URL Parametrelerini doğru kullanmayınca başa gelenler

3
281817 181476855250691 6784756 n
tongucyumruk
13 Ocak 2017 , 1 dakika okuma süresi

Hep ciddi ciddi şeyler yazacak değiliz, biraz da eğlenelim. Bazen (düzeltme: çoğu zaman) en büyük şirketler dahi web üzerinde birşeyler yaparken en basit güvenlik önlemlerini unutabiliyorlar. İşte bu sefer madara olan şirketimiz de sürekli olarak geliştiricilerin ahını almaktan çekinmeyen Oracle. Bu linke tıklayarak kendilerinin URL parametrelerini hiçbir doğrulamadan geçirmeden doğrudan ekrandaki metne eklemelerinin örneğini görebilirsiniz.

Eğer bu yazıyı gelecekte okuyorsanız ve link çalışmıyorsa aşağıdaki ekran görüntüsü ile idare edeceksiniz mecbur.

file

Güvenlik Oracle Komik
2
Linkedin Facebook Twitter Google plus

Görüşler

FZ
0
FZ

Fena guldum! :)

ErenTurkay
0
ErenTurkay

Haha. En azindan HTML taglerini temizleyecek kadar zahmete girismisler :)

Görüş belirtmek için giriş yapın...

İlgili Yazılar

bogofilter İle Olasılıksal SPAM Filtreleme
FZ
7 Ocak 2003, 15 dakika okuma süresi

Paul Graham 2002 yılı Ağustos'unda yazdığı makalede spam filtrelemede Bayes Teoremi'nin (Öznel Olasılık Teorisi) kullanılabilirliğine değinerek SPAM e-posta (email) ile savaş konusunda yeni bir akımı başlatmış oldu.

Graham'a göre aldığımız her email'e içerdiği kelimeler - mesaj başlığındakiler (header) de dahil olmak üzere- incelenerek 0 ile 1 arasında bir spam skoru atamak mümkün. Bu sayının hesaplanabilmesi için öncelikle size gelen çok sayıda spam ve spam olmayan emailin ayrı ayrı incelenmesi gerekiyor. Bu inceleme sonucunda eğer belli bir kelimeye sadece spam olan emaillerde rastlanıyorsa o kelimeyi göreceğiniz bir sonraki emailin de spam olma olasılığı çok yüksek olacaktır. Aynı mantıktan yola çıkarak, büyük bir çoğunlukla gerçekten okumak istediğiniz emaillerde rastlanan kelimelerin gelecekte de spam içermeyen emaillerde görülmesi beklenir. Bu anlattıklarımızın iyice yerleşmesi için birkaç örnek verelim:

ATM şifreleme anahtarı kırmak!
conan
9 Kasım 2001, 1 dakika okuma süresi

Bu sayfada yazanlara göre IBM 4758 cryptographic co-processor'unden 3DES anahtarını "çalmayı" başarmışlar.

IBM 4758, bankalar tarafından sıklıkla kullanılan bir şifreleme chipiymiş ve IBM'in ATM'lerinde de sıkça kullanılmaktaymış. Bu crack'i gerçekleştirenler, 20 dakika makinaya kesintisiz ulaşımı ve Combine_Key_Parts kullanım yetkisi olan birinin, 995$'lik bir aletle (FPGA evaluation board from Altera) 2 gün içerisinde bu şifreyi ele geçirebilecegini iddia ediyorlar. (nasıl yapılacağını da bilmesi gerektiğini söylemeyi unuttum sanırım) ;)

Röportaj: Kıvılcım Hindistan
sundance
12 Kasım 2009, 17 dakika okuma süresi

Sevgili meslektaşım Huzeyfe Önal, sağolsun NetSec Güvenlik Bülteni'nin bu sayısında benle röportaj yapmak istemiş.

NetSec Bülteni'nin şimdiye kadar ki bütün sayıları için için Life Over Ip'e bakabilirsiniz.

NGB: Kısaca kendinizden bahsedebilir misiniz?

Kıvılcım HİNDİSTAN: Merhaba. Adım Kıvılcım Hindistan. Kadıköy Anadolu Lisesi ve ITÜ Mimarlık Fakültesi mezunuyum. Fazlamesai.net sitesinin kurucularından biriyim.

EnderUNIX'ten Yeni Yazılım!- SwArpMon
honal
20 Ekim 2005, 1 dakika okuma süresi

EnderUNIX yazılım geliştiricilerinden Özkan Kırık, yönetilebilir switch'lerin MAC tablolarını SNMP aracılığı ile takip ederek switch üzerindeki MAC Adresi - Port değişimlerini email yolu ile sistem yöneticisine bildiren 'swArpMon' isimli yazılımı geliştirdi.

Emniyet Müdürlüğü E-Postalarımızı Gizlice İzliyor!
FZ
4 Mayıs 2004, 1 dakika okuma süresi

ANKA AJANSININ HABERİ: İzleme olayı şöyle ortaya çıktı: Emniyet'in mail kutusu dolunca, izlenen e-posta adreslerine yanlışlıkla, İstanbul Emniyet Müdürlüğü- Bilgi İşlem Müdürlüğü imzalı "mail kutunuz dolmuştur, boşaltınız" uyarı yazısı geldi. Sanat ve Hayat Dergisi'ne mail gönderen okurlar, İstanbul Emniyet Müdürlüğü'nün bu uyarı mailiyle karşılaştı. Bu mail nedeniyle e-posta'ların da adrese ulaştırılması da engellendi. Emniyet'in kişisel e-posta adreslerini izlediği yine Emniyet'in yanlışlığıyla ortaya çıktı.

İstanbul Emniyet Müdürlüğü'nün, bir dergiye kişisel bilgisayarlar üzerinden gönderilen maillere karşılık kendi e-posta servisi üzerinden uyarı mailleri göndermesi üzerine polisin kişisel mailleri de izlediği öne sürüldü. ANKA'nın edindiği bilgiye göre, Sanat ve Hayat Dergisi'ne yazılarını ve görüşlerini mail yoluyla aktarmak isteyen okuyucular ilginç bir uygulamayla karşılaştı. Okuyucuların e-posta'ları derginin adresine ulaştırılamazken, bu kişilerin adreslerine İstanbul Emniyet Müdürlüğü'nden uyarı mailleri gönderildi.

Türkiye'nin en büyük bilgi işlem ağına sahip olan Emniyet Genel Müdürlüğü, bazı e-posta adreslerini kendisine yönlendirerek, izlemeye aldığı böylece, bu adreslerden yapılan yazışmaların bir kopyasının, Bilgi İşlem Merkezi'nin sistemine kaydedildiği belirtildi. Bilgi İşlem Merkezinin sistemi dolunca, sistemin otomatik olarak, kullanıcılara bu uyarı maillerini gönderdiği kaydedildi.

Haberin tam metnini burada okuyabilirsiniz.

Editörün Yorumu: YORUM YOK!