[Owasp-turkey] Asp.NET Dosya Ekleme , Grafik Manipulasyonu

Mesut Timur mesut at h-labs.org
Fri Feb 22 14:14:44 EST 2008


Client-side payload'u ben o an maili yazarken uydurdum, simdi google'da arattim ve sadece 49 sonuc geldi:(  Tanimini Bedirhan Abi zaten yapmis.
Haricinde resmin icine client-side payload gommek dedigim hadise en basit haliyle grafik dosyasinin bir text editor ile acilip icine "client-side payload"unuzu koymaktir.


Mesut TİMUR 
http://www.h-labs.org 
H - Security Labs Güvenlik Editörü 
GYTE Bilgisayar Mühendisliği


From: urgunb at hotmail.com
To: keramet at gmail.com; owasp-turkey at lists.owasp.org
Date: Fri, 22 Feb 2008 14:01:42 -0500
Subject: Re: [Owasp-turkey] Asp.NET Dosya Ekleme , Grafik Manipulasyonu








 

merhaba,

aslinda client-side payload diye bisey duymadim ama malum web guvenliginde terimler havada ucusuyor (www.webguvenligi.org/sozluk), kesin birileri tarafindan kullaniliyordur ve fena bi terim de degil hani. :)


sanirim client-side payload, browser'da (hatta belki mesela pfd reader, flash, mp3 calar gibi istemci tarafli ortamlarda) calisitirilabilen html/javascript kodudur. Yani bilirsiniz ama ornek olarak, forum sayfasina saldirgan tarafindan upload edilen image'in icine yerlestirilen html/js kodu, bu imaji forumdan browser'ina indiren kurbanin browser'inda yorumlanmaya baslar (Bundan sonra neler yapilabilir, o derin bi konu).  


Peki gecerli bir image'in icine nasil enjekte edilir. MS tezini image processing uzerine yapan bi arkadasim (4-5 sene once), "resimin icine baska bilgileri gomdugunu" anlatmisi, o aklima geldi.

 

Client side payload icin bi teknik, "cat evil.js >> abc.jpg" seklinde olabilir. Yani gecerli bi imajin sonuna html/js kodunu ekliyorsunuz (gnucitizen'de yayinlanan jar: protokol probleminde boyle bisey kullanilmisti).

Tabi bu gecerli bir image durumu (yani hemen hemen gecerli). Gecerli olmasina da gerek yok aslinda. 

 

bedirhan 



Date: Fri, 22 Feb 2008 14:05:12 +0200
From: keramet at gmail.com
To: Owasp-turkey at lists.owasp.org
Subject: Re: [Owasp-turkey] Asp.NET Dosya Ekleme , Grafik Manipulasyonu


En iyi savunmada, saldırı tekniklerini ii bilmekten geçiyor die düşünüyorum :) ve bu konuda bilgim olmadığından ve öğrenmek adına soruyorum. 

client-side payload nedir?
resimlere nasıl yerleştirilir?


Helping your favorite cause is as easy as instant messaging. You IM, we give. Learn more.

_________________________________________________________________
Need to know the score, the latest news, or you need your Hotmail®-get your "fix".
http://www.msnmobilefix.com/Default.aspx
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20080222/0d3b8c08/attachment.html 


More information about the Owasp-turkey mailing list