Alışveriş sitelerindeki güvenlik açıkları

Alışveriş sitelerindeki güvenlik açıkları

■ internetten sipariş verdiğiniz ürün, yaptığınız ödemenin üzerinden oldukça uzun bir zaman geçmiş olmasına rağmen elinize ulaşmamış olabilir. Bu durumda kızgınlığınızı satıcıya yöneltmeden önce bir hacker saldırısının kurbanı olabileceğiniz ihtimalini de dikkate alın.

Bu tür saldırılarda genellikle şu yol izleniyor: Siz ürünün siparişini verirken ya da planladığınız seyahat için rezervasyon yaptırırken, saldırgan alışveriş formunun içeriğini mani-püle ederek alışveriş sitesinin sunucusuna kendisini siz olarak tanıtıyor. Saldırgan, bu senaryoyu hayata geçirdiğinde sizin hesabınızla dilediğince alışveriş yapabiliyor ve örneğin, kendisine pahalı bir Karayip tatili satın alabiliyor.

Mayflower firmasının yöneticilerinden Tobias Kaufmann çok sayıda web sitesinin bu senaryoya karşı korunmasız olduğunu iddia ediyor. Firma bu iddiadan yola çıkarak programcılar için Chorizo adlı bir araç geliştirmiş durumda. Bu araç
web sitelerinin zayıf noktalarını bulmaya yardım ediyor ve çoğunlukla amacına ulaşıyor. Kaufmann'a göre sorun programcılıktaki başarısızlık değil, hacker'ların yaratıcılığı. İnternet tarayıcılardaki ve web sitelerindeki açıklardan yararlanmak için kullanılan yöntemlere bir yenisi eklenmiş durumda: Cross Site Request Forgery (CSRF). Bu yöntem Cross Site Scripting'le (XSS) benzer şekilde çalışıyor. Hatırlanacağı üzere XSS'de manipüle edilmiş bir URL île internet tarayıcı
Sitenizın, bir hack kurbanı olup olmayacağını test etmelisiniz.
üzerinden bir kod çalıştırıyor ve parolaları elde edebiliyordu. Cross Site Request Forgery bu yöntemden bir adım ileride: Hacker, saldırı sırasında örneğin sipariş sistemindeki, verileri değiştirebiliyor. Sonuçta uygulama saldırganın isteklerinden sizi sorumlu tutuyor.

Web 2.0: Yeni nesil internetin riskleri

Web 2.0 Ajax uygulamaları, beraberinde CSRF'in risk potansiyeli de artıyor. Normalde sunucu üzerinden çalıştırılan skript'ler sıklıkla internet tarayıcı üzerinden çalıştırılıyor. Sorun, sunucunun tarayıcı tarafından gönderilen formun manipüle edilmemiş ve orijinal olduğunu açığa çıkaramaması. Kullanıcı olarak size düşen, ilgili güncellemeleri yaparak güvenlik düzeyini arttırmak ve Kaufmann'ın dediği gibi dikkati elden bırakmadan yalnızca güvenilir sitelerde sörf yapmaktan ibaret.