Geçenlerde Formspring'in bug'undan faydalanarak admin paneline kadar eriştim , panel diyorum ama aslında adminlerinin hesaplarına eriştiğim için otomatik olarak Admin oldum :)

Bu açık ile kullanıcıların Profillerini düzenleyebiliyordum , Sorularına cevap verebiliyordum , Arkadaş olarak ekleyebiliyordum. Her cümlenin sonunda "..dum" dedim evet artık açık aktif değil çünkü Yönetime bildirdim onlarda hemen düzeltip bana mail ile teşekkür ettiler.

Formspring'de Kullanıcıya Erişmek

devamını oku

ShopPHP, ShopPHP.net tarafından geliştirimiş bir script sanırım. Kurulu örnek bir sitede SEO URL içerisinde escape karakter kullanıldığında sistemde MySQL hatası alıyoruz. Buradaki bilgiler kullanılarak sistemde ciddi zararlar verilmesi olası. Tahminimce script framework üzerinde yazılmış fakat yinede bu saldırıdan etkilenebiliyor.

http://** site ismi silindi **/elektronik-ve-muzik-dans-urunl'';/kat2551-marka1160.html

devamını oku

İlginç direk FLV dosyaına erişmeye çalışıtımızda sunucunun bazı bilgilerine ulaşabiliyouz koca Hurriyet çok ciddi olmasa da bunu neden göz ardı etmiş ki ?

Adres: ** adres silindi **

Server Error in Application "WEBVIDEOHABER"

Internet Information Services 7.5

Detailed Error Information
Module IIS Web Core
Notification MapRequestHandler
Handler StaticFile
Error Code 0x80070002
Requested URL ** adres silindi **
Physical Path D:\webvideohaber\Fragman\Thumbnail\cehennem_frag_30062010_0307_flv

devamını oku

Uzun zamandır takip etmekten zevk aldığımız, teknik makaleleri ve güvenlik duyurularıyla dikkat çeken Hellcode Research, Huzeyfe Önal önderliğinda hazırlanan Netsec güvenlik bültenine bir roportaj verdi.

Özellikle güvenlik sektörü ve kurumların buna bakış açıları ile ilgili sorulan sorulara verdikleri cevaplar dikkat çekici.

http://www.lifeoverip.net/newsletter/sayi30/#_Toc246497995

Daha önce, önemli yazılımlarda bulduğu açıklarla kendinden söz ettiren Hellcode Research bu sefer buldukları yeni bir teknik konu hakkında bir yazı yazdılar.

Yazının içeriği ELF dosya sistemi ve kod enjeksiyonu üzerine, bahsedildiği kadarıyla bu yeni teknik bir çok alanda kullanılabiliyor. IDS by-pass ve anti-debug konulari bunlara örnek olabilir.

Söz konusu teknik sayesinde, kötü amaçlı kişilerce kodlanan worm veya virus gibi zararli yazilimlar Unix sistemler üzerinde görünmez hale gelebiliyor.Yazıya aşağıda ki linkten ulaşabilirsiniz.

devamını oku

Türkçe bir script olarak hazırlanan asptr.net e ait scripte CSRF ve XSS güvenlik açığına rastladım . Güvenlik açığı http://www.exploit-db.com/exploits/13891/ sitesinde yayınlandı. Bir kaç güvenlik firmasına daha gönderdim umarım masterleri açığı yamalamada daha hızlı davranır.

ilk önce XSS den bahsetmek istiyorum . Betik normal üyelerin profillerindeki resim yolundan kaynaklanıyor.

değişkenlere az biraz baktığımızda dilediğimizi yazabildiğimizi görebiliyoruz ve resimde de hiç bir filtrelemenin olmadığını görüyoruz .

devamını oku

BOT NETWORK  -  II
(BİLGİSAYARINIZ NELER SÖYLÜYOR)

devamını oku

devamını oku

Araştırmacılar popüler sıkıştırma formatlarında kötü amaçlı programları gizlemenin yollarını buldular ve çoğu antivirüs programı tespit edemiyor.

Antivirüs üreticileri rar ve zip gibi arşivleme formatlarındaki oynamaları tespit için uygulamalarına yama çıkardılar.

devamını oku

Mozilla Firefox'da (sadece) 3.6 sürümünü etkileyen bir güvenlik açığı tespit edildi. Bu açığın (ve diğer bazı problemlerin) giderildiği 3.6.2 sürümüne güncelleme tavsiye ediliyor.

Detaylı bilgi için Firefox 3.6.2 sürüm notlarına bakabilirsiniz.

Kaynak: F-Secure Blog

devamını oku