Yazan: chelishky Ekim 19, 2008
Bir haftadır neredeyse her güvenlik ilgililerinin dilinde sakız olan açık ClickJacking aslında çok basit bir düşünce.Bir yere klavye ile değer girmek,ya da isminizi yazmak için tıklarsınız.Saldırgan sizin bu değer girecem sandığınız yere bir onaylama butonu yerleştiriyor ve düzgünce yerleştiriyor,siz butonun renksiz kısmını görüyorsunuz(ya da göremiyorsunuz) dolayısı ile istemeden onay vermiş oluyorsunuz.Olay tamamen bundan ibaret.Neden bu kadar büyüdüğü merak konusu olsa da,önlemenin basit olmaması buna neden gösterilmişti.Adobe Flash 10 ile bunu engellediğini birkaç gün önce açıkladı.Ben de bildireyim dedim.
Securityfocus sitesinde yer alan habere gitmek için :
http://www.securityfocus.com/brief/840
tık atın :).
Yazı kategorisi: Güvenlik | Etiketler: adobe, clickjacking, flash, flash10 | » yorum bırak;
Yazan: chelishky Ekim 7, 2008
Araştırmacılar bütün ana masaüstü platformlarını (Internet Explorer, Firefox, Safari, Opera ve Adobe Flash) etkileyen yeni bir browser exploit / tehditi ile ilgili olarak uyarıyorlar.
Clickjacking adı verilen tehdit OWASP New York AppSec 2008 konferansında anlatılacak ve tartışılacaktı ama Adobe ve diğer etkilenen üretici firmaların ricası üzerine fix çıkana kadar açıklanmayacak.
Keşfin arkasındaki iki araştırmacı Robert Hansen ve Jeremiah Grossman açığın seviyesi ile ilgili ufak bilgiler verdiler.
Clickjacking nedir?
“Maalesef, bulgularımızın bazıları kötü değil, çok kötü. O kadar kötü ki, sorumluluğunu taşıyarak duyurmamız gerektiğini hissettik. Bir açık diğerine yöneltti o da bir diğerine ve güm – yakında açıklar ile ilgili pek çok yama çıkacak. Ve sadece bir kaç üretici firma ile çalıştık. Ve.. evet. Açık çok kötü.”
Yarı kısıtlı OWASP prezentasyonunu izlemiş birisi açığın gerçekten zero-day (patch i yok) olduğu, tüm browser’ları etkilediğini ve Javascript ile alakası olmadığını belirtiyor:
“Kabaca, kötü amaçlı bir web sitesini ziyaret ettiğinizde saldırgan browser’ınızın ziyaret ettiği linklerin kontrolünü eline alabiliyor. Problem lynx türü olanlar hariç hemen hemen tüm browser’ları etkiliyor. Problemin javascript ile alakası yok ve javascript i kapatmanın yararı olmuyor. Browser2ların çalışma mantığındaki bir hata ve bir yama ile basitçe kapanamayacak birşey. Bu açıkla, kötü amaçlı bir web sayfasına girdiğinizde, kötü amaçlı kişi istediğiniz linke, butona tıklamanızı sağlıyor ve birşey görmüyorsunuz.”
Firefox 2, 3, Internet Explorer tüm sürümleri (8 dahil), Opera, Safari browser’ları Clickjacking açığından etkileniyor.
Kaynak: http://blogs.zdnet.com/security/?p=1972
Yazı kategorisi: Güvenlik | Etiketler: browser hack, clickjacking, iframe | » yorum bırak;
Bir haftadır neredeyse her güvenlik ilgililerinin dilinde sakız olan açık ClickJacking aslında çok basit bir düşünce.Bir yere klavye ile değer girmek,ya da isminizi yazmak için tıklarsınız.Saldırgan sizin bu değer girecem sandığınız yere bir onaylama butonu yerleştiriyor ve düzgünce yerleştiriyor,siz butonun renksiz kısmını görüyorsunuz(ya da göremiyorsunuz) dolayısı ile istemeden onay vermiş oluyorsunuz.Olay tamamen bundan ibaret.Neden bu kadar büyüdüğü merak konusu olsa da,önlemenin basit olmaması buna neden gösterilmişti.Adobe Flash 10 ile bunu engellediğini birkaç gün önce açıkladı.Ben de bildireyim dedim.