Gmail Kırıldı

0
sonereker
sonereker
22 Kasım 2005 , 1 dakika okuma süresi
Buradan orjinal dökümana ulaşılabilir.

Google bu durumun muhtemel saldırgana bilgi veren kullanıcılar için geçerli olduğunu savundu. Açık kapatıldı, Google bu durum üzerine resmi bir açıklama yapmadı ve Full-disclosure'da da aynı sitede yakında yayınlanacak olan --tüm online banka sistemlerinin barındırdığı- benzer türde bir açığın duyurusu yapıldı :)

Güvenlik uzmanlarına göre kullanılan sistemlerin %98'inde benzer türde rapor edilmemiş açıklar mevcut.

Güvenlik
13
Linkedin Facebook Twitter Google plus

Görüşler

Img 5856
0
conan
Beta canim, olur oyle seyler :)))
cbc
0
cbc
Google bu durumun muhtemel saldırgana bilgi veren kullanıcılar için geçerli olduğunu savundu.

abartayım.. fazlamesai şifremin 1234 olduğunu söylersem "fazlamesai.net kırıldı" diye haber yapan olur mu acaba.
xcorex
0
xcorex
bakın ben kırdım.. fazlamesainin içine yazı yazabiliyorum.. üye olmanız yeter deneyin.. gerçekten dediği yöntemi kullanarak banka hesaplarıma da girebiliyorum. hatta başkasına şifremi verirsem sanırım onlarda girebilir..

Güvenlik uzmanlarına göre kullanılan sistemlerin %98'inde benzer türde rapor edilmemiş açıklar mevcut.
%2'si kullanıcılarına sadece okuma hakkı veriyodur.. :)

geyik bi yana, konuya böyle yaklaştık ama aslı astarı bumudur? :)
xcorex
0
xcorex
geyik bi yana, konuya böyle yaklaştık ama aslı astarı bumudur? :)

değilmiş :))
281817 181476855250691 6784756 n
0
tongucyumruk
Açıkçası ben nasıl kırıldığına ilişkim olarak yapılan açıklamada kullanıcının saldırgana nasıl bir bilgi vermesi gerektiğine ilişkin birşey bulamadım. Tabii çok idkkat etmeden, biraz üstünkörü okudum atladığım noktalar olabilir.
xcorex
0
xcorex
sanırım şunu söylemeye çalışıyorlar, "içerden kullanıcınız olması gerekli" . bunu söylemek ne kadar gerekli bilmiyorum?.. çünkü bişey atlamadıysam benimde tek gördüğüm adamın kendi user bilgilerini kullanarak login oluyor (olurmuş gibi :)) , kurbanın bitek kullanıcı adını kullanıyor. güzel bi bug ama hangi sistemin %98'inde böyle bi hata olabilir bilmiyorum.

bu arada adam baya uğraşmış :) sayfayı load etmesine izin vermeyin diyo :)
sonereker
0
sonereker
Adım adım anlatılan aşamalarda belli bir seviyeye kadar kurbanın hesabına giriş yaptığı sırada gönderip aldığı verilerden faydalanılıyor.

İlk bakışta "Gmail Cracked" başlığının da etkisiyle yayılmış bir medyatik haber niteliğinde gibi görünse de, yöntem ilerde daha farklı boyutlar kazanabilir gibi duruyor...

281817 181476855250691 6784756 n
0
tongucyumruk
Peki ama kurbanın arada alıp gönderdiği verileri dinleyebiliyorsanız direk parolayı çalmanızın önünde bir engel yokki... Yani bu duruma karşı alınabilecek tek önlem SSL kullanmak olacaktır. Yok eğer lokal saklanan verilerden faydalanacaksanız kurbanın bilgisayarında kurbanın hesabına ya da root hesabına sahip olmanız gerekir. Yanılıyor muyum?
xcorex
0
xcorex
gmail zaten direk SSL ile çalışıyor.. yanlış anlamadıysam kurbanın sadece kullanıcı adını biliyor. diğer sessionla alakalı bilgileri veya diğer bilgileri kendi kullanıcısıyla login olarak alıyor..

