[Owasp-turkey] ilginç bir xss vakası

Canberk BOLAT canberk.bolat at gmail.com
Fri Jul 15 05:01:01 EDT 2011


Zafiyet JQuery'nin append methodunun ilgili text'i HTML olarak encode
etmesinden mi kaynaklanıyor? Sadece tahmin :)

15 Temmuz 2011 11:59 tarihinde Deniz CEVIK <denizcev at gmail.com> yazdı:

> Bu durum XSS saldırıları için request yolla sonra response'u analiz et
> tarzında çalışan otomatik zafiyet tarayıcılarının yetersiz olduğunun
> göstergesi. Bu tip yazılımlar scriptden kaynaklanan problemleri
> bulabilmek için bir browser gibi isteğin neye yol açtığını simüle
> etmeleri gerekiyor. Yada manual kontrol. scriptler analizleri de bu
> bakımdan önem taşıyor.
>
> İyi Çalışmalar.
>
> 2011/7/15 Bedirhan Urgun <bedirhanurgun at gmail.com>:
> > dogru bir sekilde bulabilmesi icin runtime analiz yapmasi lazim. nolamaz,
> > false pozitif uretir o :)
> > hangi aracmis bu (ozelden atabilir misin)...
> >
> > 15 Temmuz 2011 11:34 tarihinde Deniz CEVIK <denizcev at gmail.com> yazdı:
> >>
> >> :) otomatik araçlar buluyor.
> >>
> >>
> >>
> http://www.webguvenligi.org/jquerytext/index.php?searchterm=%23%3Cimg+src%3D%2F+onerror%3Dalert%281%29%3E
> >>
> >> 2011/7/15 Bedirhan Urgun <bedirhanurgun at gmail.com>:
> >> > merhaba,
> >> > Asagidaki uygulamadaki XSS'i manuel olarak cok rahat bulabilirsiniz
> >> > (otomatik olarak zannetmiyorum), ama burda acikligin asil kaynagi
> nedir?
> >> > diye bisey sorsam...
> >> >
> >> > http://www.webguvenligi.org/jquerytext/index.php
> >> >
> >> > --
> >> > Bedirhan Urgun
> >> > http://www.webguvenligi.org
> >> > http://www.owasp.org/index.php/Turkey
> >> >
> >> > Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
> >> > https://lists.owasp.org/mailman/listinfo/owasp-turkey
> >> >
> >> > _______________________________________________
> >> > Owasp-turkey mailing list
> >> > Owasp-turkey at lists.owasp.org
> >> > https://lists.owasp.org/mailman/listinfo/owasp-turkey
> >> >
> >> >
> >> _______________________________________________
> >> Owasp-turkey mailing list
> >> Owasp-turkey at lists.owasp.org
> >> https://lists.owasp.org/mailman/listinfo/owasp-turkey
> >
> >
> >
> > --
> > Bedirhan Urgun
> > http://www.webguvenligi.org
> > http://www.owasp.org/index.php/Turkey
> >
> > Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
> > https://lists.owasp.org/mailman/listinfo/owasp-turkey
> >
> > _______________________________________________
> > Owasp-turkey mailing list
> > Owasp-turkey at lists.owasp.org
> > https://lists.owasp.org/mailman/listinfo/owasp-turkey
> >
> >
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>



-- 
Canberk Bolat
Security Researcher
http://twitter.com/cnbrkbolat
http://cbolat.blogspot.com
-------------- sonraki bölüm --------------
Bir HTML eklentisi temizlendi...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20110715/db3ff6d9/attachment.html 


More information about the Owasp-turkey mailing list