[Owasp-turkey] Asp.NET Dosya Ekleme , Grafik Manipulasyonu
Mesut Timur
mesut at h-labs.org
Fri Feb 22 14:14:44 EST 2008
Client-side payload'u ben o an maili yazarken uydurdum, simdi google'da arattim ve sadece 49 sonuc geldi:( Tanimini Bedirhan Abi zaten yapmis.
Haricinde resmin icine client-side payload gommek dedigim hadise en basit haliyle grafik dosyasinin bir text editor ile acilip icine "client-side payload"unuzu koymaktir.
Mesut TİMUR
http://www.h-labs.org
H - Security Labs Güvenlik Editörü
GYTE Bilgisayar Mühendisliği
From: urgunb at hotmail.com
To: keramet at gmail.com; owasp-turkey at lists.owasp.org
Date: Fri, 22 Feb 2008 14:01:42 -0500
Subject: Re: [Owasp-turkey] Asp.NET Dosya Ekleme , Grafik Manipulasyonu
merhaba,
aslinda client-side payload diye bisey duymadim ama malum web guvenliginde terimler havada ucusuyor (www.webguvenligi.org/sozluk), kesin birileri tarafindan kullaniliyordur ve fena bi terim de degil hani. :)
sanirim client-side payload, browser'da (hatta belki mesela pfd reader, flash, mp3 calar gibi istemci tarafli ortamlarda) calisitirilabilen html/javascript kodudur. Yani bilirsiniz ama ornek olarak, forum sayfasina saldirgan tarafindan upload edilen image'in icine yerlestirilen html/js kodu, bu imaji forumdan browser'ina indiren kurbanin browser'inda yorumlanmaya baslar (Bundan sonra neler yapilabilir, o derin bi konu).
Peki gecerli bir image'in icine nasil enjekte edilir. MS tezini image processing uzerine yapan bi arkadasim (4-5 sene once), "resimin icine baska bilgileri gomdugunu" anlatmisi, o aklima geldi.
Client side payload icin bi teknik, "cat evil.js >> abc.jpg" seklinde olabilir. Yani gecerli bi imajin sonuna html/js kodunu ekliyorsunuz (gnucitizen'de yayinlanan jar: protokol probleminde boyle bisey kullanilmisti).
Tabi bu gecerli bir image durumu (yani hemen hemen gecerli). Gecerli olmasina da gerek yok aslinda.
bedirhan
Date: Fri, 22 Feb 2008 14:05:12 +0200
From: keramet at gmail.com
To: Owasp-turkey at lists.owasp.org
Subject: Re: [Owasp-turkey] Asp.NET Dosya Ekleme , Grafik Manipulasyonu
En iyi savunmada, saldırı tekniklerini ii bilmekten geçiyor die düşünüyorum :) ve bu konuda bilgim olmadığından ve öğrenmek adına soruyorum.
client-side payload nedir?
resimlere nasıl yerleştirilir?
Helping your favorite cause is as easy as instant messaging. You IM, we give. Learn more.
_________________________________________________________________
Need to know the score, the latest news, or you need your Hotmail®-get your "fix".
http://www.msnmobilefix.com/Default.aspx
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20080222/0d3b8c08/attachment.html
More information about the Owasp-turkey
mailing list