Geçenlerde Formspring'in bug'undan faydalanarak admin paneline kadar eriştim , panel diyorum ama aslında adminlerinin hesaplarına eriştiğim için otomatik olarak Admin oldum :)
Bu açık ile kullanıcıların Profillerini düzenleyebiliyordum , Sorularına cevap verebiliyordum , Arkadaş olarak ekleyebiliyordum. Her cümlenin sonunda "..dum" dedim evet artık açık aktif değil çünkü Yönetime bildirdim onlarda hemen düzeltip bana mail ile teşekkür ettiler.
Formspring'de Kullanıcıya Erişmek
İlginç direk FLV dosyaına erişmeye çalışıtımızda sunucunun bazı bilgilerine ulaşabiliyouz koca Hurriyet çok ciddi olmasa da bunu neden göz ardı etmiş ki ?
Adres: ** adres silindi **
Server Error in Application "WEBVIDEOHABER"
Internet Information Services 7.5
Detailed Error Information
Module IIS Web Core
Notification MapRequestHandler
Handler StaticFile
Error Code 0x80070002
Requested URL ** adres silindi **
Physical Path D:\webvideohaber\Fragman\Thumbnail\cehennem_frag_30062010_0307_flv
Uzun zamandır takip etmekten zevk aldığımız, teknik makaleleri ve güvenlik duyurularıyla dikkat çeken Hellcode Research, Huzeyfe Önal önderliğinda hazırlanan Netsec güvenlik bültenine bir roportaj verdi.
Özellikle güvenlik sektörü ve kurumların buna bakış açıları ile ilgili sorulan sorulara verdikleri cevaplar dikkat çekici.
http://www.lifeoverip.net/newsletter/sayi30/#_Toc246497995
Daha önce, önemli yazılımlarda bulduğu açıklarla kendinden söz ettiren Hellcode Research bu sefer buldukları yeni bir teknik konu hakkında bir yazı yazdılar.
Yazının içeriği ELF dosya sistemi ve kod enjeksiyonu üzerine, bahsedildiği kadarıyla bu yeni teknik bir çok alanda kullanılabiliyor. IDS by-pass ve anti-debug konulari bunlara örnek olabilir.
Söz konusu teknik sayesinde, kötü amaçlı kişilerce kodlanan worm veya virus gibi zararli yazilimlar Unix sistemler üzerinde görünmez hale gelebiliyor.Yazıya aşağıda ki linkten ulaşabilirsiniz.
Türkçe bir script olarak hazırlanan asptr.net e ait scripte CSRF ve XSS güvenlik açığına rastladım . Güvenlik açığı http://www.exploit-db.com/exploits/13891/ sitesinde yayınlandı. Bir kaç güvenlik firmasına daha gönderdim umarım masterleri açığı yamalamada daha hızlı davranır.
ilk önce XSS den bahsetmek istiyorum . Betik normal üyelerin profillerindeki resim yolundan kaynaklanıyor.
değişkenlere az biraz baktığımızda dilediğimizi yazabildiğimizi görebiliyoruz ve resimde de hiç bir filtrelemenin olmadığını görüyoruz .
BOT NETWORK - II
(BİLGİSAYARINIZ NELER SÖYLÜYOR)
Araştırmacılar popüler sıkıştırma formatlarında kötü amaçlı programları gizlemenin yollarını buldular ve çoğu antivirüs programı tespit edemiyor.
Antivirüs üreticileri rar ve zip gibi arşivleme formatlarındaki oynamaları tespit için uygulamalarına yama çıkardılar.
Mozilla Firefox'da (sadece) 3.6 sürümünü etkileyen bir güvenlik açığı tespit edildi. Bu açığın (ve diğer bazı problemlerin) giderildiği 3.6.2 sürümüne güncelleme tavsiye ediliyor.
Detaylı bilgi için Firefox 3.6.2 sürüm notlarına bakabilirsiniz.
Kaynak: F-Secure Blog
Son yorumlar
3 hafta 4 gün önce
4 hafta 2 gün önce
7 hafta 3 gün önce
8 hafta 7 saat önce
8 hafta 2 gün önce
27 hafta 1 gün önce
32 hafta 5 gün önce
34 hafta 1 gün önce
36 hafta 3 gün önce
36 hafta 3 gün önce