Javascript ile bir siteye login olup olmadığınızın kontrolü !

14-12-2006

Temelinde basit bir numara ama gerçekten etkileyici. Özetle javascript ile sizin girdiğiniz site sizin o anda gmail veya benzeri bir siteye üye girişi yapıp yapmadığınızı tespit ediyor.

Bu özellikle CSRF ve XSS ataklarında çok kritik bir bilgi olabilir. Önce bunu kontrol edip daha sonradan kurbanı ona göre yönlendirebilir ya da hiç bir şey yapmayabilirsiniz.

Temel olarak sistem bir URL ' i "<script src=>" ile çağırıp dönen hata kodunu analiz etmeye dayanıyor. Browser scripti işlemeye çalışıyor ve nerede hata olduğuna göre detaylı hata döndürüyor. Bizde sitelerdeki üye girişi yapılmış ve yapılmamış hata raporlarının imzalarını çıkartıp bu tespiti yapabiliyoruz.

Buradaki temel sorun tarayıcıların uzağa "script src" isteği yaparken cookileri de göndermeleri ve bu sistem uyumluluk nedeniyle muhtemelen uzun süre değişmeyecek. Bu konu ile ilgili bir kaç tane daha hafif güvenlik açığı yamanmamış ve yamanyacak şekilde hala duruyor. XSS Shell' de bunlardan birini iletişim kanalı olarak kullanıyor.

Recent Blog Posts

See all of the blog posts