BYPASSING HSTS: Kritik Platformlarda Hesap Güvenliği Riskleri

tarih:

 

BYPASSING HSTS:

Önceki makalemizde SSL Stripping yaparak şifreli trafiği şifresize dönüştürüp MITM olarak paketleri ele geçirmiştik. Ama bir istisna vardı hatırlarsanız HSTS (HTTP Strict Transport Security) içeren sitelerde bağlantımız https olarak açılmıştı. Şimdi ise HSTS kullanan web tarayıcılarında paketleri ele geçirmeyi deneyeceğiz.




 

Herşeyden önce biraz HSTS (HTTP Strict Transport Security) bahsedelim.

HSTS (HTTP Strict Transport Security), web güvenliği için kullanılan bir protokoldür. Bir web sitesinin sadece güvenli HTTPS bağlantıları üzerinden erişilmesini zorunlu kılar. HSTS, tarayıcılara ve istemcilere, belirli bir süre boyunca o siteye yapılan tüm bağlantıların yalnızca HTTPS üzerinden yapılması gerektiğini bildirir.

HSTS'nin temel özellikleri:

  1. Zorunlu HTTPS Kullanımı: HSTS etkinleştirildiğinde, tarayıcı bir siteyi HTTPS üzerinden zorunlu olarak ziyaret eder. HTTP üzerinden yapılacak bağlantı talepleri otomatik olarak HTTPS'ye yönlendirilir.
  2. Tarayıcıya Bilgi Gönderme: Web sunucusu, bir HTTP başlığı olan Strict-Transport-Security başlığını gönderir. Bu başlık, tarayıcıya sitenin güvenli HTTPS bağlantısı kullanması gerektiğini bildirir.
  3. Zamanlayıcı: HSTS, belirli bir süre boyunca (genellikle saniye cinsinden belirtilir) aktif olur. Bu süre zarfında tarayıcı, her erişimde HTTPS kullanmayı zorunlu kılar.





Burada bizler güncel bir Windows 10 işletim sistemi ve Google Chrome tarayıcısında Bypass ederek erişim sağlamış olduğumuz google üzerinden HSTS ‘ yide bypass ederek hedef kullanıcımızın kullanıcı bilgilerini çalmayı hedefleyeceğiz.






İlk önce hedeflemiş olduğumuz HSTS kullanan web sitelerini hstshijack.cap dosyamızda belirtiyoruz.(x,facebook,apple,github vb.)

hstshijack.cap adlı dosyaya ulaşmak isterseniz linkedin üzerinden yazabilirsiniz.

Kurbanın bağlandığı sitede anlaşılmaması için uzantılarımızı .com yerine .corn olarak ayarladık. Sizler bile farkı dikkatli bakınca anlayabileceksiniz 😊

                 

 

 

 

 

 

Önceki makalede değinmiş olduğum gibi bettercap iface -eth0 -caplet /root/spoof.cap komutu ile dosyamı çalıştırıyorum.

 



Çalıştırılan cap dosyası;


Sniff etmeye başladıktan sonra caplets.show komutumuz ile capletlerimiz ve path’lerini görüyoruz. Burada tekrar kullanacağımız için komut satırına hstshijack/hstshijack yazmamız yeterli olucaktır.



 

Başarıyla HSTS caplet dosyamızın çalıştırıldığını görüyoruz.

 

 


 

Şimdi ise diğer https sitelerinden farklı olarak burada kullanıcının google.ie , google.co.uk vb. url üzerinden arama motoruna geçmesini sağlıyoruz. Buna benzer ülke alan adları HSTS kullanmadığı için basit bir şekilde https bağlantısını bypass edebiliyoruz. *.google.com alan adları HSTS konusunda çok titizdir ve hemen hemen çoğu alt alan adında güvenlik için bunu kullanır. Ülke alan adlarında bu farklılık göstermektedir. Kullanıcı tarafına bu bölgesel alan adı üzerinden arama yapmasını sağlamak artık size kaldı 😊

 


Burada hedef kullanıcın tarayıcı çalıştırdığında varsayılan olarak çıkan sayfasını ayarlayabilirseniz devamlı olarak yönlendirme yaptığınız bölgesel url’lerden (google.ie vb.) sitelerden arama işlemini gerçekleştirecektir. Buda bypass ettiğimiz bölge alan adlarından bizim istediğimiz HSTS içerikli sitelerden şifreli trafik olmayacağından paketleri yakalamamıza olanak sağlayacaktır. Buradaki yöntemler tamamen size kalmış olup, farklı sosyal mühendislik senaryoları vb. yöntemlerle yapılabilir.


 

Evet şimdi HSTS kullanımı olan en popüler sitelerden birini deneyerek başlayalım.

Senaryomuzda hedef kullanıcının arama motorunda facebook yazıp arattığını görüyoruz. İmleci ilgili web sitesinin üzerine getirdiğinde bir farklılık gözüküyor peki ama NE?


                                         

 

Aşağıda yönlendirilen sitenin kali makinemizden yönlendirme yaptığımız facebook.corn adlı uzantımızın olduğunu görüyoruz.




                                   





Önceki makalemizde facebook’a http üzerinden bağlanamamıştık. Şimdi ise http üzerinden bağlanan kullanıcı sahte alan adını farketmediğini varsayarak kullanıcı adı ve şifresini giriyor;

 Bakalım yakalabilecek miyiz?



Evet, burada HSTS kullanan bazı web sitelerinden birini Bypassing HSTS yöntemi ile şifresiz trafik hattı oluşturarak hedef kullanıcımızın kullanıcı adı ve şifresini ele geçirdik. Aşağıda bazı HSTS kullanan web siteleriyle ilgili yaptığım testleri ekran görüntüleri ile paylaşacağım 😊

 


 























***Bu makalede açıklanan saldırı teknikleri, yalnızca siber güvenlik uzmanlarının ve etik hacker'ların yetkili oldukları sistemlerde güvenlik testleri yapmaları amacıyla sunulmuştur. Bu tekniklerin yetkisiz kullanımı, ciddi yasal sonuçlar doğurabilir. Herhangi bir sisteme yetkisiz erişim sağlamak, ilgili yasa ve yönetmeliklere aykırıdır. Bu nedenle, bu bilgileri kullanmadan önce gerekli yasal izinleri aldığınızdan emin olun. Yazar, bu bilgilerin yasa dışı veya etik olmayan amaçlarla kullanılmasından dolayı sorumluluk kabul etmemektedir.






 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

***Bu makalede açıklanan saldırı teknikleri, yalnızca siber güvenlik uzmanlarının ve etik hacker'ların yetkili oldukları sistemlerde güvenlik testleri yapmaları amacıyla sunulmuştur. Bu tekniklerin yetkisiz kullanımı, ciddi yasal sonuçlar doğurabilir. Herhangi bir sisteme yetkisiz erişim sağlamak, ilgili yasa ve yönetmeliklere aykırıdır. Bu nedenle, bu bilgileri kullanmadan önce gerekli yasal izinleri aldığınızdan emin olun. Yazar, bu bilgilerin yasa dışı veya etik olmayan amaçlarla kullanılmasından dolayı sorumluluk