xss | bildirgec.org

web sitelerinizin güvenliğinde, güvenlik taraması imkanı verecek ücretsiz web uygulama güvenliği test araçları bu makalede listelendi.

1- netsparker community edition (windows)

netsparker, sql injection + cross-site scripting sorunları tespit edebilir. tarama işlemi tamamlandıktan sonra bu konular için çözümler görüntüler.

2- websecurify (windows, linux, mac os x)

websecurify kolay kullanımlı ve otomatik olarak yazılımdaki zayıflıkları test eder, fuzzing teknolojilerini kullanarak web uygulama açıkları tespiteden açık kaynak kodlu bir araçtır. bu araç aynı zamanda çok dil desteği ve genişletilebilir eklenti desteği sunar.

Google, web geliştiricileri düşünürek yeni bir hamlede daha bulundu. Güvenlik konusuna verdiği öneme dikkat çeken Google, web uygulamaları üretenler için hazırlanan bu açık kaynaklı yardımcı güvenlik aracı hazırladığınız uygulamaları tarayarak olası güvenlik açıklarını bularak geliştiricilere bildiriyor.

Google'ın açık kaynak kodlu olarak hazırladığı bu araç küçük girişimcilere ve web uygulamaları hazırlayan tasarımcılara sahip çıktığını gösteriyor ve Google bunu belirtirken güvenlik konusunda yaptığı bu adımı da vurguluyor.

Web Geliştiricileri Bu yeni aracı kullanarak gözden kaçırdıkları SQL, XML ve XSS açıklarını bulabilecekler ve düzeltebilecekler. Böylece kötü niyetli kişilerin emek vererek yaptıkları uygulamalarına zarar vermelerini engelleyebilecekler. Google Skipfish, Nmap ve Nessus benzeri birçok özelliğe sahip.

herhangi bir marka veya bir programın iconu veya başka simgeler bunları özellikle *.png formatında istiyorsanız bu site sizin kurtarıcınız olacaktır. çünkü png iconlara hergün yenisi eklenmekte. Siteye burdan ulaşabilirsiniz.

Şu sayfada, ruby on rails (ror) ile yazılımış web uygulamalarında bulunması muhtemel güvenlik açıklarından bahsedilmiş. Bu klavuzda SQL Injection, XSS, CSRF... gibi popüler güvenlik açıklarına da değinilmiş.

Microsoft'un Live servislerinde XSS açığı bulunmuş.
Olay şu şekilde gerçekleşiyor. Hotmaile giriş yaptığımız vakit oluşan cookie ip bilgisi içermiyormuş. bu cookie kullanılarak daha sonra hesaba girmek mümkün olabiliyormuş.
Başka bi habere göre bunu bulan 16 yaşında hollandalı bir çocukmuş ve durumu microsofta bildirmiş ama pek ciddiye alınmamış. Ama kendisine bir cevap yazmışlar.

"Hi Adriaan, Thanks very much for your report. I have opened case 6678 and the case manager, Scott, will be in touch when there is more information. In the meantime, we ask you respect responsible disclosure guidelines and not report this publicly until users have an opportunity to protect themselves (as you have mentioned). You can review our bulletin acknowledgment policy at
www.microsoft.com/technet/security/ bulletin/policy.mspx and our general policies and practices at
www.microsoft.com/technet/security/ bulletin/info/msrpracs.mspx. If at any time you have questions or more information, please respond to this message."