Hack Olayı Yorumlaması

Merhaba,
Benim bir ödevim var, hocam nasıl yapacağımızı anlatmadı ben de bilmiyorum. Benden fotoğrafta paylaştığım gibi olmak üzere bir hack olayını anlatmamı istiyor Problem, Tür, Nokta ve Profil yönünden. Bana nasıl yapıldığını üstün körü anlatır mısınız?

Ben bu arada Yahoo hack: 1bn accounts compromised by biggest data breach in history bu olayı anlatmak istiyordum. Bunun üzerinden örnek verebilirseniz çok sevinirim.

Verdiğin sayfada Yahoo'da anlatılmak istenilen Yahoo'da güvenlik açığı bulunarak farklı kullanıcıymışız gibi onların adından Yahoo servislerine bağlanmak. Aslında burada XSS/XSRF tekniklerine yordamış. Evet her sistemin açığı olduğu gibi büyük sistemlerin de açıkları mevcut.

Yahoo üzerinde eski zamanlarda bulduğum, cookie çekilebilen XSS açıklarına buradan ulaşabilirsin.

geocities.yahoo.com cross-site-scripting (XSS) vulnerability

kr.rival.kids.yahoo.com cross-site-scripting (XSS) vulnerability

bbs.cn.yahoo.com cross-site-scripting (XSS) vulnerability

Aşama aşama anlatayım.

1) Yahoo üzerinde XSS başta olmak üzere tüm dizin ve servislerinde bug aradım ve sonunda buldum.

2) XSS Sniffer Sistemi yani kullanıcıların cookie verilerini toplayacak Log sistemi hazırladım. Bunu bir domain ve host üzerinden link haline getirdim. Örneğin : www.technopat.net/windows10kurulumu veya büyük sitelerde açık bulursam onun linki üzerinden. www.yahoo.com/mails

3) XSS açığını kullanabilmek için Yahoo servislerini kullanan kişilere örneğin Yahoo Mail kullanan kişilere hazırlamış olduğum sniffer linkini gönderdim. Burada hedef kişilere göndermek önemli. Toplu olarak gönderilecekse maillist gibi yazılımlarla toplu gönderilir. Büyük çapta hesaplar ele geçirilir. Fakat bu şekilde de açık kısa sürede fixlenebilir. Bu yüzden ben hedef kişileri tercih ettim.

4) Gelen cookie bilgileri ile tarayıcı üzerinden kendi cookielerimle değiştirip onun hesabındanmış gibi giriş yaptım. Gerekli hallerde şifreleri ve diğer güvenlik yöntemlerini değiştirdim.

5) Açıkla işim bittiğinde XSSED gibi gibi mirr0r sitelerine bildirdim. Tümünü bildirmedim. Yahoo'da dahil büyük firmalar tarafımla iletişime geçip ödül vermek istediklerini söyleseler de hiçbir zaman kabul etmediğimi belirtmek istedim. TV'de olumlu örneklerini görseniz de yakın çevreden olumsuz örneklerini gördüm.

Ödev formatında tam olmasa da bu şekilde gerçekleşiyor olaylar. XSS, RFI, LFI, SQL Injection, XSRF gibi bilindik yöntemlerin neler olduğunu arama motorlarında aratırsan daha çok bilgi edinebilirsin.

Ayrıca BGA Bilgi Güvenliği A.Ş. | BGA Security , Huzeyfe Önal | Complexity is the enemy of Security ,Siber Bülten - Siber Güvenliğin Türkçe Hafızası gibi siteleri incelemende fayda var.