İsmet'in Güncesi » Güvenlik

cvZip’de XSS açığı

ismet öztürk — Sat, 30 Aug 2008 20:25:12 +0000

“Bilişim Sektöründe Kariyer” üzerine yoğunlaşmış olan cvZip sitesinden bugün aldığım, SmartMessage altyapısı kullanılarak atılmış bir reklam emaili (kısaca SPAM) sonucunda merak edip siteye üye oldum. İlgimi çeken birşeyler var mı diye bakarken arama kutusuna “> yazdım ve XSS açığı olduğunu farkettim. Durumu email ile ilgililere ilettim.

Yukarıdaki ekran görüntüsü alabilmek için form method değerini Firebug ile GET yaptım. Konuyla ilgili geridönüş olursa durumu bu yazıyı güncelleyerek size ileteceğim.

Güncelleme: Aşağıdaki yorumda Bahadır Bey’in belirttiğine göre açık kapatılmış

McAfee’den site tavsiye aracı

ismet öztürk — Thu, 31 Jul 2008 20:12:07 +0000

McAfee’nin yeni ürünü SiteAdvisor, internetteki siteleri güvenlik testlerine tabi tutarak, manuel analizler yaparak ve kullanıcılardan gelen yorumlar sayesinde kullandığımız tarayıcı aracılığyla bizi casus yazılım, spam, virus ve aldatmacalara (phishing) karşı uyaran üzcretsiz bir uygulama.

Firefox ve Internet Explorer’a eklenti şekline yüklenebiliyor. Bana ilginç gelen bir nokta ise bilgisayarımda yüklü olan AVG-AntiVirus’un de benzer bir özelliğinin olduğu ve arama sonuçlarında AVG’nin güvenli olarak gördüğü siteler’in bazılarının SiteAdvisor tarafından güvensiz olarak işaretlenmesi

Finansbank güvenlik açığı

ismet öztürk — Tue, 24 Jun 2008 11:53:35 +0000

Bugün Arslan’nın farkettiği ve bana ilettiği bir açığı sizinle paylaşmak istiyorum. Sadece Firefox’ta çalışan bu açık sayesinde adres satırına http://www.finansbank.com.tr den sonra bir “.” (nokta) koyduğumuz zaman JSP kaynak kodu görülebiliyor (Ör; http://www.finansbank.com.tr./SearchResults.jsp). Bu açık sayesinde bu alan adındaki tüm jsp ve include dosyalarının kaynak kodunu görmek mümkün. Ancak aynı açık https‘den çalışan, bireysel bankacılık giriş adresi olan https://intbank.finansbank.com.tr alt alanadı için geçerli değil. Çok ciddi bir açık, konuyu ilgililere bir an önce ileteceğiz.

Güncelleme: Finansbank yetkilisi Gülay Şahin beni aradı ve durumu kendisine anlattım ve yazılım ekibine iletmesi için örnekler içeren bir email attım. Kısa süre sonra baktığımda artık kaynak kodu yerine “Not Found” sayfasını gördüm. Sorun düzeldikten sonra da bir teşekkür telefonu aldım.

Teketek.com ve XSS açığı

ismet öztürk — Mon, 17 Mar 2008 16:09:39 +0000

Bugün Türkiye’nin popüler alışveriş sitesi Teketek.com‘da ürünlere gözatarken, XSS‘i (Cross-Site Scripting) test amacıyla arama kutusuna JavaScript kodu yazdım ve çalıştı
İşini ciddiye alan bir alışveriş sitesinden böyle ciddi bir açık beklemediğim için önce şaşırdım, daha sonra bu konuyu yetkililere email ile ilettim. XSS için filtreleme sağlayan PHP Input Filter Class‘ını önerdim. (Bu arada ASP.NET (2.0, 1.1) kullanan web siteleri ise XSS’e karşı Anti-XSS Library 1.5‘i indirip kullanabilirler).

Umarım bu açık ciddi suistimallere neden olmadan çabucak kapatılır.

Güncelleme (18.03.2008): Bugün Teketek Mağaza Müdürü Ferhat Sarıhan’dan aldığım email’e göre açık kapatılmış. Mutlu son .