PASS THE COOKIE
COOKIE NEDİR ?
Cookie'ler ilk çıktığı vakitten beri güven sağlaması için bir kaç özellik onlara eklenmiştir. Cookie'ler Tarayıcı üzerinde bulunarak bilgisayarlarımız üzerinde çok düşük bir alan kaplar, bu alan 4 KB'a eş değerdir. İlk Cookie kullanımı 1994'de Netscape adlı bir site tarafından sağlanmıştır.
İlk kullanım sebebi ise kullanıcının tekrar siteyi ziyaret edip etmeyeceğini merak etmeleriydi. Şuan bulunan Cookie'ler amaçlarından pek çıkmamakla beraber artık çok daha fazla bilgi edinebiliyorlar. Bu Cookie'lere aslında (Kurabiye/Çerez) birer 'Text' dosyasıdır. Bu dosyalar sayesinde Bilgilerimiz sürekli hatırlanır ve bu Hatırlama sayesinde bilgilerimizi tekrar ve tekrar yazmaya gerek duymayız.
Girdiğimiz siteler üzerinde 'Şifremi Hatırla' veya 'Beni Hatırla' gibi seçeneklere tıkladığımız an itibari ile artık Adımıza Özel Bir Text oluşturulmuş ve biz Cookie'lere (Çerezlere) artık Erişim İznini tanımış oluruz. Bu erişim izinleri basit ve yardım sever gözüküyorlar ise bir o kadar Risk taşıyan şeylerdir.
Cookie'ler (Çerezler) Nerelerde Kullanılır ?
Bilindiği üzere Cookie'ler çeşitli siteler üzerinde kullanılır. Bu siteler;
-Üyelik gerektiren sitelerde; Üyelik gerektiren sitelerde kolaylık sağlarken bize zararda sağlarlar.
.
-E-ticaret sitelerinde; Cookie'ler çoğu e-ticaret sitesinde bize yarım kalan alışveriş durumlarımızı hatırlatır.
.
-Reklam gösterimlerinde; Cookie'ler bizim girdiğimiz siteler ve alanları kayıt altına alır, kişiye özel çalışan text dosyamız ileride girdiğimiz sitelerin reklamlarını bizim meraklı/ilgili olduğumuz şeylere göre ayarlar. Bunda aldığımız reklamların sürekli bizim isteklerimize göre şekillenmesine neden olur.
Cookie'ler İçin Türler,
PASS THE COOKIE
Çerezler, bir web tarayıcısının önbelleğinde saklanan ve onları oluşturan aynı web sitesine geri gönderilen küçük miktarlardaki verilerdir. Bu verilerin her biri farklı tarayıcılar üzerinde depolanmakta, Chrome üzerinde alınan bir Cookie başka bir tarayıcı üzerinde gözükmez (Her tarayıcının kendi bağımsız çerez depolama veritabanı vardır).
Pass The Cookie için Sosyal Mühendislik gerekir. Kurban için iyi ayarlanmış bir olta iş görür. Bir web uygulaması bir tarayıcıdan bir istek aldığında, oturum çerezinin bir kopyası eklenir. Web uygulaması, oturum tanımlama bilgisini doğrular ve bunu, isteği doğrulamak ve yetkilendirmek için kullanır. Bu basit Cookie'ler aslında birer Kimlik olarak tanımlanabilir.
Basit ve planlanmış bir Sosyal Mühendislik ile kurbanın veri tabanlarını kendimize alabilmek mümkün, tam bu kısımda bize yukarıda belirtilen alanlardan 'Session Cookie'ler' yardımcımız olur. Bu sayede kurbanın kimliğine bürünerek Erişim Verdiği Sosyal Medya sitelerine giriş sağlayabiliriz.
Gerekli Sosyal Mühendislik adımımızı yaptığımızda karşıya istediğimiz dosyamızı açtırdığımız anda Kali işleminde kurbana ait Cookie'ler yer alacaktır(Önce Interact yapmamız gerek). Girmek istediğimiz Hesap/Site için önce o siteye ait başlığı bulmamız gerekecektir(Login olacak şekilde). Site adımızı bulduktan, Cookie kimliğini kopyaladıktan sonra işlemlerimiz başlamakta.
Giriş yapmak istediğimiz platform üzerinden Application bölümüne gelerekten işlem eklememiz lazım, bu şekilde aldığımız kimliğin sahibi kendimiz gibi davranaraktan hesaba gireceğiz. Name bölümüne elde ettiğimiz (Kali Üzerinde) isimi yazıyoruz. Value ise elde ettiğimiz değeri girmek zorundayız ve bu değeri işlemde çoktan elde ettiğimiz için basit bir şekilde değeri yazıyoruz. Cookie'ler (Çerezler) veritabana değişiklikleri kaydettiği için artık yapmamız gereken şey durumu yenilemek ve yeni bir sayfadan girmek istediğimiz siteye tekrar giriş sağlamak. Bizi ana kullanıcı sandığı için Cookie'ler bizi içeri sokacağı için işlemi başarı ile tamamlamışsınızdır. Tebrik ederiz...