İçeriğe geçmek için "Enter"a basın

Google Fatura Bildirim Uygulamasında Kritik Güvenlik Açığı

Thomas Orlita adındaki genç güvenlik araştırmacısı Google’ın sunucu taraflı uygulamalarından birinde kritik bir güvenlik açığı keşfetti.

Bu güvenlik açığı kötüye kullanılsaydı, saldırganlar başka kullanıcılar tarafından Google’a gönderilen diğer faturalara erişim elde etmeyi ve hassas bilgileri ele geçirmeyi başarabilecekti.

Yılın ikinci ayında keşfedilen güvenlik açığı, Nisan ayının ortasında düzeltildi.

Cross-site Scripting (XSS), Türkçesiyle Siteler Arası Betik Çalıştırma olarak sınıflandırılan güvenlik açığı, Google’ın iş ortaklarından fatura bildirimi almak için kullandığı Google Fatura Bildirim Portalındaydı.

Güvenlik araştırmacısı bu güvenlik açığı yardımıyla gönderdiği fatura ekinin gövdesine yerleştirdiği bir JavaScript kodunu sunucu tarafında çalıştırabildi.

XSS açıkları bazen zararsız olsada, iyi düşünülmüş bir saldırı senaryosuna ve saldırganın becelerine bağlı olarak daha kritik etkileri olabilir. Bunun için web uygulamalarının bu ve bunun gibi güvenlik açıklarına karşı test edilmesi önemlidir.

Tüm bunların yanında XSS gibi açıkları üzerinde barındıran web uygulamalarının kullanıldığı adreslerin ziyaretçilerinide bekleyen bazı tehditler vardır.

Siz de rahatlıkla böyle bir saldırının hedefi olabilir ve ne yazık ki farkında olmayabilirsiniz. Bunun için aşağıdaki bazı basit güvenlik önlemlerini izlemenizi öneririz.

  • Tarayıcınızda JavaScript’i devre dışı bırakın. (Bunun için NoScript, Privacy Badger, uBlock gibi tarayıcı eklentilerini kullanabilirsiniz.)
  • Kaynağı belli olmayan ve beklemediğiniz bağlantılara tıklamayın. Tarafınıza gönderilen bağlantı güvenli olsa bile, o site üzerinde bir XSS açığı keşfedildiyse bu saldırganlar tarafından rahatlıkla kullanılabilir
  • Daha sıkı koruma için modern ve güncel web tarayıcılarını kullanın.

İlk yorum yapan siz olun

    Bir cevap yazın

    E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir