Video: What do Nintendo Switch and iOS 9.3 have in common? CVE-2016-4657 walk-through 2024
Etik korsanlığın bir parçası olarak, bir uygulamanın parolalar gibi hassas bilgileri hafızasında nasıl depoladığını görmek için bir hex editörü kullanmalıdır. Firefox ve Internet Explorer'ı kullanırken, bu programlardaki etkin belleği aramak ve sıklıkla kullanıcı kimliği ve şifre kombinasyonlarını bulmak için WinHex gibi bir hex editör kullanabilirsiniz.
Internet Explorer ile bu bilgiler birkaç başka web sitesine göz attığınızda veya uygulamadan çıkış yaptıktan sonra bile bellekte tutuluyor. Bu bellek kullanımı özelliği, başka bir kullanıcı bilgisayara erişirse veya sistem belleğinde hassas bilgiler arayan kötü amaçlı yazılım bulaşmışsa, yerel sistem üzerinde bir güvenlik riski oluşturur.
Tarayıcıların hassas bilgileri hafızasında saklama biçimi, bir uygulama hatası veya sistem bellek dökümü meydana gelirse ve kullanıcı, KG amaçları doğrultusunda bilgileri Microsoft'a (veya başka bir tarayıcı satıcısına) gönderirse, kötü bir haberdir. Bilgiler, yerel sabit diskte bulunan bir döküm dosyasına yazılmışsa ve birinin bulması için orada oturuyorsa da kötü bir haber.
Web uygulamalarınız veya kimlik doğrulama gerektiren bağımsız programlar ile ilgili hafızada saklanan hassas bilgileri arayın. Sadece sonuca şaşkın olabilirsiniz. Giriş kimlik bilgilerini karıştırmak veya şifrelemek dışında, ne yazık ki harika bir düzeltme yoktur çünkü bu "özellik", geliştiricilerin gerçekten kontrol edemediği web tarayıcısının bir parçasıdır.
Benzer bir güvenlik özelliği, HTTP POST istekleri yerine HTTP GET istekleri hassas bilgileri işlemek için kullanıldığında istemci tarafında ortaya çıkar. Aşağıda güvenlik açığından etkilenen bir GET isteğine bir örnek verilmiştir:
// www. your_web_app. com / erişimi. php? = Kbeaver & şifresini = WhAteVur kullanıcı adı! & login = SoOn
GET istekleri genellikle kullanıcının web tarayıcı geçmişi dosyasında, web sunucusu günlük dosyalarında ve proxy günlük dosyalarında saklanır. GET istekleri, kullanıcı bir üçüncü taraf siteye gözattığında HTTP Referer alanı yoluyla üçüncü taraf sitelerine iletilebilir. Yukarıdakilerin hepsi, giriş kimlik bilgileri ve yetkisiz web uygulaması erişimine neden olabilir.
Ders: HTTP GET isteklerini kullanmayın. Bir şey varsa, bu güvenlik açıklarının dizüstü bilgisayarlarınızdaki ve fiziksel olarak güvenli olmayan diğer bilgisayarların sabit disklerini şifrelemek için iyi bir neden olduğunu düşünün.
