Hacklink, Hacklink Satışı 0539 481 45 43 Hacklink SEO, Hacklink Sitesi

İnternet sitelerinin açıklarını bularak zengin olmak?

Diğer kullanıcıların göz attığı sayfalara hackerların kendi kodlarını eklemesini sağlayan çarpraz kod hatalarını bulabilirim çünkü bunlardan çok fazla var. Spiderlabs siber güvenlik şirketinin tahminlerine göre web uygulamalarının % 82’si bu durumdan muzdarip.

Bu durumda benim gibi bir acemi bile bu hataları bulabilir.

Ama nereden başlayacağım?

İnternet sitelerinde ve yazılım programlarındaki güvenlik açıklarını yakalayarak para kazanan Cameron Dawe, kullanıcıların katkı yapmasına izin veren her internet sitesine bakabileceğimi söylüyor.

“Kullanıcıların katkı yapmasını sağlayan arama kutucukları, profillerdeki ‘hakkında’ bölümleri ve üye girişi formlarının hepsi saldırılara açık. XSS (çapraz site saldırısı) ile ilk defa gençken karşılaşmıştım. İnternetteki profillerime basit bir HTML kodu koyarak ismimi renkli yapıyordum. Bu XSS’in zararsız ve küçük bir örneğiydi. Ancak yıllar sonra bir internet sitesinde yapılan küçük bir değişikliğin güvenlik açığı olduğunu öğrendim” diyor.

Hata bulucu olarak aslında bu oyuna oldukça geç katılıyorum.

Birçok uzman saldırıya uğrayan internet sitelerini tespit etmek için otomatik araçlar kullanıyor. Bu da benim bulabileceğim güvenlik açıklarının çoktan bulunmuş ve hataların düzeltilmiş olması demek.

Yaratıcı olmam gerekecek.

Şahin gözlü, iyi niyetli hackerların düşünmeyeceği tuhafiyecilerin, tamircilerin, koşu ayakkabısı satıcılarının internet sitelerini seçeceğim.

Bu iyi bir taktik.

Birkaç dakikada bir hata buluyorum, sonra bir tane daha ve bir saatten az bir sürede 7 internet sitesinde bulduğum güvenlik açıklarını arama kutularından ve formlardan onlara bildiriyorum.

Kolay hatalar

Ben hiçbir şekilde bu konuda uzman değilim ve bu güvenlik açıklarını bulurken oldukça basit yöntemler kullanıyorum.

Ayrıca bu açıkları ben bile kolayca bulabiliyorsam çok da ciddi olamazlar değil mi?

Spiderlabs’in araştırma ekibi başkanı Lawrence Munro ciddi olabileceklerini söylüyor.

“Küçük açıklar daha büyük açıklara işaret ediyor olabilir” diyor ve ekliyor “Genelde XSS oldukça ciddi bir güvenlik açığıdır ama ciddiyetin farklı seviyeleri var.”

Munro, benim bulduklarımın çok ciddi olmadığını söylüyor.

“Siber saldırgan kötü amaçlı bir bağlantı oluşturabilir ve internet sitesindeki açığı kullanarak başka bir kullanıcının bu linke bir emailin içinden tıklamasını sağlayabilir” diyor.

Bu bağlantıya tıklayan bir kullanıcı “cookies” olarak bilinen küçük dosyaların saldırganın eline geçmesini sağlar ve saldırgan kullanıcının hesabını çalabilir.

NCC Group siber güvenlik uzmanı Matt Lewis de denetlediği web uygulamalarının çoğunun basit açıkları olduğunu söylüyor.

“Karşılaştığımız en büyük sorun insanların güvenli kodlar yazmayı bilmeden uygulama yaratmaları. Internet tarayıcısından gelen hiçbir şeye güvenmemeliler. Bu normalde her web geliştiricisinin kuralı olmalı. Ancak yine de böyle açıkları hala görüyoruz”.

Bir internet sitesi XSS açığından kaynaklanan problemlere sahip olmasa bile kullanıcılarını riske atabilir.

Siber saldırganlar güvenlik açıkları olan bir internet sitesinin verilerine ulaşarak kullanıcıların diğer sitelerdeki hesaplarını çalabilirler.

Hatta saldırganlar yönetici hesaplarından birini çalarlarsa sitenin temel verilerine ulaşabilirler.

Kötüye kullanım

Munro’ya bulduğum açığı gösterdiğimde kodların üzerinden internet sitelerini kurcalamanın ne kadar yasal olduğu sorusunu gündeme getiriyor.

“Çoğu Bilgisayarı Kötüye Kullanım yasaları niyete bağlı, ancak sistem sahibi değilsen risk altındasın.”

Bu beni endişelendirdi çünkü bulduğum açıklardan biri ünlü bir kıyafet markası olan Debenhams’dı.

Munro açıkları kamuya ifşa etmenin tehlikeli olduğunu söylüyor.

Bazı şirketler uyarıları umursamıyor, bazıları önce umursamıyor ancak daha sonra açığı bulan kişiyi hacker olmakla suçluyor.

Hata avı programları yürüten internet siteleri bu suçlamaların önlenmesini sağlıyorlar.

Casey de iyi niyetli hackerların güvenlik açığı bulma hobileri sayesinde internetin daha güvenli olacağını söylüyor. “Bu yüzden bu buldukları açıkları bildirdikleri için cezalandırılmaktansa ödüllendirilmeliler”.

“Onlar benim arkadaşlarım. Ben bir hacker topluluğunda büyüdüm. Onları hapisten uzak tutmak ve para kazanmalarını sağlamak istiyorum” diyor.

One thought on “İnternet sitelerinin açıklarını bularak zengin olmak?

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak.