XSS (Cross Site Scripting – Çapraz Kod Çalıştırma) kısaca, HTML ve JavaScript yardımıyla bir sitede, siteye giren kullanıcıya tehlike arz edecek şekilde kod çalıştırmaya denir. Ziyaretçilerinizden bilgi almak amaçlı ya da onlara ait hesapları tekrar tekrar şifre girmeden kullanmaları için yollamış olduğunuz çerezleri –cookies- XSS yardımıyla çalabilirler ve kendilerini, sisteme o ziyaretçiymiş gibi gösterebilirler.

Çerezler Nasıl Çalışır?
Bir çerez, istemci -yani siz- tarafında herhangi bir bilgiyi, oturum numarasını vs. saklamaya yarayan ve sadece kendisinin yollandığı alan adı (domain) için bilgilerini veren bir araçtır denilebilir. Yani herhangi bir siteye girdiğinizde, karşı taraftan size bilgilerinizi tutmak için bir çerez yollanabilir. (Eğer tarayıcınızın güvenlik ayarları çok sıkı değilse, otomatik olarak kabul ediecektir bu çerezler )
Kullanım alanları, genel olarak kullanıcı bilgileri ya da sizin karşı taraftaki oturum numaranızı karşılaştırmak içindir. Bu noktada, karşı tarafın, sizin diğer çerezlerinizin içindeki bilgileri ele geçirmenizden şüphe edebilirsiniz belki; ancak başta da bahsettiğimiz gibi, tarayıcılar sadece çerezi isteyen yerin alan adı ve dosya yolu (örn. www.hackhell.com/foo adresine ayarlı bir çerez, asla www.hackhell.com/hodo adresine yollanmaz) uyuşuyorsa bu bilgileri yollarlar, olağanüstü bir durum dışında bu bir güvenlik sorununa yol açmaz

XSS Nasıl Çalışır?
Bu yazının tehlikeli işler yapmaya meyilli olan kişiler tarafından da okunma ihitmali olduğu için açık açık anlatım yoluna gitmeyi düşünmüyorum Şöyle bir gözden geçirecek olursak;
JavaScript dilinde çerezleri yönetmeyi sağlayan bir Cookie yöntemi bulunmaktadır. (yani; document.cookie) Bu yöntem yardımıyla sayfaya ait olan çerezler alınıp, okunabilir ve değiştirilebilir. [1] XSS açıklarından yararlanan kötü niyetli kişiler de, JavaScript’in bu özelliğinden yararlanarak sayfayı gezen kullanıcının çerez bilgilerini alıp, kendilerininkiyle değiştirmeye çalışırlar.

___________

Internet Dünya’sının en çok kullanılan E-Posta Servisi Hotmail’de meydana gelen ciddi bir güvenlik açığı Hacker ( Bilgisayar Korsanları)‘nın eline düştü. Hacker’lar her geçen gün kurbanlarını ele geçirmek için yeni yöntemler keşfediyorlar. İşte bunlardan bir tanesi Dünya üzerinde her ülkeden her insanın kullandığı Hotmail ‘deki XSS Güvenlik Açığı.

Bu Güvenlik açığı nasıl çalışıyor; hakkında biraz bilgi vereyim ;

Öncelikle Hacker’lar Hotmail’in XSS Kodunu Bedava (Free) bir Hosting’e yerleştiyorlar burada sizin ilginizi çekecek bir site kuruyorlar. Örneğin Öğretmensiniz ve Milli Eğitim Bakanlığının Yeni Öğretmen Atamaları Hakkındaki Genelgesi Hakkında bir bilginiz. Hacker bunu biliyor ve sizin ilginizi çekecek olan bu siteyi kuruyor. Siteyi kurarken için Hotmail’in XSS Güvenlik Açığına neden olan Kod’u yerleştiriyor ve sitenin ismini size E-mail olarak yolluyor.E-mail kutunuza gelen site link’ine tıklarsanız, Bilgisayarınızdaki Cookie(Çerez)’ler hacker’ın sitenin içine yerleştirmiş olduğu Kod sayesinde hacker’a gidiyor. Hacker daha sonra bu Cookie’lerin içinden sizin Hotmail Hesabınıza ait olan Cookileri bulup birkaç kod ekleme işlemi ile değiştirip kaydediyor. Daha sonra kendi bilgisayarından şifresiz olarak sizin E-mail’lerinizi okuyabiliyor.
Peki sadece okumakla yetiniyor mu hacker’lar ?

Tabii ki hayır! İşte sadece bir hacker’ın düşünebileceği bir kurnazlık daha gösteriyorlar burada. Hotmail Giriş bölümüne geri geliyorlar ve “ Parolamı Unuttum “ seçeneğine tıklayarak sizin E-mail adresinizi giriyorlar, Şifrenizin E-Posta olarak sizin E-mail hesabına gelmesine neden oluyorlar. Daha sonra şifresiz olarak giriş yapabildikleri için giriyor ve hotmail’in göndermiş olduğu “Kayıp Parola“ İsteği mail’inin içindeki şifrenizi alıyorlar. Ve şifreyi, Gizli Sorunuzu ve ya diğer tüm bilgilerinizi tamamen ele geçirmiş oluyorlar.

Bu Güvenlik Açığından Hotmail’in Haberi Yok mu ?

Var ancak şu an için bir çözüm ya-da yama yayınlanmadı. Ülkemizde özellikle son 1 haftada bir çok kişinin E-Posta hesabı bu yöntem ile hack edildi.

Hesabınızla Neler Yapılabilir?
Ömcelikle size gelen mailler okunabilir. Tabi çoğu kişi gibi, hotmail türü emailleri sadece üye olduğunuz mail listelerinden gelen mailler için kullanıyor. Siz bu tür bir kullanım yapıyor ve bu nedenle de “önemli değil” diye düşünüyorsanız, yanılıyorsunuz. Çünkü Bilişim Polisinin ülkemizde çok yapıldığını bildirdiği ve uyardığı sibersuçlardan birisi “cep telefonu kontür” hırsızlığı.
Kontür hırsızlığı özellikle internet cafeleri kullanan askerlerin başına geliyordu ama bugünlerde bu açık nedeniyle herkesin başına gelebilir oldu. Hotmailinizi ele geçiren kiş, eğer bir adres defteriniz varsa, o defterdeki kişilere mail atarak, “kontür” ihtiyacınız olduğunu ve göndermesini rica ettiğinizi bildiriyor. Bu yollanan kontürleri de sonra satıyor. Bu yolla epeyce yolunu bulanlar olduğu yine Bilişim Polisi tarafından iletilen bir husus.

Hotmail XSS Güvenlik Açığından Korunmak İçin Neler Yapmalıyız ?