|
|
LinkBack | Seçenekler | Görüntüleme stilleri |
03 Nisan 2023, 11:55 | #1 |
Çevrimiçi
|
Güvenlik Araştırmacıları, Bing Arama Sonuçlarını Hacklemeyi Başardı
Güvenlik Araştırmacıları, Bing Arama Sonuçlarını Hacklemeyi Başardı Www.TrendForum.Net Ocak ayında bir güvenlik araştırmacısı, yanlış yapılandırılmış bir Microsoft online servisini kullanarak Bing arama sonuçlarını tamamen değiştirebilecek, daha sonra “BingBang” olarak adlandırdıkları bir güvenlik açığı tespit etti. Ayrıca ilgili zafiyet kullanıcıların oturumlarına Office 365 hesaplarını çalmaya yarayan bazı XSS saldırıları da yapılabilmesine imkan tanıdı. Wiz Research tarafından yürütülen çalışmada, araştırmacılar Azure App Services ve Azure Functions servislerinde farklı bir yapılandırma yer aldığını keşfetti. Bunlar üzerinden bir “app” oluşturduğunuzda herhangi bir Microsoft kullanıcısının da bu uygulamalarda oturum açmasına izin verecek şekilde yapılandırılabiliyordu. Geliştiriciler bu izinleri yanlış veya biraz daha gevşek şekilde bıraktığı takdirde istenmeyen sonuçların doğması söz konusu hale geliyordu. Analistler araştırmasına devam ederken, bütün Microsoft kullanıcılarının oturum açabildiği “Bing Trivia” adında bir içerik yönetim sistemi (CMS) uygulaması buldu. Keşfettikleri uygulamanın doğrudan “Bing.com”a bağlı olduğunu gördüklerinde, arama sonuçlarını istedikleri gibi manipüle edip edemeyeceklerini denemek istediler ve başarılı oldular. Aşağıdaki videodan bütün süreci izleyebilirsiniz. Daha sonra araştırmacılar işi daha farklı bir seviyeye taşıyıp, Bing arama sonuçlarına herhangi bir payload (zararlı kod) enjekte edip edemeyeceklerini denediler. Aynı içerik yönetim arayüzünü kullanarak Bing.com’da bir XSS (Cross-Site-Scripting) saldırısı gerçekleştirebileceklerini gördüler. Yaptıkları deneyde bu şekilde kendi Office 365 hesaplarının tokenlarını çalmayı ve tam yetkiyle erişim sağlamayı başardılar. Microsoft yanlış yapılandırmanın yalnızca az sayıda uygulama için geçerli olduğunu ve hemen düzelttiğini söyleyerek sorunu küçümsese de, etki bakımından Bing.com’un yönetim panelinin ele geçirilmesinden ve arama sonuçlarının istendiği gibi değiştirilebilmesi göz önüne alınınca bu oldukça korkunç gözüküyor. Microsoft ayrıca açıkları kapattıktan sonra kendilerine bildirdikleri için Wiz Research ekibine teşekkür edip 40.000 dolarlık bir ödül verdi. Technopat
__________________
İmzalardaki bağlantıları veya görselleri görüntülemek için gönderi sayınızın 10 veya daha fazla olması gerekir. |
|
İçeriği Sosyalleştir |
Etiketler |
arama, araştırmacıları, başardı, bing, güvenlik, hacklemeyi, sonuçlarını |
Şu anda bu konuyu görüntüleyen etkin kullanıcılar: 1 (0 üye ve 1 konuk) | |
|
Benzer Konular | ||||
Konu | Konuyu Başlatan | Forum | Yanıtlar | Son Mesaj |
Görüntülü arama | DeepSilence | Trend Sözlük | 10 | 23 Mayıs 2023 02:11 |
Avusturya arama kurtarma ekibi | Leila | Kafamıza Göre | 3 | 21 Şubat 2023 07:58 |
ÖSYM 2022 YKS sonuçlarını açıkladı | Beatrice | Eğitim Haberleri | 1 | 18 Temmuz 2022 15:19 |
LeBron James Bir İlki Başardı: Milyar Dolarlık Servet! | KoJiRo | Basketbol | 0 | 03 Haziran 2022 20:19 |
Arama Motoru | DeepSilence | Trend Ansiklopedi | 0 | 01 Haziran 2022 13:29 |
TrendForum.Net genel forum paylaşım sitesidir. Bu nedenle foruma kaydolan tüm gerçek kişiler, kontrole tabi tutulmaksızın içerik paylaşabilmektedir. TrendForum üzerinden paylaşılan mesaj, konu ve görsellerden yana doğabilecek yasal sorumluluklar; paylaşan kullanıcıya aittir, TrendForum.Net yer sağlayıcı olduğu için hiçbir yasal sorumluluk kabul etmez. İllegal herhangi bir faaliyetin saptanması durumunda; İLETİŞİM sayfası üzerinden ulaşıldığı takdirde mesaj, konu ya da görsel; en fazla 48 saat içerisinde silinecek ve bildiriminiz üzerinden tarafınıza dönüş sağlanacaktır.
5846 sayılı Fikir ve Sanat Eserleri Kanunu gereğince sitemizde telif hakkı bulunan mp3,video v.b. eserlerin paylaşımı yasaktır. Yasal işlem olması halinde paylaşan kişi ya da kişilerin bilgileri gerekli kuruma verilecektir.
TrendForum.Net, lisanslı vBulletin® kullanmaktadır. Tüm hakları saklıdır. ©2022-2024
Tema Tasarım: Vision / Fibertus.Net