[Owasp-turkey] Arızayı Bul #5

Bedirhan Urgun bedirhanurgun at gmail.com
Thu Oct 22 12:26:31 EDT 2009


Musa'nin dedigi gibi, XSS varsa daha rahat. Bir cok cesidi olabilir tabi de
POST CSRF'e ornek temel bir html kodu su sekilde olabilir;


*<iframe name="hidden" style="width:0px;height:0px"></iframe>*
**
*<form method="post" name="myform" target="hidden" action="http://server/a.x
.">*
*   <input type="hidden" name="input1" value="abcde"/>*
*</form>
*
*<script>document.myform.submit()</script>*


Hatta buna bile gerek kalmadan bu isi GET istegi ile proxy olarak yapan
servisler var, kaldi ki siz de yazabilirsiniz. Yukarda iframe'in ismini form
element'inin icinde target olarak kullanmak isin gizli kalmasini sagliyor.

Otomatik loginleri mi dusunerek POST CSRF yapilabilir mi diye sordun Yilmaz?
22 Ekim 2009 11:05 tarihinde Musa Ulker <musaulker at gmail.com> yazdı:

> Merhabalar,
>
> Tam emin olmamakla birlikte, POST CSRF i Ajax ile yapılabilir diye
> düşünüyorum. Yani öncesinde XSS yedirirseniz post CSRF de yedirirsiniz
> :)
>
> Başka çözümlerde olabilir
>
> Kolay gelsin
>
> 2009/10/22 Yilmaz Cankaya <yilmaz.cankaya at uekae.tubitak.gov.tr>:
>  > Haklısın Bedirhan.
> > Ornegi de bu yüzden gönderdim. Kod çok masum gözükmesine ragmen,
> > "Application Logic Flaw" kategorisinde olduğu için herhangi bir araç
> > kullanılarak otomatize edilelerek tespit edilmesi güç.
> >
> > Diger taraftan, manuel olarak  blackbox testi yapmak mümkün olabilir
> > bazı durumlarda.  Özellikle kullanıcıya login olmadan önce gönderilen
> > oturum anahtarları, login olduktan sonra da kullanılmaya devam ediyor
> ise.
> >
> > Cevap bulunması gereken soru şu:
> > Kullanıcı adına GET istekleri göndermek mümkün olmakla beraber, POST
> > talebi içeren bir CSRF yapılabilir mi?
> >
> > Saygılar
> >
> >
> > Bedirhan Urgun wrote:
> >> ? : operatorunu kullanarak tek satirda yazarsan abarti olmaz, yani
> >> "yuh, tek satirda yazmis!" demezler ama iste bu kadarcik kod guvenlik
> >> zafiyetine yol aciyor.
> >> Session Fixation <http://www.owasp.org/index.php/Session_Fixation>
> >> diyorum. Tabi butun bu parcanin oturum yonetimi icin kullanildigini
> >> dusunerek. :)
> >>
> >> Genelde kullanilan container'lardan kaynaklaniyor bu zafiyet ama
> >> gelistirerek de basarmak mumkun. :)) Yanliz ilginc olan sey, blackbox
> >> (karakutu) testi ile sanki bir pincik daha kolay bulunup, kontrol
> >> edilebilir gibi degil mi? Ayni sey CSRF icin de gecerli.
> >>
> >> bedirhan
> >> 21 Ekim 2009 01:11 tarihinde <yilmaz.cankaya at uekae.tubitak.gov.tr
> >> <mailto:yilmaz.cankaya at uekae.tubitak.gov.tr>> yazdı:
> >>
> >>     Bedirhan başladı, güzel ve ögretici oldu.. Ben de faydalanmak
> >>     adına bir adet göndereyim..
> >>
> >>     Asıl kod javada idi. Genelleyip yazıyorum.
> >>     Not: getParameter('session_id') ile  GET yada POST ile gönderilen
> >>     session_id deÄŸeri okunuyor.
> >>
> >>     if (getParameter('session_id') is null)
> >>     then
> >>         sessionID= createSession();
> >>     else
> >>         sessionID= getParameter('session_id');
> >>     end;
> >>
> >>     Saygılar
> >>
> >>     _______________________________________________
> >>     Owasp-turkey mailing list
> >>     Owasp-turkey at lists.owasp.org <mailto:Owasp-turkey at lists.owasp.org>
> >>     https://lists.owasp.org/mailman/listinfo/owasp-turkey
> >>
> >>
> >>
> >>
> >> --
> >> Bedirhan Urgun
> >> http://www.webguvenligi.org
> >> http://www.owasp.org/index.php/Turkey
> >>
> >> Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
> >> https://lists.owasp.org/mailman/listinfo/owasp-turkey
> >
> > _______________________________________________
> > Owasp-turkey mailing list
> > Owasp-turkey at lists.owasp.org
> > https://lists.owasp.org/mailman/listinfo/owasp-turkey
> >
>
>
>
> --
> M.Musa Ãœlker
>  _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>



-- 
Bedirhan Urgun
http://www.webguvenligi.org
http://www.owasp.org/index.php/Turkey

Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
https://lists.owasp.org/mailman/listinfo/owasp-turkey
-------------- sonraki bölüm --------------
Bir HTML eklentisi temizlendi...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20091022/57468fd3/attachment.html 


More information about the Owasp-turkey mailing list