WordPress <= 3.9.2 Stored XSS Zafiyeti Analizi ve Exploit Yöntemi

Wordpress Security

Merhaba

Öncelikle bu blog yazısını daha erken bir tarihte yazmak isterdim ama malesef iş yoğunluğunda vakit bulamadım. Affınıza sığınarak teknik detaylara ve zafiyetin ne kadar kritik olduğuna bakalım.

20 Kasım 2014 tarihinde Klikki isimli güvenlik firması tarafından tespit edilen bu zafiyet, wordpress tarihinde benim gördüğüm en kritik güvenlik açığıdır. Hemen hemen herkes tarafından SQL Injection gibi zafiyetler en kritik güvenlik açıkları olarak adlandırılsa da, konu Stored XSS ise saldırı vektörleri çok farklı noktalara gidebilmekte. Hemen hemen son 1 yıl içerisinde katıldığım bir çok seminerde “Client-Side Security” ve XSS’e dikkat çekmeye çalıştım. Geliştiricilerimizin “Yıl olmuş 2014 hala mı XSS ?” algısından çıkıp, olayın önemine varmaları gerektiğini düşünmekteyim. 

Read moreWordPress <= 3.9.2 Stored XSS Zafiyeti Analizi ve Exploit Yöntemi

MS14-064 Internet Explorer 3 – 11 Uzaktan Komut Çalıştırma Zafiyeti

Merhaba

Windows 95 ile Windows 10 arasındaki Microsoft’un çıkarttığı tüm işletim sistemi verisyonları için geçerli olna MS14-064 zafiyetine 2014 yılına damgasını vuran bir başka güvenlik açığıdır. Kısaca bahsetmek gerekirse zafiyet  VBscript’te bulunmakta, daha detaylı bilgi için internette zafiyet analizi yazılarına ulaşabilirsiniz.

Read moreMS14-064 Internet Explorer 3 – 11 Uzaktan Komut Çalıştırma Zafiyeti

Özgür Web Günleri 2014 – Web Uygulama Güvenliği ve XSS ile Savaş Workshop

Özgür Web Günleri 2014

Özgür Web Günleri, Linux Kullanıcıları Derneği ve Yeditepe Üniversitesi Bilgisayar Topluluğu tarafından beşinci kez düzenleniyor. Herhangi bir ücret ödemeden katılabileceğiniz bu etkinlik, özgür web teknolojilerini anlatan, tanıtan sunum ve workshop’lardan oluşmakta. Tarih ve Etkinlik Alanı 05-06 Aralık 2014’te, İstanbul Yeditepe Üniversitesi 26 Ağustos Yerleşimi’nde. Rektörlük binası 5. kat Kimler Katılmalı ? Web yazılımları geliştirenler Web uygulamaları … Read moreÖzgür Web Günleri 2014 – Web Uygulama Güvenliği ve XSS ile Savaş Workshop

Drupal 7.x SQL Injection Zafiyeti ve Exploit Edilmesi

drupal

Drupal 7.0 ile 7.31 versiyonları için geçerli olan SQL Injection zafiyeti tespit edildi. Sektioneins ekibi tarafından tespit edilen zafiyet için Drupal ekibi tarafından güvenlik yaması yayınlanmış bulunmakta. Drupal sistemlerinizi update ederek bu zafiyete karşı önlem almanızı şiddetle tavsiye ederim. 

Read moreDrupal 7.x SQL Injection Zafiyeti ve Exploit Edilmesi