Türkiye'nin en güncel forumlardan olan forumdas.com.tr'de forumda aktif ve katkısı olabilecek kişilerden gönüllü katkıda sağlayabilecek kişiler aranmaktadır.
iltasyazilim
FD Üye
Bilhassa online ticaret sitelerini etkileyebilecek yeni bir gelişme oldu Eposta hesaplarını ve başka özel bilgilere izinsiz erişmenin, bireysel bilgileri çalmanın yeni bir tekniği keşfedildi İnternet tarayıcının tuttuğu geçmişteki eposta giriş kuponlarını kullanan araştırmacı büyük bir tehlikeyi ortaya koydu
İnternet siteleri kullanıcılar hesaplarına girdikten daha sonra adres satırının sonuna emniyet amaçlı olarak tesadüfen bir dizi şahsiyet ekler Bu internet tarayıcıda bir kupon bırakır bu da siteler arası saldırılara karşısında bir emniyet önlemidir Fena niyetli bir sitenin, kullanıcının güvendiği ve erişimine müsade verdiği bir sitenin bilgilerini kullanmasını önler Bu kupon kullanıcıya özeldir ve bunlara CRSF token denir
Inferno lakaplı bir analist vahşi zor tekniğiyle fazla eski bir yöntemi birleştiren yeni bir metot ilerletti Bir site sahibi CSS history hacking denilen yöntemle kolayca kullanıcının internet tarayıcı geçmişine ulaşabilir Sonradan her kullanıcının kuponlarını site listesiyle denetleme eder
Kurnaz yöntemle süratli hack
İnternet tarayıcıda güvenli ve güvensiz siteleri bir arada açmayın
Kaba gücün işlemesi için de sadece manâlı siteleri seçerek iş yükünü azaltır ve metodun pratik olmasını sağlar Mesela eBay'i veya Gmail'i seçerek hangi sitenin o kullanıcıda kupon bıraktığını öğrenir
Kuponları kullanarak da internet tarayıcıda o siteden her türlü işlemi yapabilir Bir De bu işlemler gayet kitabına uygun gözükerek gerçekleştiği için ne firewall ne diğer emniyet önlemleri bunu durdurur
Peki nasıl tedbir alınabilir? 16 tabanlı kuponda beş karakterlik bir kupon 393216 açlık oluşturuyor ve 2 dakikadan eksik sürede kırılabiliyor İşte bu yüzden sitelerdeki kuponların şu anda asgari sekiz şahsiyet yapılması gerekiyor Bu da günümüzün işlemci gücüyle ve bulut veri işlem imkanlarıyla o kadar anlam açıklama etmiyor aslında Kuponlardaki karakter sayısını daha da arttırmak geçici olarak iyi bir çözüm
Inferno'nun tavsiyesi ise CSRF kuponlarının dar bir formun parçası olarak kullanılması ve her form iletiminde yeni bir kupon verilmesi oldu
chiponline *
İnternet siteleri kullanıcılar hesaplarına girdikten daha sonra adres satırının sonuna emniyet amaçlı olarak tesadüfen bir dizi şahsiyet ekler Bu internet tarayıcıda bir kupon bırakır bu da siteler arası saldırılara karşısında bir emniyet önlemidir Fena niyetli bir sitenin, kullanıcının güvendiği ve erişimine müsade verdiği bir sitenin bilgilerini kullanmasını önler Bu kupon kullanıcıya özeldir ve bunlara CRSF token denir
Inferno lakaplı bir analist vahşi zor tekniğiyle fazla eski bir yöntemi birleştiren yeni bir metot ilerletti Bir site sahibi CSS history hacking denilen yöntemle kolayca kullanıcının internet tarayıcı geçmişine ulaşabilir Sonradan her kullanıcının kuponlarını site listesiyle denetleme eder
Kurnaz yöntemle süratli hack
İnternet tarayıcıda güvenli ve güvensiz siteleri bir arada açmayın
Kaba gücün işlemesi için de sadece manâlı siteleri seçerek iş yükünü azaltır ve metodun pratik olmasını sağlar Mesela eBay'i veya Gmail'i seçerek hangi sitenin o kullanıcıda kupon bıraktığını öğrenir
Kuponları kullanarak da internet tarayıcıda o siteden her türlü işlemi yapabilir Bir De bu işlemler gayet kitabına uygun gözükerek gerçekleştiği için ne firewall ne diğer emniyet önlemleri bunu durdurur
Peki nasıl tedbir alınabilir? 16 tabanlı kuponda beş karakterlik bir kupon 393216 açlık oluşturuyor ve 2 dakikadan eksik sürede kırılabiliyor İşte bu yüzden sitelerdeki kuponların şu anda asgari sekiz şahsiyet yapılması gerekiyor Bu da günümüzün işlemci gücüyle ve bulut veri işlem imkanlarıyla o kadar anlam açıklama etmiyor aslında Kuponlardaki karakter sayısını daha da arttırmak geçici olarak iyi bir çözüm
Inferno'nun tavsiyesi ise CSRF kuponlarının dar bir formun parçası olarak kullanılması ve her form iletiminde yeni bir kupon verilmesi oldu
chiponline *
