[Owasp-turkey] Asp.NET Dosya Ekleme , Grafik Manipulasyonu

Bedirhan Urgun urgunb at hotmail.com
Fri Feb 22 14:01:42 EST 2008


 
merhaba,
aslinda client-side payload diye bisey duymadim ama malum web guvenliginde terimler havada ucusuyor (www.webguvenligi.org/sozluk), kesin birileri tarafindan kullaniliyordur ve fena bi terim de degil hani. :)
sanirim client-side payload, browser'da (hatta belki mesela pfd reader, flash, mp3 calar gibi istemci tarafli ortamlarda) calisitirilabilen html/javascript kodudur. Yani bilirsiniz ama ornek olarak, forum sayfasina saldirgan tarafindan upload edilen image'in icine yerlestirilen html/js kodu, bu imaji forumdan browser'ina indiren kurbanin browser'inda yorumlanmaya baslar (Bundan sonra neler yapilabilir, o derin bi konu).  
Peki gecerli bir image'in icine nasil enjekte edilir. MS tezini image processing uzerine yapan bi arkadasim (4-5 sene once), "resimin icine baska bilgileri gomdugunu" anlatmisi, o aklima geldi.
 
Client side payload icin bi teknik, "cat evil.js >> abc.jpg" seklinde olabilir. Yani gecerli bi imajin sonuna html/js kodunu ekliyorsunuz (gnucitizen'de yayinlanan jar: protokol probleminde boyle bisey kullanilmisti).
Tabi bu gecerli bir image durumu (yani hemen hemen gecerli). Gecerli olmasina da gerek yok aslinda. 
 
bedirhan 


Date: Fri, 22 Feb 2008 14:05:12 +0200From: keramet at gmail.comTo: Owasp-turkey at lists.owasp.orgSubject: Re: [Owasp-turkey] Asp.NET Dosya Ekleme , Grafik ManipulasyonuEn iyi savunmada, saldırı tekniklerini ii bilmekten geçiyor die düşünüyorum :) ve bu konuda bilgim olmadığından ve öğrenmek adına soruyorum. client-side payload nedir?resimlere nasıl yerleştirilir?
_________________________________________________________________
Helping your favorite cause is as easy as instant messaging. You IM, we give.
http://im.live.com/Messenger/IM/Home/?source=text_hotmail_join
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20080222/bada7e62/attachment.html 


More information about the Owasp-turkey mailing list