Tarayıcılardaki Otomatik Doldurma Özelliğinde Güvenlik Açığı



 Tıpkı çoğumuz gibi, özellikle de mobil cihazlarda web formlarını doldurmaktan nefret ediyoruz.

Bu işlemi hızlandırmaya yardımcı olmak için Google Chrome ve diğer büyük tarayıcılar, daha önce benzer alanlara girmiş olduğunuz verilere dayalı olarak web formunu otomatik olarak dolduran “Otomatik Doldur” özelliğini sunar.

Bununla birlikte, bir saldırganın bu otomatik doldurma özelliğini kendinize karşı kullanması ve sizi kandırarak hackerlara veya kötü niyetli üçüncü taraflara bilgilerinizin gönderilmesine neden oluyor.

Finlandiya web geliştiricisi Viljami Kuosmanen, bir saldırganın çoğu tarayıcı, eklenti ve Parola Yöneticileri gibi araçların sağladığı otomatik doldurma özelliğinden nasıl yararlanabileceğini gösteren bir Demo yayınladı.

Her ne kadar bu hile 2013 yılında ElevenPaths’de Güvenlik Analisti Ricardo Martin Rodriguez tarafından keşfedilmiş olsa da, Google, Otomatik Doldurma özelliğindeki zayıflıkları gidermek için Google’ın herhangi bir şey yapmadığı görülüyor.

Kavramı kanıtlama demo web sitesi sadece iki alana sahip basit bir çevrimiçi web formundan oluşur: İsim ve E-posta. Ancak görülemeyen pek çok şey, telefon numarası, organizasyon, adres, posta kodu, şehir ve ülke gibi gizli alanlardır.

Dolayısıyla, tarayıcılarında yapılandırılmış bir otomatik doldurma profiline sahip kullanıcılar bu basit formu doldurup gönder düğmesine tıklarsa, gizli oldukları ancak sayfada bulunan sekiz alanın da erişebileceğini bilmeden tüm alanları gönderirler.




Kuosmanen’in PoC sitesini kullanarak tarayıcınızı ve otomatik doldurma özelliğini de test edebilirsiniz.

Kullanıcının adresinikredi kartı numarasınıson kullanma tarihini ve CVV’yi içeren daha fazla kişisel alan ekleyerek bu saldırıyı daha da kötüleştirebilir; ancak otomatik doldurma finansal veri formları, sitelerde HTTPS yoksa Chrome uyarıda bulunur.

Kuosmanen saldırısı, Google Chrome, Apple Safari, Opera ve hatta popüler bulut güvenlik kasası LastPass gibi çeşitli büyük tarayıcılara ve otomatik doldurma araçlarına karşı çalışır.

Mozilla Firefox tarayıcısını kullanıyorsanız bu saldırılardan endişelenmenize gerek yoktur. Şu an için çok kutu otomatik doldurma sistemine sahip değildir ve kullanıcıların her bir kutu için manuel olarak önceden doldurma veri seçmeleri gerekmektedir.

Otomatik Doldurma Özellikini Nasıl Kapatabilirsiniz?

Bu gibi kimlik avı saldırılarına karşı kendinizi korumanın en basit yolu tarayıcınızdaki form doldurma özelliğini, şifre yöneticisini veya eklenti ayarlarınızı devre dışı bırakmaktır.

Otomatik Doldurma özelliği varsayılan olarak açıktır. Chrome’da bu özelliği nasıl kapatacağınız aşağıda açıklanmıştır:

Ayarlar’ın alt kısmındaki Gelişmiş Ayarları Göster’e gidin ve Parolalar ve Formlar bölümünün altındaki Otomatik Doldurma kutusunun etkinleştirilmesinin işaretini kaldırın.

Opera’da Ayarlar → Gizlilik ve Güvenlik → Otomatik Doldurma bölümüne gidin ve kapatın.

Safari’de Tercihler’e gidin ve kapatmak için Otomatik Doldur’a tıklayın ve kapatın.


Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

2009 MERNİS DATA - Nasıl Açılır?

Resim
  malumunuz 2009 yılına ait, 50 milyon seçmenin kimlik ve adres (mernis) bilgilerini içerir bir veritabanı sızdı. hatta bir web sitesi bile açıldı. 6.6 gb boyutunda olan bu veri tabanını nasıl indireceğinizi veyahut web sitesinin adresini paylaşmayacağım. yeterli arama ile ikisini de bulmanız mümkün. ama eğer halihazırda veri tabanını indirdiyseniz bunu nasıl açıp kullanabileceğinizi anlatacam. öncelikle  mernis.tar.gz  isimli arşiv dosyasının içerisindeki  data_dump.sql  isimli dosyası bilgisayarımızın masaüstüne veyahut istediğiniz bir yere çıkarıyorsunuz. bu işlem bilgisayarınızın hızına göre 7-10 dakika arası sürüyor. bu çıkarma işlemini  winrar  ve benzeri programlarla yapabilirsiniz. akabinde  emeditor  yazılımın ufak bir google araması ile bulun. bilgisayarınızı ve işletim sisteminizin 32 veya 64 bit oluşuna göre gerekli versiyonu indirip bilgisayarınıza kurun. emeditör downlaod link : https://www.emeditor.com/ kurulum tamamlandık...
Devamı

Crunch Kullanımı

Resim
  CRUNCH NEDİR?   Brute-Force , sızma testleri gibi saldırılarını gerçekleştirmek için kullanılan wordlistleri oluşturmaya yarayan bir programdır. İnternette bulunan wordlistler dışında kendi wordlistlerimizi oluşturabiliriz. Diğer wordlist oluşturucularına göre hızı ve kolay kullanımı ile ön plana çıkmaktadır.   CRUNCH Kullanımı : Terminalden crunch yazıp çalıştırıyoruz crunch min max aralığını belirtiyoruz. Örnek: crunch 5 5 crunch min max sayı/kelime  hangi kelimenin kombinasyonunu istiyorsak onu yazıyoruz veya sayının hem sayı hem kelime de yazabiliriz crunch min max sayı/kelime -0 dosya adı yazıyoruz. Yukarıda görüldüğü gibi admin kelimesinin kombinasyonlarını oluşturup admin.text dosyasının içerisine attık. Admin.text dosyasının masaüstüne olmasının sebebi hzenci@kali:~/Masaüstü$ olasıdır.
Devamı

Python Anonim Chat Uygulaması

Resim
Merhaba Bu blog yayınında Python İle Nasıl Anonim Chat Uyhulaması Yapılır ve Nasıl Anonim İzi Sürülemez Olduğundan Bahsediceğim öncelikle bu uygulama 3 adte mini programcık olucak 1)Ngrok 2)server 3)client https://ngrok.com adresinden kayıt olup ngrok u kendi kullandığınız işletim sistemine uygun olarak indiriyorsunuz ve verdiği key i kullanarak çalıştırıyorsunuz ben örnek olarak linux kullanıcam ./ngrok tcp 4545 burda ngroktan tcp bağlantısı ve 4545 portunu istedim  buna server ile başlatıcam bunu ise python server.py 0.0.0.0 4545 burda lochal host üzerinde bir chat server açmış olduk ama bunun diş ipsi ise ngrok linki ve ngrokun size verdiği port olucak burda verdiği port size verdiği port olucak uzak bağlantıda kullanıcağınız yani python client.py ngroklink ngrokport ör/ python client.py 2.qewfads.ngrok.io 54366 bu bağlantıyı gerçekleştiren kişiler aynı sunucuda chatlaşebilicek ve ngrok durdurulduğunda herşey silinmiş olucak buda bunu anonim yapıyor ama mitm saldırılarına açık o...
Devamı