Google XSS Güvenlik Açığı & Korunma Yöntemleri

**PoLoNia** · 20-06-2008, 16:40

Google XSS Güvenlik Açığı & Korunma Yöntemleri

İnternet diyince akLımıza GeLen iLk site kesinLikLe GoogLe ’dır.
En Büyük arama motoru oLan google da da bazı açıklar buLunabiLmektedir.
Google Döküman hizmeti içerisinde yapılan cross site scripting (xss) saldırısı iLe cookielerin (çerezlerin) ele geçirilerek Google’ın diğer servisLerine sızmak mümkündür.Bunuda buLanLardan birisinide buLan Billy Rios dur.

Attackerlar tarafından hazırlanan dökümanın içine javascript kodu gömerek bu dökümanları okuyan kişilerin cookie lerini çekebilmek mümkündür. Bu cookilerde bazı dönüştürücü programlar ile dönüştürülerek text tabanlı CSV dosyası olarak oluşturulup IE’de HTML olarak görünebiliyor. VE o dökümanı açanların cookileri Attackerlara gidiyor.Ve bu bilgilerlede özellikle gmail bilgilerini ve hesaplarını ele geçirebiliyorlar.Her ne kadar bu açıkların fixlenmesi için google yetkililerine belirtselerde google da hele hele bu aralar Scriptkiddie’nin de çalışmaları sonucu bir çok xss açığı saptamak mümkündür vede bunun yetkililerin fixlemesi biraz zaman alır.Çünkü Xss konularında onların pek bir bilgisi olduğunu zannetmiyorum ki;

http://www.google.com/search?hl=ar&q=<script>alert("1")</script>

[Sadece kayıtlı üyeler linkleri görebilirler. ]=

Bu ve bunun gibi xsslerin kapanması bile baya bir zaman almıştı.

Google Xss SaLdırıLArından NasıL KorunabiLiriz ?

1) CWXss Security veya Microsoft Xss Security gibi programalrı yükleyip xss ataklarında uyarıyı alarak bunu engellemek.

2) Ie tarayıcılarının dışında özellikle mozilla opera gibi tarayıcıları kullanmalısınız (Safari de diyecektim ama Mujaahed abinin geçen uyarması ile ondada cookielerin çekilebildiğini farkettim).

3) Mozilla kullanıyorsanız No script eklentisini kurup aktif etmek.

4) Mailden gelen Linkleri tıklayarak değil kopyalayıp internet tarayıcınıza yapıştırıp giriniz.cookie çekilimini engeller.

5) Tanımadığınız kişilerden gelen LinkLeri Tıklamamak.Her türlü saLdırı oLabiLeceğini göz önünde buLundurmak gerekir.

6) Özellikle Security Siteleri ve forumlarına güncel haberlere bakıp SaLdırı ihtimallerine karşın her an hazır olda beklemek lazım.Yeni bir google açığı bulunduğunda dahada bir tedirgin ve dikkatli olmak lazım.En önemlisi bilinçLi oLmak Lazım !

20-06-2008, 16:40	#1 (permalink)
PoLoNia II.Nesil Üye Durum:Offline Üyelik Tarihi: Aug 2006 Nerden: Gökyüzünde Bir Yerde Mesajlar: 2.380 Takım: FENERBAHCE KanGrubu: B rH+ Eğitim: ..ÖSS.. Burcunuz: Akrep Arkadaşları:6 Ettiği Teşekkür: 28 Aldığı Teşekkür 127 Xsir Gücü: 0 Xsir Puanı: 1 Xsir Grafiği:	Google XSS Güvenlik Açığı & Korunma Yöntemleri Google XSS Güvenlik Açığı & Korunma Yöntemleri İnternet diyince akLımıza GeLen iLk site kesinLikLe GoogLe ’dır. En Büyük arama motoru oLan google da da bazı açıklar buLunabiLmektedir. Google Döküman hizmeti içerisinde yapılan cross site scripting (xss) saldırısı iLe cookielerin (çerezlerin) ele geçirilerek Google’ın diğer servisLerine sızmak mümkündür.Bunuda buLanLardan birisinide buLan Billy Rios dur. Attackerlar tarafından hazırlanan dökümanın içine javascript kodu gömerek bu dökümanları okuyan kişilerin cookie lerini çekebilmek mümkündür. Bu cookilerde bazı dönüştürücü programlar ile dönüştürülerek text tabanlı CSV dosyası olarak oluşturulup IE’de HTML olarak görünebiliyor. VE o dökümanı açanların cookileri Attackerlara gidiyor.Ve bu bilgilerlede özellikle gmail bilgilerini ve hesaplarını ele geçirebiliyorlar.Her ne kadar bu açıkların fixlenmesi için google yetkililerine belirtselerde google da hele hele bu aralar Scriptkiddie’nin de çalışmaları sonucu bir çok xss açığı saptamak mümkündür vede bunun yetkililerin fixlemesi biraz zaman alır.Çünkü Xss konularında onların pek bir bilgisi olduğunu zannetmiyorum ki; http://www.google.com/search?hl=ar&q=<script>alert("1")</script> [Sadece kayıtlı üyeler linkleri görebilirler. ]= Bu ve bunun gibi xsslerin kapanması bile baya bir zaman almıştı. Google Xss SaLdırıLArından NasıL KorunabiLiriz ? 1) CWXss Security veya Microsoft Xss Security gibi programalrı yükleyip xss ataklarında uyarıyı alarak bunu engellemek. 2) Ie tarayıcılarının dışında özellikle mozilla opera gibi tarayıcıları kullanmalısınız (Safari de diyecektim ama Mujaahed abinin geçen uyarması ile ondada cookielerin çekilebildiğini farkettim). 3) Mozilla kullanıyorsanız No script eklentisini kurup aktif etmek. 4) Mailden gelen Linkleri tıklayarak değil kopyalayıp internet tarayıcınıza yapıştırıp giriniz.cookie çekilimini engeller. 5) Tanımadığınız kişilerden gelen LinkLeri Tıklamamak.Her türlü saLdırı oLabiLeceğini göz önünde buLundurmak gerekir. 6) Özellikle Security Siteleri ve forumlarına güncel haberlere bakıp SaLdırı ihtimallerine karşın her an hazır olda beklemek lazım.Yeni bir google açığı bulunduğunda dahada bir tedirgin ve dikkatli olmak lazım.En önemlisi bilinçLi oLmak Lazım ! __________________ Yokum Özel Kişilere Tek Cevap Veririm

Konu Seçenekleri
Yazıcıdaki Görüntüsünü Göster Sayfayı E-Mail'le gönder
Modları Göster
Normal Mod Ağaç Modununa Geç Otomatik Konu Moduna Geç

Okuduğunuz Konuya Benzer Konular
Konu	Konuyu Açan	Forum	Cevaplar	Son Mesaj
Güvenlik Terimleri	Trance-Apache	Bilgisayar Güvenliği	0	01-03-2008 20:35
Temel Güvenlik Yanılgıları	Trance-Apache	Bilgisayar Güvenliği	0	01-03-2008 20:33
Google Desktop	LeaveMe	Görsel Anlatımlar	0	28-02-2008 17:25
GoogLe Nedir,NasıL Doğdu...Hakkında Herşey	Trance-Apache	Bilim&Teknoloji	0	24-02-2008 22:04
Neden Google Kullanılmalı ??	blue_inside	Internet Haberleri	1	06-02-2008 21:30