[Owasp-turkey] Arızayı Bul #5

Bedirhan Urgun bedirhanurgun at gmail.com
Thu Oct 22 01:09:54 EDT 2009


? : operatorunu kullanarak tek satirda yazarsan abarti olmaz, yani "yuh, tek
satirda yazmis!" demezler ama iste bu kadarcik kod guvenlik zafiyetine yol
aciyor.
Session Fixation <http://www.owasp.org/index.php/Session_Fixation> diyorum.
Tabi butun bu parcanin oturum yonetimi icin kullanildigini dusunerek. :)

Genelde kullanilan container'lardan kaynaklaniyor bu zafiyet ama
gelistirerek de basarmak mumkun. :)) Yanliz ilginc olan sey, blackbox
(karakutu) testi ile sanki bir pincik daha kolay bulunup, kontrol edilebilir
gibi degil mi? Ayni sey CSRF icin de gecerli.

bedirhan
21 Ekim 2009 01:11 tarihinde <yilmaz.cankaya at uekae.tubitak.gov.tr> yazdı:

> Bedirhan başladı, güzel ve ögretici oldu.. Ben de faydalanmak adına bir
> adet göndereyim..
>
> Asıl kod javada idi. Genelleyip yazıyorum.
> Not: getParameter('session_id') ile  GET yada POST ile gönderilen
> session_id deÄŸeri okunuyor.
>
> if (getParameter('session_id') is null)
> then
>     sessionID= createSession();
> else
>     sessionID= getParameter('session_id');
> end;
>
> Saygılar
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>


-- 
Bedirhan Urgun
http://www.webguvenligi.org
http://www.owasp.org/index.php/Turkey

Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
https://lists.owasp.org/mailman/listinfo/owasp-turkey
-------------- sonraki bölüm --------------
Bir HTML eklentisi temizlendi...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20091022/4dc7d83e/attachment.html 


More information about the Owasp-turkey mailing list