Şifre yenileme linkleri sızdırılıyor mu?

Web dünyasında bir kronik açık daha ortaya çıkmış olabilir; rapora göre yeni açıklar var!

Her web sitesinde tek tipleşen bir şifre yenileme yöntemi vardır. Bu tek tip yöntemde şifre giriş arayüzünde bulunan "şifremi unuttum" linkine tıklıyorsunuz, ardından kurtarıcı olarak girilen e-postanıza yeni şifreler ve diğer kurtarma yöntemleri, web sitesinin atadığı botlar tarafından gönderiliyor. Bu e-postadaki linke tıkladığınızda direkt olarak e-postanızdan söz konusu adrese yönlendiriliyorsunuz. Bundan böyle link iki faktör kullanarak eski şifre ile yeni şifreyi yeniliyor.

Yeni şüphelere göre, bir web saldırganı ve ya hacker, bu linke ulaşabilir, e-posta aktivasyonu gerektirmeden başka bir şifre kombinasyonu belirleyebilir. Daha doğrusu belirleyebilir mi? Özellikle saldırganların e-postalara bu kadar kolay bir şekilde sızabildiği bir ortamda. Bir internet sitesinden şifre yenileme istediğiniz zaman e-postanızda siteisimi.com/passwords/edit?token şeklinde belirir, bu bağlantıya tıkladığınız zaman erişim sağlayacağınız site içerisinde yeni şifre render işlemi görür, site içerisinde güvenilir olarak kaydeder. Bu iki faktör arasında kullandığınız browser bu onaylanmış yenileme linkini "referer" olarak analiz eder ve linke göre kullanıcı aslında şifreyi değiştirmemiş olarak kalabilir. Sonuç olarak sızmaya çalışan saldırgan, değiştirilmiş olarak düşündüğünüz şifrenin bulunduğu link kodu karşı tarafa ulaşıyor, o da kendince şifrenizi değiştirebiliyor.

Aslında bunun kullanıcı açısından yapabileceği bir yöntemi yok. Bu işlemin güvenliği,güvenilrliği biraz da web site yöneticisinin sorumluluğunda. Eğer bir web site kontrol ediyorsanız şu yöntemi deneyin;

-Bir şifre yenileme isteyin,

-URL adresini "gizli sekme" üzerinden kopyalayıp yapıştırın ve URL'ye giriş yapın.

Gönderilen adresten eğer "şifre yenileme" arayüzüne herhangi bir soru sormadan ulaştıysanız bu link muhtemelen geçerli şifrenin URL'sini barındırıyor demektir. Ayrıca browserın web inspector arayüzünden de sızdırılan ve reset linklerine, render almış haliyle ulaşabilirssiniz. Bu inspector'lerdeki HTML'lerden linklerin sızdırılıp sızdırılmadığını kontrol edebilirsiniz.

Açığı bulan forum sitesi için:

Link

Etiketler: eposta hack siber-saldiri e-posta-aktivasyonu
reklam

Yorumlar

Yorumunuzu yazın

Yorumunuzu bizimle paylaşabilirsiniz

GÜNCEL İÇERİKLER
reklam

Popüler İçerikler

reklam