Merhabalar, genel teknoloji konusunda paylaştığım yazı serisinin ikinci yazısıyla karşınızdayım.
Paypal? 2FA? Zafiyet?
Evet. Paypal, 2FA ve zafiyet. Üçü bir arada. Bildiğimiz üzere Paypal ülkemizde 2016 yılından beri erişebilir durumda değil. Bu zafiyet bulunamayacağı anlamına gelmiyor, ya da umarım öyledir. İlk olarak 2FA'nın ne olduğunu söyleyeyim. 2FA, iki aşamalı doğrulama anlamına gelmektedir. İlk olarak bir gece saati, elinizde telefonunuz Paypal uygulamasında geziniyorsunuz. Sonra arkanızdan "Oğlum, benim bi Paypal hesabı vardı ama bu güvenlik sorularını hatırlayamıyorum ya" diyen bir aile büyüğünüz geliyor. <- Sanki çok büyük olasılık ama neyse çok takılmayın :) Tabii eğer bilgisayar başında uzun zaman geçiriyorsanız bir süre sonra aileniz tarafından "Master Degree Hacker" damgası vurulduğu için, telefon ilk sizin elinize gelecektir. Öyle baktınız, sonra bir şeyler sallamaya karar verdiniz. Bu 2FA sayfasında binlerce parametre ve bir HTTP isteği duruyor ve siz her yanlış cevap girdiğinizde, yönelttiğiniz parametreyi işleyip havuzdan siliyor. Ancak eğer HTTP request tarafından
post datasını silerseniz, yönelttiğiniz tüm parametreleri doğru bir cevap olarak algılıyor ve tüm isteği o yönde değiştiriyor. Bence çok hafife alınacak bir şey değil, ne de olsa herkes bu metodu güvenlik sorularının cevaplarını unutan aile büyüğü için kullanmayacak :)
Paypal? 2FA? Zafiyet?
Evet. Paypal, 2FA ve zafiyet. Üçü bir arada. Bildiğimiz üzere Paypal ülkemizde 2016 yılından beri erişebilir durumda değil. Bu zafiyet bulunamayacağı anlamına gelmiyor, ya da umarım öyledir. İlk olarak 2FA'nın ne olduğunu söyleyeyim. 2FA, iki aşamalı doğrulama anlamına gelmektedir. İlk olarak bir gece saati, elinizde telefonunuz Paypal uygulamasında geziniyorsunuz. Sonra arkanızdan "Oğlum, benim bi Paypal hesabı vardı ama bu güvenlik sorularını hatırlayamıyorum ya" diyen bir aile büyüğünüz geliyor. <- Sanki çok büyük olasılık ama neyse çok takılmayın :) Tabii eğer bilgisayar başında uzun zaman geçiriyorsanız bir süre sonra aileniz tarafından "Master Degree Hacker" damgası vurulduğu için, telefon ilk sizin elinize gelecektir. Öyle baktınız, sonra bir şeyler sallamaya karar verdiniz. Bu 2FA sayfasında binlerce parametre ve bir HTTP isteği duruyor ve siz her yanlış cevap girdiğinizde, yönelttiğiniz parametreyi işleyip havuzdan siliyor. Ancak eğer HTTP request tarafından
Kod:
selectOption=SECURITY_QUESTION&securityQuestion0=test&securityQuestion1=test&jsEnabled=l&execution=e2s1&_sms_ivr_continue_btn_label=Continue&_default_continue_btn_lbl=Continue&_eventID_continue=Continue
