[Owasp-turkey] Asp.NET Dosya Ekleme , Grafik Manipulasyonu

Mesut Timur mesut at h-labs.org
Thu Feb 21 17:18:39 EST 2008



Aklima geldi lakin bu cozumden tam emin degilim. Zira ornegin GIF
icin GIF89a ekleyip bu atraksiyonu gecebiliyorduk diye hatirliyorum,
haricinde tum grafik turleri headerlarini kontrol edip tum browserlarda
ayni korumanin gecerli oldugunu test etmemiz gerekir bu cozume inanmak
icin. Gerci baska turlu nasil kontrol yapilacak fikrim yok ve hakli
olabilirsiniz aslinda ama belki daha iyi bir cozum olabilir.

Mesut TİMUR 
http://www.h-labs.org 
H - Security Labs Güvenlik Editörü 
GYTE Bilgisayar Mühendisliği


From: vuzun at csusb.edu
To: mesut at h-labs.org
CC: owasp-turkey at lists.owasp.org
Date: Thu, 21 Feb 2008 13:51:17 -0800
Subject: Re: [Owasp-turkey] Asp.NET Dosya Ekleme , Grafik Manipulasyonu


acaba dosyayip acip headeri okumaya calismak cozum olabilir mi

----- Original Message ----- 
From: Mesut Timur <mesut at h-labs.org> 
Date: Thursday, February 21, 2008 1:41 pm 
Subject: [Owasp-turkey] Asp.NET Dosya Ekleme , Grafik Manipulasyonu 
To: owasp-turkey at lists.owasp.org 

> 
> Merhaba; 
> 
> 
> 
> Test ettigim bir web uygulamasinda bir fotograf albumu 
> olusturulabiliyor, ve file upload isini dogru duzgun sekilde 
> yapamamislar.Anladigim kadariyla upload edilen dosyanin sadece 
> uzantisidenetleniyor, sizin de tahmin edeceginiz uzere grafik 
> dosyasinin icine 
> client-side payload'unuzu yerlestirerek guzelce (en azindan IE 
> uzerinde) XSS yapabiliyorsunuz. 
> 
> 
> 
> Simdi sorum su :  Verilen grafik dosyasinin gercekten grafik olup 
> olmadigini denetlemek icin, Asp.NET'te kullandiginiz bir library 
> ya da 

> cozum var mi? 
> 
> 
> 
> Sevgiler, saygilar , iyi calismalar! 
> 
> 
> Mesut TİMUR 
> http://www.h-labs.org 
> H - Security Labs Güvenlik Editörü 
> GYTE Bilgisayar Mühendisliği 
> _________________________________________________________________ 
> Helping your favorite cause is as easy as instant messaging. You 
> IM, we give. 
> http://im.live.com/Messenger/IM/Home/?source=text_hotmail_join 
> 

_________________________________________________________________
Need to know the score, the latest news, or you need your Hotmail®-get your "fix".
http://www.msnmobilefix.com/Default.aspx
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20080221/647410a3/attachment.html 


More information about the Owasp-turkey mailing list