xss | bildirgec.org

14 Temmuz 2007 tarihinde Web Güvenliği Günleri 1 buluşmasında çekilen videoları aşağıdaki linklerden izleyebilirsiniz.

• OWASP Dünyası

• Web Uygulama Güvenliği Demosu

• HRS ile Web Cache Zehirleme

• XSS Tünelleme

• Java`da Güvenlik Uygulamaları

• ModSecurity İle Web Güvenliği

Mozilla Firefox'tan son sürüm numarası çift hanelere dayanan yeni bir sürüm geldi.
2.0.0.10 indirilmeye sunuldu ve çoğu kişi tarafından güncellemesi yapıldı. Peki yeni olarak neler var derseniz buraya bakabilirsiniz.

3 tane güvenlik açığının kapatıldığından bahsediliyor.Bunlar;

Referer-spoofing via window.location race condition
Memory corruption vulnerabilities (rv:1.8.1.10)
jar: URI scheme XSS hazard

bence 2.0.1.0 olarak yayınlasalar daha göze hoş olacaktı sürüm numarası :)

15 dakikada sıfırdan blog yazma platformumuz olan Ruby on Rails'in 2.0 versiyonu geliyormuş. şu anda 1.2 serisinde devam eden framework'un 2.0 beta versiyonunu kullanılmaya başlanmış . göze çarpan yeniliklerden birisi de bugunlerde google'ın da başını fena halde ağrıtan csrf ataklarına karşı güvenlik önlemlerinin alınması. yeni versiyonu denemek için

gem install rails --source http://gems.rubyonrails.org

Microsoft'un Live servislerinde XSS açığı bulunmuş.
Olay şu şekilde gerçekleşiyor. Hotmaile giriş yaptığımız vakit oluşan cookie ip bilgisi içermiyormuş. bu cookie kullanılarak daha sonra hesaba girmek mümkün olabiliyormuş.
Başka bi habere göre bunu bulan 16 yaşında hollandalı bir çocukmuş ve durumu microsofta bildirmiş ama pek ciddiye alınmamış. Ama kendisine bir cevap yazmışlar.

"Hi Adriaan, Thanks very much for your report. I have opened case 6678 and the case manager, Scott, will be in touch when there is more information. In the meantime, we ask you respect responsible disclosure guidelines and not report this publicly until users have an opportunity to protect themselves (as you have mentioned). You can review our bulletin acknowledgment policy at
www.microsoft.com/technet/security/ bulletin/policy.mspx and our general policies and practices at
www.microsoft.com/technet/security/ bulletin/info/msrpracs.mspx. If at any time you have questions or more information, please respond to this message."