[Owasp-turkey] Arızayı Bul #5

Yilmaz Cankaya yilmaz.cankaya at uekae.tubitak.gov.tr
Thu Oct 22 04:02:46 EDT 2009


Haklısın Bedirhan.
Ornegi de bu yüzden gönderdim. Kod çok masum gözükmesine ragmen,
"Application Logic Flaw" kategorisinde olduğu için herhangi bir araç 
kullanılarak otomatize edilelerek tespit edilmesi güç.

Diger taraftan, manuel olarak  blackbox testi yapmak mümkün olabilir 
bazı durumlarda.  Özellikle kullanıcıya login olmadan önce gönderilen 
oturum anahtarları, login olduktan sonra da kullanılmaya devam ediyor ise.

Cevap bulunması gereken soru şu:
Kullanıcı adına GET istekleri göndermek mümkün olmakla beraber, POST 
talebi içeren bir CSRF yapılabilir mi? 

Saygılar


Bedirhan Urgun wrote:
> ? : operatorunu kullanarak tek satirda yazarsan abarti olmaz, yani 
> "yuh, tek satirda yazmis!" demezler ama iste bu kadarcik kod guvenlik 
> zafiyetine yol aciyor.
> Session Fixation <http://www.owasp.org/index.php/Session_Fixation> 
> diyorum. Tabi butun bu parcanin oturum yonetimi icin kullanildigini 
> dusunerek. :)
>  
> Genelde kullanilan container'lardan kaynaklaniyor bu zafiyet ama 
> gelistirerek de basarmak mumkun. :)) Yanliz ilginc olan sey, blackbox 
> (karakutu) testi ile sanki bir pincik daha kolay bulunup, kontrol 
> edilebilir gibi degil mi? Ayni sey CSRF icin de gecerli. 
>  
> bedirhan
> 21 Ekim 2009 01:11 tarihinde <yilmaz.cankaya at uekae.tubitak.gov.tr 
> <mailto:yilmaz.cankaya at uekae.tubitak.gov.tr>> yazdı:
>
>     Bedirhan başladı, güzel ve ögretici oldu.. Ben de faydalanmak
>     adına bir adet göndereyim..
>
>     Asıl kod javada idi. Genelleyip yazıyorum.
>     Not: getParameter('session_id') ile  GET yada POST ile gönderilen
>     session_id değeri okunuyor.
>
>     if (getParameter('session_id') is null)
>     then
>         sessionID= createSession();
>     else
>         sessionID= getParameter('session_id');
>     end;
>
>     Saygılar
>
>     _______________________________________________
>     Owasp-turkey mailing list
>     Owasp-turkey at lists.owasp.org <mailto:Owasp-turkey at lists.owasp.org>
>     https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>
>
>
> -- 
> Bedirhan Urgun
> http://www.webguvenligi.org
> http://www.owasp.org/index.php/Turkey
>
> Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
> https://lists.owasp.org/mailman/listinfo/owasp-turkey



More information about the Owasp-turkey mailing list