Ana sayfa

CSRF

Cross-Site Saldırıları ve Güvenlik Sanatı

Tarih AÄŸustos 30th, 2008 gonderen fuzbing

Hackerlar web tarayıcınızı zorlayarak istedikleri siteden istek gönderebilirler. Tek yapmaları gereken sizin bir bağlantıya tıklamanızı ya da bir e-postayı okumanızı sağlamak. Eğer sitede de bir koruma yoksa -ki genellikle yoktur- hackerlar tarayıcınızda sizin yapabileceğiniz her şeyi yapabilir. Özelliklerle oynayabilir, şifrelerinizi değişebilir hatta banka hesabınıza girebilir. Tüm bu kargaşanın altında Cross-Site (Çapraz Site) bağlantısı vardır.

Tarayıcılar bu bağlantıyı kesmek için genellikle "benzer kaynak ilkesini" kullanır. Bu ilke basitçe şöyledir; eğer sitenizin kaynaklarının (protokol, alan adı, port...) tümü eşleşmiyorsa bu site üzerinden başka bir siteye bilgi gönderimi ya da alımı yapamazsınız. Bu yöntem dışında internet üzerinde cross-site bağlantısı için başka bir güvenlik önlemi yoktur. Eğer ayrı bir web tarayıcısı kullanmıyorsanız her site bir diğerine veri gönderebilir. Yegane yöntem olan "benzer kaynak ilkesi" yöntemini aşmak ise saldırganlar için çokta zor değil. "IMG, FORM, SCRIPT, IFRAME" gibi etiketleri kullanarak kurbanın tarayıcısında bir istek oluşturulabilir bu da hedef siteye gönderilir.

Drupal Güvenlik Güncelleştirmeleri

Tarih Temmuz 13th, 2008 gonderen fuzbing

İçerik yönetim sistemi Drupal çeşitli güvenlik açıklarına karşı güvenlik güncelleştirmelerini duyurdu. CSRF, Sql Injection gibi ciddi güvenlik açıklarının yanında OpenID modülü üzerindeki XSS güvenlik açığı ile kullanıcı kimlikleri ele geçirilebiliniyor.

Drupal'ın desteklenen versiyonlarından 5.x ve 6.x kullananların son versiyonlar olan 5.8 ve 6.3'e yükseltme yapmaları öneriliyor. Yükseltme yapamayan site yöneticileri için ise ilgili güvenlik açıklarını kapatan yamalar mevcut.

Yamalar:
5.7 kullananlar için; SA-2008-044-5.7.patch
6.2 kullananlar için; SA-2008-044-6.2.patch

Güney Kore'de 18 Milyon Kişinin Bilgileri Çalındı

Tarih Åžubat 28th, 2008 gonderen fuzbing

Güney Kore'nin en eski ve en büyük online mağazası olan Auction.co.kr'e yapılan saldırıda 18 milyon kişinin bilgileri ve bazı finansal verilerin çalındığı bildirildi. Çin'li bir hacker'ın yaptığı saldırıdan birkaç saat sonra Auction.co.kr'ye gelen telefonda bilgilerin para karşılığı verilebileceği söylendi.

Saldırının server'a veya siteye direkt bir saldırı olmadığı belirtildi. Saldırgan sitenin yönetimine zararlı kodlar içeren bazı e-postalar göndermiş, e-postaların açılmasıyla tüm sisteme erişebilmek için yöneticiden yeterli bilgiler alınmış.