[Owasp-turkey] Drupageddon ( CVE-2014-3704 ) ve Key/Value Pair Payloadları

Mehmet Dursun Ince mehmet at mehmetince.net
Fri Oct 17 20:02:20 UTC 2014


Merhaba

Drupal 7.x versiyonunda çıkan Sql Injection zafiyetine baktığımızda
payload'ın array'in indisine yerleştirildiğini görmekteyiz.

Tartışmaya açmak istediğim konu şudur ki; otomatize araçlara bu tür
testlerin implemente edilmesi gerekir mi ? Benim kişisel görüşüme göre
Drupal case'i oldukça nadir olan durumlardan bir tanesi. Herhangi bir
penetration testte karşılaşılmasının güç olacağını düşünüyorum.

Örneğin sqlmap'te injection point olarak işaretlenmediği sürece bu test
gerçekleştirilmiyor. Spesifik olarak sizin * (yıldız) ile belirtmeniz
gerekmekte.

Teşekkürler.

-- 
Sr. Information Security Engineer
-------------- sonraki b�l�m --------------
Bir HTML eklentisi temizlendi...
URL: <http://lists.owasp.org/pipermail/owasp-turkey/attachments/20141017/ac660138/attachment.html>


More information about the Owasp-turkey mailing list