yanlış mı anladım?
neurorebel
0
neurorebel
"Man in the middle" söz konusu değil. Orada bir "ver" ve "zx" parametresinden söz ediliyor. Bu parametreler serverda oluşturuluyor ve gmail username ile beraber bi hash işleminden geçiyor. Bu da oturum açmanız için gerekli olan AUTH stringi yani :) Şimdi buradaki açık şu; anladığım kadarıyla gmail'in sayfası cookienin içerisindeki stringi javascriptle alıp GET metoduyla ( browser'ın adres çubuğunda görünecek şekilde ) cookie kontrol eden sayfaya (CheckCookie) parametre olarak yolluyor. Yani istediğiniz herhangi bir username için gerekli olan session stringi yakalayabilirsiniz :) İşte o loadinglerde hemen stop edilmesinin sebebide bu. Kimin hesabını kırmak istiyorsanız onun AUTH stringini bulup kendi cookienizin içine yazmanız yeterli :) eheh. Bunu bulan arkadaşı da canı gönülden tebrik ediyorum yani. Allah bilir nası bi anda farketti bu saçmalığı :D ( CheckCookie olayı yani ) Ve web sitelerinin %98'inde böyle hataların olduğunu söylemekle pekte abartmamışlar... Düşünün Google böyle bir hata yapıyor...
neurorebel
0
neurorebel
xcorex; işte şimdi doğru anladın :)
xcorex
0
xcorex
:))
sonereker
0
sonereker
Evet güzel açıklama bu oldu :)
Görüş belirtmek için giriş yapın...

İlgili Yazılar

nic.tr'ye Phishing Saldırısı ve Yurdumun "Hacker"ları
dayioglu
26 Nisan 2005, 1 dakika okuma süresi

Hafta sonu nic.tr'ye (https://www.nic.tr) yönelik yoğun bir phishing saldırısı gerçekleşti. Kısa sürede savuşturduk ve kişisel web siteme yaptıklarımızın kısmi ve kısa bir özetini yazdım.

(Bkz.http://www.dayioglu.net/?q=node/144).

Meğer bu aslında yalnızca bir başlangıçmış. Kısa sürede ülkenin en babayiğit (!) hacker'ları siteme muhterem yorumları ile katkı sağlamaya başladılar.

IstSec - Istanbul Güvenlik Konferansı
onal
25 Mayıs 2009, 1 dakika okuma süresi

IstSec - Istanbul Güvenlik Konferansları- Türkiye’de eksikliği hissedilen ürün/teknoloji bağımsız güvenlik anlayışına katkı amacıyla düşünülmüş bir etkinlik serisidir.

IstSec etkinliklerinde konusunda uzman kişiler tarafından yapılacak uygulamalı sunumlar eşliğinde katılımcılar merak ettiği konulara cevap bulmakla kalmayıp uygulamalı olarak görebilecekler.

Yılda iki kere yapılması planlanan IstSec etkinliklerinin ilki Microsoft, RSA ve ADEO’nun sponsorluğunda Microsoft Türkiye ofisinde yapılacaktır.

AnkaSEC ’10 Bilgi Güvenliği Konferansı Aktif Katılım Çağrısı
honal
11 Ekim 2010, 2 dakika okuma süresi

Ülkemizde gerçekleştirilen bilgi/bilişim güvenliği çalışmalarına katkı olmak amacıyla her yıl düzenli olarak gerçekleştirilen Ankara’ya özel bilgi güvenliği etkinliği AnkaSEC konferansı bu yıl 23 Aralık 2010 tarihinde Ankara TÜBİTAK Başkanlık binasında gerçekleştirilecektir.

Konferans kayıt olan herkese açık ve ücretsizdir.

Uygulamalı Bilgi Güvenliği ve Beyaz Şapkalı Hacker Eğitimi
butch
16 Ekim 2008, 1 dakika okuma süresi

15 Kasım 2008 tarihinde İstanbul Bilgi Üniversitesi, Dolapdere kampüsünde başlayacak 40 saat süreli Uygulamalı Bilgi Güvenliği ve Beyaz Şapkalı Hacker Eğitimi, 6 hafta boyunca Cumartesi günleri, Bilgi ve Sistem Güvenliği konularında sertifikalı eğitmenler tarafından, uygulamalı örnekler eşliğinde gerçekleştirilecektir.

"Hacker"lar sistemlere nasıl girer... ve yakalanır!
anonim
15 Ocak 2005, 1 dakika okuma süresi

Bir cumartesi günü internette dolaşırken bu hoş ve sürükleyici hikayeye rastladım. Hikaye Abednego (İncil'de bahsedilen, Babilliler tarafından esir edilen ve bir ateş duvarını yürüyerek geçip hayatta kalan bir israilli) ve Dogberry (William Shakespeare`in 'Much Ado About Nothing'deki polis memuru) takma adlarına sahip bir cracker ve sistem yöneticisi arasında geçen siber savaşı anlatıyor. Oldukça eğlenceli ve sürükleyici hikayedeki anlatılan tekniklerin çoğu (hikaye 1998 yılında yazılmış olsada ) halen güncelliğini korumakta. FM camiasının da benim gibi beğeneceğini umarım.