URL Parametrelerini doğru kullanmayınca başa gelenler

3
tongucyumruk

Hep ciddi ciddi şeyler yazacak değiliz, biraz da eğlenelim. Bazen (düzeltme: çoğu zaman) en büyük şirketler dahi web üzerinde birşeyler yaparken en basit güvenlik önlemlerini unutabiliyorlar. İşte bu sefer madara olan şirketimiz de sürekli olarak geliştiricilerin ahını almaktan çekinmeyen Oracle. Bu linke tıklayarak kendilerinin URL parametrelerini hiçbir doğrulamadan geçirmeden doğrudan ekrandaki metne eklemelerinin örneğini görebilirsiniz.

Eğer bu yazıyı gelecekte okuyorsanız ve link çalışmıyorsa aşağıdaki ekran görüntüsü ile idare edeceksiniz mecbur.

file

Görüşler

0
FZ

Fena guldum! :)

0
ErenTurkay

Haha. En azindan HTML taglerini temizleyecek kadar zahmete girismisler :)

Görüş belirtmek için giriş yapın...

İlgili Yazılar

Makyajsız siteler

barbar

Internetin haşarı çocuklarının yaptıkları yaramazlıkları takip edebileceğiniz bir site bu. İçeriğinde hangi grup kime kızmış, hıncını nasıl almış, kimleri selamlamış gibi konulara açıklık geliyor.
Sistem yöneticileri hangi sistem nasıl kırılmış log dosyalarından öğrenip, isterlerse önlem bile alabilirler.
defacement archives

root prompt komiklikleri

sundance

Çok üzgünüm kendimi tutamadım, ama bu Phrack/Loopback esprileri gülmekten karnımı ağrıtıyor. Aşağıdaki satırlar, öğrencilere açık bir üniversite bilgisayarının shell history kayıtları (ay ölecem :))
haxor #2 (/.sh_history, already root...)
pico /etc/passwd
whereis pico
vi /etc/passwd
cat /etc/passwd
vi /etc/passwd
passwd dre
whereis adduser
vi /etc/shadow
su dre
exit

Güvenli veya kolay: Birini seçmek zorunda mıyız? (veya: WhatsApp gerçekten güvenli mi?)

tongucyumruk

Geçtiğimiz hafta ortalık The Guardian'ın yayınladığı WhatsApp'taki güvenlik açığı mesajlarınızın dinlenmesini mümkün kılıyor haberi ile çalkalandı. WhatsApp'ın da kullandığı Signal protokolünü geliştiren Open Whisper Systems'tan cevap gelmekte gecikmedi: WhatsApp'ta bir arka kapı yoktur. Peki ne oldu? Gündemi takip edemeyenler için bir TL;DR sunmakta fayda olacağını...

Web sayfasında adres yayınlamak...

sundance

İnsanların size ulaşabilmesi için web sayfanızda adresinizi yayınlamak istiyorsunuz, fakat sayfaları dolaşıp email adresi toplayan web spiderlarından da illallah dediniz. Adresinizi sundance at fazlamesai nokta net veya fazlamesai.net de sundance diye yazdınız, bu sefer de ortalama IT müdürünün bu adresi anlayıp anlamayacağından endişe etmeye başladınız :)

Bu java script sayesinde artık böyle bir derdiniz kalmayacak. Sayfaya girip email adresinizi yazın ve anında size hiçbir spiderın anlayamayacağı karmaşıklıkta geri verilsin. Hem de sayfa üstündeki görüntüsünde ve linkinde hiçbir sorun olmadan. Dahası Javascripti sadece karmaşıklaştırılmış adresinizi bir kez oluşturmak için kullanıyorsunuz, sayfanıza girecek kullanıcıların browserlarında olması da gerekli değil.

#1 Numaralı Hacker Klübünün Kurucusu Öldü

sundance

Dünyaca ünlü Chaos Computer Club'ın başkanı Wau Holland geçirdiği bir kalp krizi sonucu öldü.

CCC 1981 yılında Almanya'da kurulmuş ve o tarihten bu yana kendine bilgisayar kültürünün gelişmesini amaç edinmiş bir grup. İlk eylemlerini çok ucuza ve kolayca üretilebilecek modem şemaları yayma şeklinde gerçekleştiren grup, daha sonra bir çok White Hat (İyinin yanında, doğrunun koruyucusu :) Hack eylemine imzasını atmıştır.