İsmet’in Güncesi

“Bilişim Sektöründe Kariyer” üzerine yoğunlaşmış olan cvZip sitesinden bugün aldığım, SmartMessage altyapısı kullanılarak atılmış bir reklam emaili (kısaca SPAM) sonucunda merak edip siteye üye oldum. İlgimi çeken birşeyler var mı diye bakarken arama kutusuna “><script>alert(document.cookie);</script> yazdım ve XSS açığı olduğunu farkettim. Durumu email ile ilgililere ilettim.

Yukarıdaki ekran görüntüsü alabilmek için form method değerini Firebug ile [...]

McAfee’nin yeni ürünü SiteAdvisor, internetteki siteleri güvenlik testlerine tabi tutarak, manuel analizler yaparak ve kullanıcılardan gelen yorumlar sayesinde kullandığımız tarayıcı aracılığyla bizi casus yazılım, spam, virus ve aldatmacalara (phishing) karşı uyaran üzcretsiz bir uygulama.

Firefox ve Internet Explorer’a eklenti şekline yüklenebiliyor. Bana ilginç gelen bir nokta ise bilgisayarımda yüklü olan AVG-AntiVirus’un de benzer bir özelliğinin olduğu [...]

Bugün Arslan’nın farkettiği ve bana ilettiği bir açığı sizinle paylaşmak istiyorum. Sadece Firefox’ta çalışan bu açık sayesinde adres satırına http://www.finansbank.com.tr den sonra bir “.” (nokta) koyduğumuz zaman JSP kaynak kodu görülebiliyor (Ör; http://www.finansbank.com.tr./SearchResults.jsp). Bu açık sayesinde bu alan adındaki tüm jsp ve include dosyalarının kaynak kodunu görmek mümkün. Ancak aynı açık https‘den çalışan, bireysel bankacılık [...]

Bugün Türkiye’nin popüler alışveriş sitesi Teketek.com‘da ürünlere gözatarken, XSS‘i (Cross-Site Scripting) test amacıyla arama kutusuna JavaScript kodu yazdım ve çalıştı
İşini ciddiye alan bir alışveriş sitesinden böyle ciddi bir açık beklemediğim için önce şaşırdım, daha sonra bu konuyu yetkililere email ile ilettim. XSS için filtreleme sağlayan PHP Input Filter Class‘ını önerdim. (Bu arada ASP.NET (2.0, [...]