Bir başka WordPress blogu.
Bugün Türkiye’nin popüler alışveriş sitesi Teketek.com‘da ürünlere gözatarken, XSS‘i (Cross-Site Scripting) test amacıyla arama kutusuna JavaScript kodu yazdım ve çalıştı 
İşini ciddiye alan bir alışveriş sitesinden böyle ciddi bir açık beklemediğim için önce şaşırdım, daha sonra bu konuyu yetkililere email ile ilettim. XSS için filtreleme sağlayan PHP Input Filter Class‘ını önerdim. (Bu arada ASP.NET (2.0, 1.1) kullanan web siteleri ise XSS’e karşı Anti-XSS Library 1.5‘i indirip kullanabilirler).
Umarım bu açık ciddi suistimallere neden olmadan çabucak kapatılır.
Güncelleme (18.03.2008): Bugün Teketek Mağaza Müdürü Ferhat Sarıhan’dan aldığım email’e göre açık kapatılmış. Mutlu son :).
- Etiketler: ASP.NET, JavaScript, PHP, Teketek, XSS
Fatih ÜNAL
28 Mayıs 2008 saat 12:52
Ben de aynı sitede sisteme direkt olarak dalış yapılabilen bir SQL Injection açığı buldum. Durumu mail olarak ilettim ama bir teşekkür bile etmedikleri için kendilerine burdan teşekkür ediyorum.