Selamun Aleyküm kardeşlerim,abilerim
Bugün sizleri Twitter’da mevcut bulunan Session Hijack açığından bahsedeceğim.
Bu açığı nasıl kullanabiliriz?
Bu açığı topluma açık olan ağlarda veya local ağınızda olan kişilerin paketlerini dinleyerek kullanabilirsiniz.
Ağımızda olmayan kişiler için tek başına bu açık bir işe yaramaz arkadaşlar hedefteki şahsın cookie bilgilerini çalmanız lazım.Peki bunu nasıl yapacağız diye soruyorsanız ilk önce kendi hostunuza Cookie sniffer kurmalısınız sonrada Twitter’da yeni bir açık aramanız gerek bu açığın genel ismi XSS dir.
Efendim neden Xss açığı bulmak zorundayız direk hostumuzun linkini atarız sazan avını başlatırız diyenler olabilir Twitter bunada bir güvenlik geliştirmiş attığınız her url’yi t.co uzantısıyla yönlendirirken cookieleriniz pirupak şekilde siliniyor bunun için hedefi xss bulduğunuz url ile yönlendirmeniz gerekiyor.
Bu açığı anlatırmısın?
Arkadaşlar bunu video yardımıyla anlatacağım videoda hafif aksaklıklar oldu kusura bakmayın..
Cookie’sini çaldığımız kişinin auth_token ve twimg değerinde bulunan userid’i değiştirerek kişinin hesap ayarlarına erişebilirsiniz telefon ekleyip telinize gelen kod aracılığıyla hesaba tamamen hükmedebilir yada şifreyi değiştirmeden twit atabilirsiniz.
Kişinin twitter kullanıcı id için Link
Bilgilerinden yararlandığım Emrullah Akdemir ve Loading abilerime teşekkür ederim...
Video Link 1
Video Link 2Link
0 yorum:
Yorum Gönder