E-Siber.com
M. Mekin Pesen
Sitede 1774 okunmaya değer yazı var.

2010 Yýlýnda Ortaya ?ýkan En Popüler Hack Teknikleri

kurukafa2010 yýlý biliþim dünyasýna bakan yönüyle güvenlik açýsýndan sýkýntýlý, bilgisayar korsanlarý (hacker) için de çok bereketli geçti denilebilir. Geçen yýlýn sistem ve aðlara saldýrmak için deðiþik deðiþik yol ve yöntemlerin geliþtirildiði bir yýl olmasý açýsýndan da önemli bir yýldý. Ýþte 2010 yýlýnýn ilk 10 web hackleme yöntemi.


Hacker


1. Padding Oracle Crypto Saldýrýsý

Microsoft'un Web frameworkü olan ASP.NET'in AES þifreleme çerezlerini nasýl koruduðunun bir açýðýndan kaynaklanan yöntemdir. Eðer çerezdeki þifrelenmiþ veri deðiþtirilmiþse, ASP.NET'in bu durumu iþleme biçiminden uygulamadaki bazý bilgilerin trafiði nasýl þifrelediði üzerinde bir takým veriler açýða çýkabilmektedir. Yeterli sayýda yapýlan tekrar ve açýða çýkan verilerden hackerýn þifreli anahtardaki hangi bytelerin deðiþtirildiðinin farkýna varmasýna ve bu yolla bilinmeyen bytelarýn da zamanla tahmin edebilmesine kapý açan bir açýktýr.


2. Evercookie

Bir Javascriptin web tarayýcýsýnýn 8 farklý yerine gizlenerek temizlenmesinin imkansýz hale gelmesini saðlayan bir yöntemdir. to create cookies that hide in eight different places within a browser, making it difficult to scrub them. Evercookie, yani hiç silinmeyen çerezler sayesinde hackerler bir bilgisayardan diðer malum çerezlerin de silinip silinmediðini tespit edebiliyorlar.


3. Hacking Autocomplete (otomatik tamamlama)

Web tarayýcýlarýnýn bir özelliði olan 'otomatik tamamlama' ile sýklýkla kullanýdýðýnýz web servis ve hizmetlerine ait kullanýcý bilgi ve parolalarý kullanýcýnýn iþini kolaylaþtýrmak adýna siteye girildiði anda tarayýcý tarafýndan otomatik olarak doldurulmaktadýr. Böylelikle kullanýcýnýn hem iþi kolaylaþtýrýlmýþ olur hem de zaman kazanmasýna vesile olunur. Fakat bazý zararlý sitelerdeki scriptler tarayýcýyý kullanýcýnýn diðer sitelere ait bilgilerini açýða çýkartmaya zorlayacak yetenekleriyle, diðer servsilere ait kullanýcý bilgilerini alabilmektedirler.


4. ?nbellek Enjeksiyonu Yoluyla HTTPS Protokolüne Saldýrmak

Kötücül bir Javascript kütüphanesinin tarayýcýnýn belleðine yerleþtirilmesi yoluyla SSL sertifikasý ile korunan web servislerinin kullanýcý giriþ bilgi ve parolalarý elde edilebiliyor. Genelde bütün siteler tarafýndan ortak olarak kullanýlan javascript kütüphanelerine (Google Analytics, jQuery vs)bulaþtýrýlýyor veya onun arkasýna gizleniliyor. Kullanýcý elle tarayýcý belleðini temizlemediði sürece kesinlikle gitmiyor. Tarayýcýnýn dizinini yani kurulum yerini deðiþtirmek te bir iþe yaramýyor.


5. CSRF Korumasýný ClickJacking ve HTTP Parametre Kirliliði ile Aþarak Bypass Etmek

CSRF(cross site request forgery - tarayýcýlarýn otomatik javascript çalýþtýrma desteðiyle kullanýcýnýn isteði dýþýnda karþý sunucuya komut yollanmasý) korumasýnýn etrafýndan dolanarak kullanýcýyý kandýrarak onun e-posta veyahut baþka servislere ait kullanýcý bilgilerinin elde edilmesidir.


6. Ýnternet Explorer 8'deki Evrensel XSS

Internet Explorer 8'in cross-site scripting korumasýný atlatabilen bir exploit yardýmýyla web sayfalarý kötücül niyetlerle kullanýlabilecek þekilde iþlenebiliyor.


7. HTTP POST ile Hizmet Engelleme

HTTP POST baþlýklarý sunucuya gönderilir, bu yolla ne kadarlýk bir verinin sunucuya gönderildiði bilinir. Sonrasýnda ise veriler çok yavaþ gönderilir ve sunucunun kaynaklarý tüketilir. Bunlarýn birçoðu ayný anda gönderildiðinde sunucu boðulur.


8. JavaSnoop

Java uygulamalarýnýn güvenliðini test etmek için geliþtirilmiþ olan JavaSnoop, aslýnda kullananýn zihniyetine baðlý olarak çok tehlikeli bir araca dönüþebiliyor.


9. Ýntranet Port Taramasý için bir JavaScript'e Gerek Kalmadan Firefox'taki Tarayýcý Geçmiþinin CSS ile Tespit Edilmesi

CSS'deki birkaç parametre yoluyla kullanýcýnýn tarayýcý geçmiþindeki veriler elde edilebiliyor. Bu verilerle kullanýcýya phishing (oltalama) saldýrýlarý düzenlenebiliyor.


10. Java Applet DNS'nin Yeniden Baðlanmasý/Kurulmasý

Saldýrganlar tarafýndan kontrol edilen web sitelerindeki java appletler yoluyla ziyaretçinin tarayýcýsý, DNS ayarlarýný deðiþtirmesi için zorlanýr ve baþka þüpheli bir DNS üzerinden yeinden internet baðlantýsý kurdurulur.


Yararlanýldý: networkworld.com/news/...top-web-hacking-techniques.html


· · · · · · · · · · · · · · · · · · · · ·
Yazan: | 26.01.2011 | 7350 kez okundu.

Yazılar E-Posta Kutunuza Gelsin:

Bu yazıyı izinsiz olarak alıp başka herhangi bir yerde yayınlayamazsınız (Bkz "dijital at hırsızı" kimdir?). Yazıların başka yerlerde yayınlanmasına ücreti mukabili izin veriyoruz. Yazıları izinsiz olarak başka bir yerde yayınlamanız, her türlü hukuki sonucu kabul ettiğiniz manasına gelir. Yazıları izin almak ve kaynak göstermek kaydıyla sadece kamu kurumları ve akademik araştırmacılar ücretsiz olarak kullanabilir. Bunların dışında kalan herkes ücret öder. Detaylar için bize ulaşın.

Yorum altyapısı: Disqus

Yukarı Çık

M. MEKİN PESEN
© 2007-2015 E-SİBER BİLGİ-İLETİŞİM TEKNOLOJİLERİ
E-Siber.com | E-Siber.net | ESiber.com | ESiber.net | RSS | Facebook | Twitter | E-Posta Aboneliği
IP: 54.81.2.151 | Yüklenme: 0.556 saniye. | Hakkımızda | İletişim | Reklam Verin | Site Politikaları | Atıflar