[Owasp-turkey] Arızayı Bul #5

Musa Ulker musaulker at gmail.com
Thu Oct 22 04:05:36 EDT 2009


Merhabalar,

Tam emin olmamakla birlikte, POST CSRF i Ajax ile yapılabilir diye
düşünüyorum. Yani öncesinde XSS yedirirseniz post CSRF de yedirirsiniz
:)

Başka çözümlerde olabilir

Kolay gelsin

2009/10/22 Yilmaz Cankaya <yilmaz.cankaya at uekae.tubitak.gov.tr>:
> Haklısın Bedirhan.
> Ornegi de bu yüzden gönderdim. Kod çok masum gözükmesine ragmen,
> "Application Logic Flaw" kategorisinde olduğu için herhangi bir araç
> kullanılarak otomatize edilelerek tespit edilmesi güç.
>
> Diger taraftan, manuel olarak  blackbox testi yapmak mümkün olabilir
> bazı durumlarda.  Özellikle kullanıcıya login olmadan önce gönderilen
> oturum anahtarları, login olduktan sonra da kullanılmaya devam ediyor ise.
>
> Cevap bulunması gereken soru şu:
> Kullanıcı adına GET istekleri göndermek mümkün olmakla beraber, POST
> talebi içeren bir CSRF yapılabilir mi?
>
> Saygılar
>
>
> Bedirhan Urgun wrote:
>> ? : operatorunu kullanarak tek satirda yazarsan abarti olmaz, yani
>> "yuh, tek satirda yazmis!" demezler ama iste bu kadarcik kod guvenlik
>> zafiyetine yol aciyor.
>> Session Fixation <http://www.owasp.org/index.php/Session_Fixation>
>> diyorum. Tabi butun bu parcanin oturum yonetimi icin kullanildigini
>> dusunerek. :)
>>
>> Genelde kullanilan container'lardan kaynaklaniyor bu zafiyet ama
>> gelistirerek de basarmak mumkun. :)) Yanliz ilginc olan sey, blackbox
>> (karakutu) testi ile sanki bir pincik daha kolay bulunup, kontrol
>> edilebilir gibi degil mi? Ayni sey CSRF icin de gecerli.
>>
>> bedirhan
>> 21 Ekim 2009 01:11 tarihinde <yilmaz.cankaya at uekae.tubitak.gov.tr
>> <mailto:yilmaz.cankaya at uekae.tubitak.gov.tr>> yazdı:
>>
>>     Bedirhan başladı, güzel ve ögretici oldu.. Ben de faydalanmak
>>     adına bir adet göndereyim..
>>
>>     Asıl kod javada idi. Genelleyip yazıyorum.
>>     Not: getParameter('session_id') ile  GET yada POST ile gönderilen
>>     session_id değeri okunuyor.
>>
>>     if (getParameter('session_id') is null)
>>     then
>>         sessionID= createSession();
>>     else
>>         sessionID= getParameter('session_id');
>>     end;
>>
>>     Saygılar
>>
>>     _______________________________________________
>>     Owasp-turkey mailing list
>>     Owasp-turkey at lists.owasp.org <mailto:Owasp-turkey at lists.owasp.org>
>>     https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>
>>
>>
>>
>> --
>> Bedirhan Urgun
>> http://www.webguvenligi.org
>> http://www.owasp.org/index.php/Turkey
>>
>> Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>



-- 
M.Musa Ülker


More information about the Owasp-turkey mailing list