalara girdikten sonra aniden karşınıza hotmail ya da msn sayfası açılırsan sakın ola nickinizi ve şifrenizi girip oturum açmaya kalkışmayın.. Sonrası sizin için iyi olmayabilir... Mail girişini herzaman www.hotmail.com dan gerçekleştirin veya msn messenger dan...

    Dikkatli Günler!!!


    Konu ile ilgili sorular ve cevaplar

    Soru:
    şimdi ben web sayafama upload dosya diye bir button koydum kullanıcı mesela bir virüs upload etmeye çalışıp ve veritabanımdaki tüm verileri mail ile kendisine yollayabilir mi?

    Cevap

    Selam,

    Şimdi bir siteden data çalmak için bir miktar SQL bilinmesi ve uğraşıp sistemde SQL Injection açığı bulunması gerekir. Örnek bir SQL açığı düşünelim.

    Dim sql
    sql = "select * from kullanicilar where username=" & username & " and password = "&password 'username/password de formdan gelen field olsun

    normalde bu kodun şu şekilde çıktı vermesini beklersiniz:
    select * from kullanıcılar where username='Silvermage' and password='Silvermage'in Şifresi'

    Ben ise formu şunu yollayacak şekilde modifiye edersem;

    select * from kullanıcılar where username='admin' ; -- and password='buranın bir önemi yok artık'

    hemen açıklayalım:
    ; ==> sql cümlesinin bittiğini gösterir
    -- ==> sql yorum satırıdır.

    En basit SQL injection budur. Dahası için google'a sorun.


    -----------------------------------

    Konu ile ilgili başka bir görüş


    Selam,

    Şimdi bir siteden data çalmak için bir miktar SQL bilinmesi ve uğraşıp sistemde SQL Injection açığı bulunması gerekir. Örnek bir SQL açığı düşünelim.

    Dim sql
    sql = "select * from kullanicilar where username=" & username & " and password = "&password 'username/password de formdan gelen field olsun

    normalde bu kodun şu şekilde çıktı vermesini beklersiniz:
    select * from kullanıcılar where username='Silvermage' and password='Silvermage'in Şifresi'

    Ben ise formu şunu yollayacak şekilde modifiye edersem;

    select * from kullanıcılar where username='admin' ; -- and password='buranın bir önemi yok artık'

    hemen açıklayalım:
    ; ==> sql cümlesinin bittiğini gösterir
    -- ==> sql yorum satırıdır.

    En basit SQL injection budur. Dahası için google'a sorun.


    -----------------
    Konu ile ilgili başka bir görüş


    Hotmailde xss açığı kapanmamışmıydı.neyse kapanmamış olsa bile bir şey söylemek istiyorum bu konu hakkında, hotmailiniz hacklendiyse veya hacklenirse bu şu açık yüzünden bu açık yüzünden değil tamamen sizin dikatsizliğinizin ve güvensizliğinizin sonucu olur.hiç bir hacker filmlerdeki gibi 5 dk da şunu kır bunu kır şu banka hesabına gir gibi şeyler yapamaz bu imkansız.kırılması imkansız değil.ama düşünsenize bir hacker günlerce uğraşıp msn nizi kırması ona ne kazandırır.aynı zamanda daha büyük bir balık tutabilir.yani hesabınızda aşağıda sayacağım birkaç güvenlik önlemini alırsanız hiçkimse msn nizi yada hotmailinizi kırmaz.
    -şifrenizi harf+rakam seçin:
    abartmayada gerek yok.neden diyorsanız tahmin edemeyeceği birşey seçin yeter.brute force programları işede yaramıyor artık.mutlaka googledan deneme yanılma programları indirmişsinizdir.işe yaramamıştır.nedeni hotmail 10 kez yanlış denemeden sonra bağlantıyı kesiyor.yani bu açık artık yok.
    -fake mail:
    bilmediğiniz kişilerden gelen maillere dikkat edin.tıklayacağınız bağlantıları iyice kontrol edin.ve saçma sapan yok güncellememiz gerekiyor gibi şifre yada gizli soru isteyen mailleri silin.böyle saçma şey olmaz.adam bd sinde tüm bilgiler varken şifremizi ne diye istesin.birde msn engelliyeni gör gibi yerlere pass girmeyin.msn şifresi msn de kullanılır.başka yerde değil.
    -trojen ve keyloger:
    başkasının pc sine geççtiğinizde bu spy programlar olmadığından emin olun.yani her yerde msn açmayın.
    -gizli soru:
    gizli sorunuzu 56h46df4g64dfg654fd6g_^WR?^'_+=^'+ gibi birşey yazın.ve sizde unutun.şifrenizi aklınızda tutmayı öğrenin.gizli soruyu tahmin etmek yoluyla hacklenmekten kurtulursunuz.



    -------------------------


    Bu konuda şöyle ufak bir uygulama var :

    CW XSS Security
    (açığın yaygınlaşmaya başladığı civarda bir tarihte yapılmış bir uygulama)

    Farkında olmadan bir Url sizin cookie bilgilerinizi çalıyor olabilir,
    Yada hotmaildeki XSS açığı ile kendi e-posta hesabınıza ait cookie bilgisini başkasına
    kendi ellerinizle iletiyor olabilirsiniz.
    Cookienizi alan hacker bu sayede şifrenizi sıfırlayarak hesabınızı ele geçirecektir.
    Google, hotmail gibi birçok populer sitelerde bile bu açıklar mevcuttur.

    XSS Açıklarını şu an hiçbir Firewall, Antivirüs yazılımı Engelleyemiyor,
    Dünyanın ilk XSS Atak Engelleme uygulaması olan CW XSS Security bunu çok kolay bir şekilde sağlıyor.

    CW XSS Security sayesinde farkında olmadan tıkladığınız linkte, gizli-aşikâr frame içinde xss saldırısı olması muhtemel bir kod var ise eklenti devreye girer ve sizi uyarır. Sizden onay ister.
    Ayrıca onay isterken Saldırganın post URL'sini decode edip Size Gösterir. Böylece yeni bir XSS açığı çıksa ve birisi bunu sizin üzerinizde denemeye çalışıyor ise siz de açığı öğrenmiş oluyorsunuz.

    http://cyber-warrior.org/prgdownload...SSSecurity.zip





  2. 2
    saltunbas
    Yeni Üye

    --->: Hotmail XSS Açığı

    Reklam



    kardeş bune bole herşey karman çorman :) hiç bişii anlamadım walla...:D :)







+ Yorum Gönder
5 üzerinden 5.00 | Toplam : 1 kişi