XSS ile hotmail hack

28 Mart 2008 Cuma

Son zamanlarda mail hırsızların gözdesi XSS yöntemi. Bu yöntemin nasıl kullanıldığını ve korunma yöntemlerini anlatacağım. Hırsız kişi, hack için düzenlenmiş Hotmail XSS kodunu internet sayfasına yerleştiriyor. Yerleştirdiği yer, genellikle ücretsiz olarak alınan domain ve hosta kurulmuş bir site oluyor (örneğin tr.cx uzantılı siteler ücretsiz alınmıştır). Düzenlenmiş Hotmail XSS kodunda bazı bilgiler kasten eksik ya da yanlış olarak mevcut ve bu bilgilerin doğruları hırsız kişi tarafından Hotmail’den isteniyor. Bu açık ilk başta Hotmail’in takvim ayarlarındaydı ama şimdi bu açığın kapatıldığını, başka açıkların mevcut olduğu söyleniyor.Hotmail XSS kurulu site sizin ilginizi çekecek bir içerikle size gönderiliyor. Örneğin bedava kontör gibi vaatlerle ya da webmasterlara “sitenize reklam vereceğim, şu adresden bannerlara bakabilirsiniz” şeklinde yalanlar olan bir mail alıyorsunuz. Siz bu adrese tıkladığınızda bilgisayarınızdaki cookie’ler (çerezler) hırsız kişinin eline geçiyor ve bu cookie’leri düzenleyerek sizin mailinize şifresiz girebiliyor. Giriş yaptıktan sonra “Şifremi unuttum” bölümünde bir şifre sıfırlama maili alarak şifrenizi de değiştirebilir, sizin adınıza arkadaşlarınıza mail de gönderebilir vs..Hotmail XSS ile hack yönteminden korunmak için yapmanız gereken bir kaç yöntem var. Tanımadığınız kişilerden gelen maillerdeki linklere asla tıklamayın. Günümüzde istediğimiz adresten mail gönderme yöntemleri olduğu için mail adresi tanıdık olan kişilerden gelen maillerdeki linklere dahi tıklamayınız. Bazen görünüşte xxx.com olan, fakat tıkladığınızda yyy.com’a giden linkler var. Mouse ile linkin üzerine gelin ve browserınızın sol altındaki bar’da hangi adrese yönlendiğine bakın. Linklere asla mail sayfasından direk tıklamayın. Adresi kopyalayıp, yeni bir pencerede açın.(Aykut Bey'den alıntıdır.)"

0 yorum: