Hack

Yeni Clickjacking Tehditleri

Hacking Chain

Bu sene Barcelona'da düzenlenen Europe Black Hat konferansı sona erdi. Konferansta bir çok güvenlik uzmanı çeşitli brifingler verirken en çok dikkat çeken sunum Paul Stone'un yeni clickjacking tehditleri hakkında olanıydı. Stone bir yazdığı bir araç yardımıyla clickjacking saldırılarının kullanıcıları nasıl ciddi bir şekilde tehdit ettiğini gösterdi.

Gizli bir iFrame içine yerleştirilen birleşenler sayesinde kullanıcıların yaptığı bir çok şey saldırganın tarafına gönderilebiliyor. Bunların arasında formlara yazılan yazılar ya da açılan sayfalar da mevcut. Stone geliştirdiği "taşı ve bırak" aracı sayesinde bu saldırıların Internet Explorer, Firefox, Chrome ve Safari tarayıcılarında yapılabileceğini gösterdi.

iPad, Bir Günde Hacklendi

ipad.jpg

Apple'ın yeni ürünü iPad, satışa sunulduğu ilk gün satış rekorları kırarken, hackerlara sadece bir gün dayanabildi. MuscleNerd isimli Twitter kullanıcısı dün yayınladığı video ve resimle birlikte iPad'i nasıl jailbreak ettiğini gösterdi.

Daha önce de iPhone benzer yöntemlerle kısa süre içerisinde jailbreak edilebiliyordu. Bu sayede ürüne istenilen yazılımları internetten yükleyip kullanmak mümkün olabiliyor.

Apple ise bu duruma karşı radikal kararlar almaya hazırlanıyor. Buna göre Apple ürünlerini jailbreak yöntemleriyle kırıp kullanan kullanıcılar tespit edildiği takdirde artık yeni Apple ürünlerini alamayacaklar.

WordPress Çoklu Güvenlik Açıkları

WordPress

Popüler içerik yönetim sistemi WordPress'te çoklu güvenlik açıkları tespit edildi. Buna göre çeşitli URL istekleriyle izinsiz olarak çeşitli eklenti ve ayar sayfalarına ulaşmak mümkün. Bunun yanı sıra çeşitli JavaScript kodlar ile bu eklentilere zararlı kodlar da eklenebiliyor.

Çeşitli eklentilerde bulunan zafiyetlerin tetiklediği güvenlik açıkları doğrudan admin.php ile de ilgili olabiliyor. Uzaktan (remote) olarak tarif edilen güvenlik açıkları şuan için WordPress 2.8 ve öncesini, WordPress MU 2.7.1 ve öncesini etkilemekte.

Yeni Saldırı Yöntemi: Parametre Kirliliği

Hacking

Son düzenlenen OWASP güvenlik konferansında İtalyan güvenlik uzmanları Luca Carettoni ve Stefano Di Paola geliştirdikleri yeni web saldırı yöntemlerini tanıttılar. HTTP Parametre Kirliliği (HTTP Parameter Pollution - HPP) adı verilen bu yöntem ile birlikte bir çok web uygulaması üzerinde güvenlik tehditleri yaratmak mümkün. Yöntemin temeli GET ve POST isteklerini gönderirken alışılmadık formlarda ve sınırlamalarla yapmak.

Bu yeni yöntem ile birlikte SQL Injection, XSS ya da komut enjeksiyonu gibi saldırı metodları geliştirilebilmekte. Özellikle mevcut güvenlik önlemlerinden filtrelemenin sıkı yapılmaması HPP manipülasyonlarına fırsat doğurmakta.

Backtrack 3 ile AÄŸ Takibi

Backtrack, ağ güvenliği testleri yapmak için geliştirilmiş bir linux dağıtımıdır. Bu videoda backtrack ile bir ağda nasıl takip(monitoring) yapılabileceği anlatılmaktadır.

Video Dili: İngilizce

Man In The Middle Örnek Saldırı

Man In The Middle saldırısını anlatan bir video. Saldırı Linux altında Audiator Security Collection kullanılarak yapılmıştır.

Remote File Inclusion Örnek Saldırı

Programcı kaynaklı olarak PHP host'larında oluşan bu açık, başka bir host üzerinde bulunan kodların server üzerinde çalıştırılmasına olanak tanıyor. Bu şekilde server üzerinde çalıştırılan kodlar ile saldırgan çeşitli aktivitelerde bulunabiliyor.

Bu açık dolayısıyla yapılabilecek olan bir saldırıyı anlatan bir video. Video'da kurban.dyndns.org adresindeki kurban'ımıza yapılan saldırı, server'a dosya yüklenmesi, komut satırı bağlantısı yapılması, geride backdoor bırakılması ve sorunlu kod gösterilmekte.

İçeriği paylaş