WordPress 3.0.4 Stored XSS (via Editor role)

Tarih: 31 Aralık 2010 by TEAkolik Kategoriler: Güvenlik, Yazılım | 1 Yorum

Özet: As advised before, WordPress revealed 3.0.4 version within security patches which occured because of a vulnerability. However, a high level vulnerability in 3.0.4 declared by a security research group named Anatolia Security. If WordPress is being used and there are users who have Editor role, this vulnerability will give a chance to seize system for Editors. This vulnerability occurs a XSS attack and authorised staff of WordPress is informed about this. A recommendation to you, Editor roled user accounts should be suspended for a while. As detailed, an Editor roled user can run an arbitrary code on comment box to access other…

WordPress 3.0.4 Stored XSS (via Editor role) Güvenlik Açığı

Tarih: 30 Aralık 2010 by TEAkolik Kategoriler: Güncel, Güvenlik, Yazılım | 2 Yorum

Özet: Hatırlayacağınız üzere WordPress bugün itibariyle 3.0.4 versiyonunu bir güvenlik probleminden dolayı yamalayarak çıkarttı. Geçtiğimiz gün bulunan bir güvenlik zafiyeti yüzünden sistemi tekrar güncelleyerek kapatmak amacıyla 3.0.4 sürümü yayınladı. Fakat bugün Anatolia Security isimli bir güvenlik araştırma gurubu tarafından 3.0.4 versiyonunda kritik derecede bir güvenlik zaafiyeti ortaya çıkarıldı. WordPress kullanıyor ve blogunuzda Editor olarak görevli kullanıcılar varsa, Editor yetkisindeki kullanıcılar bu güvenlik zafiyetini kötü amaçla kullanarak sizin ya da kullanıcılarınızın hesaplarını ele geçirebilirler. Anatolia Security isimli Güvenlik & Araştırma grubu tarafından, yeni yayınlanan 3.0.4 versiyonunda kritik sayılabilecek bir güvenlik zafiyeti (XSS) tespit edildi. Bu açıklık WordPress ekibine şuan itibariyle bildirilmiş durumda. Yeni açıklıktan etkilenmemek…

Google Web Sitesi Optimize Edici’de Güvenlik Sorunu

Tarih: 09 Aralık 2010 by TEAkolik Kategoriler: Güvenlik, İnternet | 4 Yorum

Özet: Google Web Sitesi Optimize Edici’de bir güvenlik sorunu olduğunu bildirdi. Web Sitesi Optimize Edici ile ilgili potansiyel bir güvenlik problemi olduğunu mail atarak kullanıcılarına bilgi vermekte. Web Sitesi Optimize Edici kontrol komut dosyasındaki bir güvenlik açıklığından yararlanabilecek olan kötü niyetli kişiler XSS saldırısında bulunarak Web sayfanızda zararlı kod çalıştırabildikleri ortaya çıktı. Bu saldırının olasılığı düşük de olsa web sayfanızı korumak için muhakkak ki önlem almak zorundasınız. Sorun Google tarafınca düzeltildi. Yeni kodlama ile bu saldırıların önüne geçilebilmekte. Fakat yapmanız gereken eski kodları sistemden kaldırıp yeni kodları girmek. Yeni kodlar sayesinde bu durumun önüne geçebilmektesiniz. Yeni kodlardaki fark ise kontrol komut dosyasındaki return c.substring(i+n.length+1,j<0?c.length:j) ile…

WordPress SEO, XSS Vulnerability

Tarih: 21 Haziran 2010 by TEAkolik Kategoriler: Güncel, Genel, Yazılım, İnternet | 6 Yorum

Özet: Occasionally, i do security tests on my web site. Above all i keen on security as you know. I continuously follow lots of security forums or look alikes. I spot security checks on my web site, and if there is an issue, i interfere to incident. Again, while i was testing, there occured a XSS vulnerability. Normally, there is no vulnerability like this on WordPress. Problem occurs because of some kind of codes which are added on WordPress for SEO. It is recommended that, in addition to add-ons which improve SEO system on WordPress, additional codes should be advised to people…

WordPress SEO, XSS Güvenlik Açıklığı.

Tarih: 21 Haziran 2010 by TEAkolik Kategoriler: Diğer, Güncel, Güvenlik, Genel, Yazılım, İnternet | 19 Yorum

Özet: Zaman zaman internet sayfamda güvenlik testleri yaparım. Özelliklede güvenlik üzerine merakım olduğunu biliyorsunuzdur. Birçok güvenlik forumu ve benzeri yerleri sürekli takip ederim. Arada bir de bu güvenlik testlerinden internet sayfamı geçirip olası durumlara müdehale ederim. Yine bu tip bir test yaparken karşıma bir XSS güvenlik açığı çıktı. Normalde WordPress üzerinde böyle bir güvenlik açığı yok. Sorun WordPress üzerine SEO için eklenen birkaç koddan kaynaklanıyor. WordPress’in SEO sistemini geliştiren eklentiler yanı sıra ek kodlarda birçok kişi tarafından tavsiye edilip insanlara kullanılması gerektiği önerilmekte. Fakat bu eklenen kodlar arasında en meşhur olanlarından bir tanesi WordPress sisteminiz üzerinde bir güvenlik riski ortaya çıkarabilmekte. XSS Güvenlik…

