Hack Olayı Yorumlaması

My Man!

My Man!

Kilopat
Zamanın Tanığı Forumun Hafızası
Katılım
29 Mart 2015
Mesajlar
3.070
Makaleler
11
Yer
İstanbul
Daha fazla  
Cinsiyet
Erkek
Merhaba,
Benim bir ödevim var, hocam nasıl yapacağımızı anlatmadı ben de bilmiyorum. Benden fotoğrafta paylaştığım gibi olmak üzere bir hack olayını anlatmamı istiyor Problem, Tür, Nokta ve Profil yönünden. Bana nasıl yapıldığını üstün körü anlatır mısınız?

Ben bu arada Yahoo hack: 1bn accounts compromised by biggest data breach in history bu olayı anlatmak istiyordum. Bunun üzerinden örnek verebilirseniz çok sevinirim.

ödev.png
 
Son düzenleyen: Moderatör:
Verdiğin sayfada Yahoo'da anlatılmak istenilen Yahoo'da güvenlik açığı bulunarak farklı kullanıcıymışız gibi onların adından Yahoo servislerine bağlanmak. Aslında burada XSS/XSRF tekniklerine yordamış. Evet her sistemin açığı olduğu gibi büyük sistemlerin de açıkları mevcut.

Yahoo üzerinde eski zamanlarda bulduğum, cookie çekilebilen XSS açıklarına buradan ulaşabilirsin.

geocities.yahoo.com cross-site-scripting (XSS) vulnerability

kr.rival.kids.yahoo.com cross-site-scripting (XSS) vulnerability

bbs.cn.yahoo.com cross-site-scripting (XSS) vulnerability

Aşama aşama anlatayım.

1) Yahoo üzerinde XSS başta olmak üzere tüm dizin ve servislerinde bug aradım ve sonunda buldum.

2) XSS Sniffer Sistemi yani kullanıcıların cookie verilerini toplayacak Log sistemi hazırladım. Bunu bir domain ve host üzerinden link haline getirdim. Örneğin : www.technopat.net/windows10kurulumu veya büyük sitelerde açık bulursam onun linki üzerinden. www.yahoo.com/mails

3) XSS açığını kullanabilmek için Yahoo servislerini kullanan kişilere örneğin Yahoo Mail kullanan kişilere hazırlamış olduğum sniffer linkini gönderdim. Burada hedef kişilere göndermek önemli. Toplu olarak gönderilecekse maillist gibi yazılımlarla toplu gönderilir. Büyük çapta hesaplar ele geçirilir. Fakat bu şekilde de açık kısa sürede fixlenebilir. Bu yüzden ben hedef kişileri tercih ettim.

4) Gelen cookie bilgileri ile tarayıcı üzerinden kendi cookielerimle değiştirip onun hesabındanmış gibi giriş yaptım. Gerekli hallerde şifreleri ve diğer güvenlik yöntemlerini değiştirdim.

5) Açıkla işim bittiğinde XSSED gibi gibi mirr0r sitelerine bildirdim. Tümünü bildirmedim. Yahoo'da dahil büyük firmalar tarafımla iletişime geçip ödül vermek istediklerini söyleseler de hiçbir zaman kabul etmediğimi belirtmek istedim. TV'de olumlu örneklerini görseniz de yakın çevreden olumsuz örneklerini gördüm.

Ödev formatında tam olmasa da bu şekilde gerçekleşiyor olaylar. XSS, RFI, LFI, SQL Injection, XSRF gibi bilindik yöntemlerin neler olduğunu arama motorlarında aratırsan daha çok bilgi edinebilirsin.

Ayrıca BGA Bilgi Güvenliği A.Ş. | BGA Security , Huzeyfe Önal | Complexity is the enemy of Security ,Siber Bülten - Siber Güvenliğin Türkçe Hafızası gibi siteleri incelemende fayda var.
 
Uyarı! Bu konu 9 yıl önce açıldı.
Muhtemelen daha fazla tartışma gerekli değildir ki bu durumda yeni bir konu başlatmayı öneririz. Eğer yine de cevabınızın gerekli olduğunu düşünüyorsanız buna rağmen cevap verebilirsiniz.

Benzer konular

1
Town of Salem hacklenme olayı sonrası güvenlik
Mesaj
3
Görüntüleme
982
Recep Baltaş
Recep Baltaş
B
Bilgisayarım hacklendi
10 11 12
Mesaj
115
Görüntüleme
9.015
DarkBoys46
DarkBoys46
Recep Baltaş
AR.Drone Hack
Mesaj
1
Görüntüleme
1.619
Halphas
Halphas
ÖzgünTR
CC olayı nedir?
2
Mesaj
16
Görüntüleme
2.102
Malware.AI
Malware.AI
Falcon042
Kairos Planet Olayı
Mesaj
0
Görüntüleme
627
Falcon042
Falcon042

Technopat Haberler

Yeni konular

Yeni mesajlar

Geri
Yukarı