Pass The Cookie diye bir saldırı yöntemi duydum. 2 aşamalı doğruamayı atlatmak için kullanılıyor galiba. Bu yöntemin ne olduğunu ve hangi toolların kullanılarak bu yöntemin gerçekleştirildiğini anlatırmısınız?
Pass The Cookie nedir? Nasıl kullanılır?
- Konuyu başlatan Alperen_G10
- Başlangıç tarihi
pass-the-cookie dediğin şey aslında 2FA’yı kırmak değil zaten doğrulanmış bir oturumun (session cookie/token) ele geçirilip tekrar kullanılmasıdır yani kullanıcı login olup 2FA’yı geçtikten sonra oluşan session çalınır ve saldırgan aynı cookie ile doğrudan sisteme girer bu yüzden 2FA’yı “atlatmış” gibi görünür ama aslında oturum hijack yapılmıştır bu genelde XSS, zararlı uzantılar, infostealer malware veya güvensiz ağlarda cookie sızıntısı ile olur tool tarafında spesifik “tek tuş çözüm” yok mantık request/cookie yakalayıp tekrar kullanmak Burp gibi proxy’lerle analiz yapılır ama asıl kritik nokta nasıl ele geçirildiğidir savunma tarafında ise HttpOnly/Secure/SameSite flag’leri, kısa session ömrü, IP/cihaz bağlama, anomali tespiti ve yeniden doğrulama (re-auth) ile risk azaltılır kısaca olay 2FA’yı kırmak değil oturumu çalmaktır
Selamlar. Pass the Cookie saldırısı aslında bir tür oturum hırsızlığıdır. Mantık oldukça basit. Kullanıcı giriş yaptığı an tarayıcıya bir oturum çerezi kaydedilir. Eğer saldırgan bu çerezi çalmayı başarırsa onu kendi tarayıcısına yapıştırıp sisteme giriş yapar. Sistem bu kişiyi zaten doğrulanmış kullanıcı olarak gördüğü için iki aşamalı doğrulama yani 2FA engelini sormadan geçer.
Bu yöntemi uygulamak için en popüler araçlardan biri Evilginx2 yazılımıdır. Bu araç bir ara sunucu gibi davranarak kullanıcı ile site arasındaki tüm verileri ve çerezleri toplar. Bunun dışında RedLine veya Lumma gibi stealer dediğimiz zararlılar da bilgisayardaki tüm tarayıcı çerezlerini saniyeler içinde çalabilir. Elde edilen bu verileri kullanmak için ise Cookie Editor tarzı basit tarayıcı eklentileri yeterli oluyor. Bu tarz saldırılara karşı en iyi önlem her zaman bilmediğiniz dosyaları açmamak ve donanımsal anahtarlar kullanmaktır. İyi forumlar dilerim.
Bu yöntemi uygulamak için en popüler araçlardan biri Evilginx2 yazılımıdır. Bu araç bir ara sunucu gibi davranarak kullanıcı ile site arasındaki tüm verileri ve çerezleri toplar. Bunun dışında RedLine veya Lumma gibi stealer dediğimiz zararlılar da bilgisayardaki tüm tarayıcı çerezlerini saniyeler içinde çalabilir. Elde edilen bu verileri kullanmak için ise Cookie Editor tarzı basit tarayıcı eklentileri yeterli oluyor. Bu tarz saldırılara karşı en iyi önlem her zaman bilmediğiniz dosyaları açmamak ve donanımsal anahtarlar kullanmaktır. İyi forumlar dilerim.
- Konuyu başlatan
- #4
bilgilendirdiğiniz için teşekkürler
verdiğiniz bilgiler benim için çok değerli. anlattığınız için teşekkürler
