WordPress <= 3.9.2 Stored XSS Zafiyeti Analizi ve Exploit Yöntemi

Wordpress Security

Merhaba

Öncelikle bu blog yazısını daha erken bir tarihte yazmak isterdim ama malesef iş yoğunluğunda vakit bulamadım. Affınıza sığınarak teknik detaylara ve zafiyetin ne kadar kritik olduğuna bakalım.

20 Kasım 2014 tarihinde Klikki isimli güvenlik firması tarafından tespit edilen bu zafiyet, wordpress tarihinde benim gördüğüm en kritik güvenlik açığıdır. Hemen hemen herkes tarafından SQL Injection gibi zafiyetler en kritik güvenlik açıkları olarak adlandırılsa da, konu Stored XSS ise saldırı vektörleri çok farklı noktalara gidebilmekte. Hemen hemen son 1 yıl içerisinde katıldığım bir çok seminerde “Client-Side Security” ve XSS’e dikkat çekmeye çalıştım. Geliştiricilerimizin “Yıl olmuş 2014 hala mı XSS ?” algısından çıkıp, olayın önemine varmaları gerektiğini düşünmekteyim. 

Read more

MS14-064 Internet Explorer 3 – 11 Uzaktan Komut Çalıştırma Zafiyeti

Merhaba

Windows 95 ile Windows 10 arasındaki Microsoft’un çıkarttığı tüm işletim sistemi verisyonları için geçerli olna MS14-064 zafiyetine 2014 yılına damgasını vuran bir başka güvenlik açığıdır. Kısaca bahsetmek gerekirse zafiyet  VBscript’te bulunmakta, daha detaylı bilgi için internette zafiyet analizi yazılarına ulaşabilirsiniz.

Read more

Özgür Web Günleri 2014 – Web Uygulama Güvenliği ve XSS ile Savaş Workshop

Özgür Web Günleri 2014

Özgür Web Günleri, Linux Kullanıcıları Derneği ve Yeditepe Üniversitesi Bilgisayar Topluluğu tarafından beşinci kez düzenleniyor. Herhangi bir ücret ödemeden katılabileceğiniz bu etkinlik, özgür web teknolojilerini anlatan, tanıtan sunum ve workshop’lardan oluşmakta. Tarih ve Etkinlik Alanı 05-06 Aralık 2014’te, İstanbul Yeditepe Üniversitesi 26 Ağustos Yerleşimi’nde. Rektörlük binası 5. kat Kimler Katılmalı ? Web yazılımları geliştirenler Web uygulamaları … Read more