Ana sayfa Haber Şifre yenileme linkleri sızdırılıyor mu?

Şifre yenileme linkleri sızdırılıyor mu?

139
0

Her web sitesinde tek tipleşen bir şifre yenileme yöntemi vardır. Bu tek tip yöntemde şifre giriş arayüzünde bulunan “şifremi unuttum” linkine tıklıyorsunuz, ardından kurtarıcı olarak girilen e-postanıza yeni şifreler ve diğer kurtarma yöntemleri, web sitesinin atadığı botlar tarafından gönderiliyor. Bu e-postadaki linke tıkladığınızda direkt olarak e-postanızdan söz konusu adrese yönlendiriliyorsunuz. Bundan böyle link iki faktör kullanarak eski şifre ile yeni şifreyi yeniliyor.

Yeni şüphelere göre, bir web saldırganı ve ya hacker, bu linke ulaşabilir, e-posta aktivasyonu gerektirmeden başka bir şifre kombinasyonu belirleyebilir. Daha doğrusu belirleyebilir mi? özellikle saldırganların e-postalara bu kadar kolay bir şekilde sızabildiği bir ortamda. Bir internet sitesinden şifre yenileme istediğiniz zaman e-postanızda siteisimi.com/passwords/edit?token şeklinde belirir, bu bağlantıya tıkladığınız zaman erişim sağlayacağınız site içerisinde yeni şifre render işlemi görür, site içerisinde güvenilir olarak kaydeder. Bu iki faktör arasında kullandığınız browser bu onaylanmış yenileme linkini “referer” olarak analiz eder ve linke göre kullanıcı aslında şifreyi değiştirmemiş olarak kalabilir. Sonuç olarak sızmaya çalışan saldırgan, değiştirilmiş olarak düşündüğünüz şifrenin bulunduğu link kodu karşı tarafa ulaşıyor, o da kendince şifrenizi değiştirebiliyor.

Aslında bunun kullanıcı açısından yapabileceği bir yöntemi yok. Bu işlemin güvenliği,güvenilrliği biraz da web site yöneticisinin sorumluluğunda. Eğer bir web site kontrol ediyorsanız şu yöntemi deneyin;

-Bir şifre yenileme isteyin,

-URL adresini “gizli sekme” üzerinden kopyalayıp yapıştırın ve URL’ye giriş yapın.

Gönderilen adresten eğer “şifre yenileme” arayüzüne herhangi bir soru sormadan ulaştıysanız bu link muhtemelen geçerli şifrenin URL’sini barındırıyor demektir. Ayrıca browserın web inspector arayüzünden de sızdırılan ve reset linklerine, render almış haliyle ulaşabilirssiniz. Bu inspector’lerdeki HTML’lerden linklerin sızdırılıp sızdırılmadığını kontrol edebilirsiniz.

Açığı bulan forum sitesi için:

Link

BİR CEVAP BIRAK

Please enter your comment!
Please enter your name here