WordPress 2.8.6 Güvenlik Güncellemesi

Tarih: 13 Kasım 2009 by TEAkolik Kategoriler: Güncel, Güvenlik, Haberler, Yazılım, İnternet | 11 Yorum

WordPress 2.8.6 sürümü piyasaya sunuldu. WordPress blog‘da yayınlanan 2.8.6 sürümü güvenlik güncellemesi olarak bildiriliyor. Acilen WordPress 2.8.6 sürümüne terfi etmenizi tavsiye ederim. WordPress.org blog sayfasında yapılan açıklamaya göre ilk sorun Benjamin Flesch tarafından keşfedilen XSS güvenlik açığı. İkinci problem ise Dawid Golunski tarafından keşfedilmiş Apache yapılandırma ayarlarından kaynaklanan bir güvenlik problemi WordPress yönetim panelinizde de 2.8.6 sürümünün çıktığını göreceksiniz. Database ve FTP yedeklerinizi aldıktan sonra sisteminizi 2.8.6 ya yükseltiniz. Aman haberiniz olsun bu güvenlik problemi yüzünden hacklenebilirsiniz.

Web Uygulaması Güvenliği Eğitimi -2

Tarih: 24 Temmuz 2009 by TEAkolik Kategoriler: Güvenlik, Haberler, Yazılım, İnternet | Yorum Gönder...

Özet: Geçenlerde Zerumax tarafıdan desteklenen ve hazırlanan ilkini gerçekleştirdiğimiz Web Uygulaması Güvenliği Eğitimi ikinci kez karşınızda. Ferruh Mavituna’nın anlatımını ve öğretmenliğini yaptığı bu eğitime yine donanım desteği vermek ve yardımcı olmak için orada olacağım. Yeni eğitim 15-16 Ağustos’ da verilecektir. Zerumax’ ın sitesinden bu eğitime kayıt olabilirsiniz. Özelliklede Web uygulamalarıyla ilgilenen, yöneten arkadaşların ilgisini çekecek olan bu eğitimde bir hacker gözüyle web uygulamalarındaki güvenlik açıkları ve nelerden kaynaklandığını öğreneceğiz. E-ticaret sistemi sahiplerini önemle katılmasını tavsiye ettiğim Web Uygulaması Eğitiminde kod yapısından tutunda uygulamaların çalışma prensiplerine kadar birçok konuya değinilecek. Eğitimde anlatılan konular test ortamında kullanıcılar tarafından görsel ve uygulamalı olarak…

WordPress 2.8.2 Çıktı. Lütfen Güncelleyiniz.

Tarih: 20 Temmuz 2009 by TEAkolik Kategoriler: Güncel, Güvenlik, İnternet | 4 Yorum

Özet: Biraz önce fark ettim. Yönetim panelimde 2.8.2 sürümü çıktığını yazıyordu. Açıkcası şaşırmadımda değil. Daha yeni 2.8.1 çıkmıştı ve güncelleme yapmıştık. WordPress internet sayfasına girip 2.8.2′nin açıklamasına baktığımda yorumlarda meydana gelen bir XSS güvenlik açığı ortaya çıktığı belirtilmiş. Tabi bir güvenlik açığı ortada olunca hemen güncellememi gerçekleştirdim. Lamerin birisi gelipde blogumuzu hack etmesin değil mi ? Güvenlik açığını merak ettim ve MilW0rm internet sayfasına girip baktım. En son olarak bir eklenti açığı yayınlanmış XSS açığından bahsedilmemiş. Sanırım yeni bir güvenlik açığı ve WordPress’e ilk olarak bildirilmiş olabilir. Wordpres Türkiye Ekibi hemen 2.8.2 için Türkçe paketi ile güncelleştirmeyi yayınladı. İsterseniz otomatik olarak güncellemeyi…

Web Uygulaması Güvenliği Eğitimi

Tarih: 06 Haziran 2009 by TEAkolik Kategoriler: Diğer, Güncel, Haberler, Yazılım | 7 Yorum

Özet: Merhaba arkadaşlar. Bugün Taksim Titanic otelde eğitim seminerindeydim. Ferruh Mavituna’nın blogunda okumuşsunuzdur. Önceden duyurusunu yapmıştı. Bugün Ferruh’a yardım için oradaydım. Güzelde geçti hatta benim içinde verimli bir eğitim oldu diyebilirim. Sabah Ferruh’la beraber otele doğru yola koyulduk. Yanıma 3Com router, Cat5e data kablosu, Flash disk ne lazımsa bir güzel aldım. Açıkcası son anda hazırlık yapmıştım. Hani biraz aceleye getirdik diyebilirim. Gerçi dün Ferruh sağolsun geldi de üzerinden azıcıkta olsa neler yapacağımızı konuştuk. Kuracağımız sistemin ne olacağını ince ayrıntılarına kadar düşündükten sonra bu sabah otelde erkenden kurulumlarımıza başladık. Sistem 20 küsür bilgisayarın ana serverde kurulu olan bir deneme web sayfasına ve SQL ‘e…

» XSS