Ozellikle online ticaret sitelerini etkileyebilecek yeni bir gelişme oldu Eposta hesaplarını ve başka ozel bilgilere izinsiz erişmenin, kişisel bilgileri calmanın yeni bir tekniği keşfedildi İnternet tarayıcının tuttuğu gecmişteki eposta giriş kuponlarını kullanan araştırmacı buyuk bir tehlikeyi ortaya koydu
İnternet siteleri kullanıcılar hesaplarına girdikten sonra adres satırının sonuna guvenlik amaclı olarak rastgele bir dizi karakter ekler Bu internet tarayıcıda bir kupon bırakır bu da siteler arası saldırılara karşı bir guvenlik onlemidir Kotu niyetli bir sitenin, kullanıcının guvendiği ve erişimine izin verdiği bir sitenin bilgilerini kullanmasını onler Bu kupon kullanıcıya ozeldir ve bunlara CRSF token denir
Inferno lakaplı bir araştırmacı kaba guc tekniğiyle cok eski bir yontemi birleştiren yeni bir metot geliştirdi Bir site sahibi CSS history hacking denilen yontemle kolayca kullanıcının internet tarayıcı gecmişine ulaşabilir Sonra her kullanıcının kuponlarını site listesiyle kontrol eder
Kurnaz yontemle hızlı hack
imagesamandikkat5ad3591332019
İnternet tarayıcıda guvenli ve guvensiz siteleri bir arada acmayın
Kaba gucun işlemesi icin de sadece onemli siteleri secerek iş yukunu azaltır ve metodun pratik olmasını sağlar Orneğin eBay'i veya Gmail'i secerek hangi sitenin o kullanıcıda kupon bıraktığını oğrenir
Kuponları kullanarak da internet tarayıcıda o siteden her turlu işlemi yapabilir Ustelik bu işlemler gayet kitabına uygun gozukerek gercekleştiği icin ne firewall ne başka guvenlik onlemleri bunu durdurur
Peki nasıl onlem alınabilir? 16 tabanlı kuponda beş karakterlik bir kupon 393216 istek oluşturuyor ve 2 dakikadan az surede kırılabiliyor İşte bu yuzden sitelerdeki kuponların acilen en az sekiz karakter yapılması gerekiyor Bu da gunumuzun işlemci gucuyle ve bulut bilgi işlem imkanlarıyla pek anlam ifade etmiyor aslında Kuponlardaki karakter sayısını daha da arttırmak gecici olarak iyi bir cozum
Inferno'nun tavsiyesi ise CSRF kuponlarının gizli bir formun parcası olarak kullanılması ve her form iletiminde yeni bir kupon verilmesi oldu
chiponline
İnternet siteleri kullanıcılar hesaplarına girdikten sonra adres satırının sonuna guvenlik amaclı olarak rastgele bir dizi karakter ekler Bu internet tarayıcıda bir kupon bırakır bu da siteler arası saldırılara karşı bir guvenlik onlemidir Kotu niyetli bir sitenin, kullanıcının guvendiği ve erişimine izin verdiği bir sitenin bilgilerini kullanmasını onler Bu kupon kullanıcıya ozeldir ve bunlara CRSF token denir
Inferno lakaplı bir araştırmacı kaba guc tekniğiyle cok eski bir yontemi birleştiren yeni bir metot geliştirdi Bir site sahibi CSS history hacking denilen yontemle kolayca kullanıcının internet tarayıcı gecmişine ulaşabilir Sonra her kullanıcının kuponlarını site listesiyle kontrol eder
Kurnaz yontemle hızlı hack
imagesamandikkat5ad3591332019
İnternet tarayıcıda guvenli ve guvensiz siteleri bir arada acmayın
Kaba gucun işlemesi icin de sadece onemli siteleri secerek iş yukunu azaltır ve metodun pratik olmasını sağlar Orneğin eBay'i veya Gmail'i secerek hangi sitenin o kullanıcıda kupon bıraktığını oğrenir
Kuponları kullanarak da internet tarayıcıda o siteden her turlu işlemi yapabilir Ustelik bu işlemler gayet kitabına uygun gozukerek gercekleştiği icin ne firewall ne başka guvenlik onlemleri bunu durdurur
Peki nasıl onlem alınabilir? 16 tabanlı kuponda beş karakterlik bir kupon 393216 istek oluşturuyor ve 2 dakikadan az surede kırılabiliyor İşte bu yuzden sitelerdeki kuponların acilen en az sekiz karakter yapılması gerekiyor Bu da gunumuzun işlemci gucuyle ve bulut bilgi işlem imkanlarıyla pek anlam ifade etmiyor aslında Kuponlardaki karakter sayısını daha da arttırmak gecici olarak iyi bir cozum
Inferno'nun tavsiyesi ise CSRF kuponlarının gizli bir formun parcası olarak kullanılması ve her form iletiminde yeni bir kupon verilmesi oldu
chiponline