Linux Yaz Kampı 2016 Hakkında

Selamlar,

5-20 Ağustos tarihleri arasında Bolu Abant İzzet Baysal Üniversitesi‘nde Murat Yılmazlar ile birlikte 15 gün boyunca sabah 9 akşam 9 buçuk Web Uygulama Güvenliği ve Güvenli Kod Geliştirme eğitimi verdik. Normal şartlarda 2. hafta kampta olamayacaktım. Emin reis öncülüğünde TUBİTAK 4004 “Robotlarla Bilim Yolculuğu” projesini yürütüyorduk. Ancak spontone gelişen olaylar sonrasında mecburen tüm kampa katılmak zorunda kaldım. (Anlayışı için Emin Korkusuz’a çok teşekkür ediyorum.) Bu sene tüm kurslara çok büyük ilgi vardı. Toplamda 1500+ başvuru vardı ve ne yazıkki sadece 400+ seçim yapılabildi.

Sabah 9 akşam 9 buçuk full tempo bağıra bağıra ders anlatmamıza rağmen gereken kamp atmosferi, gerek katılımcıların gözlerinden etrafa saçılan öğrenme aşkından dolayı zerre yorulmadık.

baklavaCMS Yazdık

Derse geç gelenlerden 5 Tl alıp son gün baklava party yapmaya karar verdik. Bunların kayıtlarını da bir CMS üzerinde tutmak istedik. CMS üzerinde 2-3 zafiyet bıraktık. X zafiyetini nhenüz işlememişken CMS’İ X zafiyetini ile hackleyip kendi borçlarını silebilen veya başkasına ekstra borç ekleyebilen olursa kabul edecektik.

https://github.com/Om3rCitak/lyk2016/tree/master/baklavaCMS

Ayrıca kamp esnasında yaptığımız tüm çalışmalara şu GitHub reposundan ulaşabilirsiniz: https://github.com/Om3rCitak/lyk2016/

Sabahladık

Perşembe günü tatil günüydü. Tüm sınıflar Abant, Gölcük vs gezme planları kuruyordu ancak biz önceki gece sınıfta CTF çözerek sabahlayıp o gün uyumayı planladık ve yaptık. Çok keyifli bir gece oldu. Buyrun nevalemiz ve biz;

CpjDc_TWIAAn-mE Cpgxb2cW8AAL9P-

xssFinder Yazdık

Tool development 101 tadında XSS saldırılarını otomatik şekilde çerkekleştirip; XSS olma olasılığı olan request leri listeyen bir tool yazdık. Yarın felan yayınlarım.

Dropbox’ta SSRF Bulduk

Konumuzun SSRF olduğu gün SSRF i anlattıktan sonra bug bounty programı olan 1-2 sitede denemeler gerçekleştirdik. NightWatch ekibinin dikkati üzerine Dropbox’ta SSRF bulduk. Muhtemelen hala kimse bildirmedi. Üşenmediğimiz bir zaman diliminde Hackerone üzerinden bildiririz. Zafiyetin detaylarını merak edenler olmuş. Hackerone üzerinden bildirdiğimizde teknik detaylarını da yayınlarız.

Öğrencilerimiz Drone Hediye Etti

Sanırım kampta en duygulandığım an bu oldu. Son gün web uyg. güv. öğrencileri toplanıp ben ve Murat’a Drone hediye ettiler. Hernekadar o an belli edemesem de çok sevindim.

CqTWkIOXgAAX8mU

LYK 2016 Web Uygulama Güvenliği ve Güvenli Kod Geliştirme Sınıfı

14054311_1141360942604738_2915356359698518217_o

CqUosrHW8AA9fWj

 

Comments on this post

  1. Ömer Furkan

    Beyandımmmm

  2. Mustafa

    Merhaba,

    Dropbox’da bulunan SSRF (Server Side Request Forgery-Güvenlik katmanlarını geçmek için bir sunucuya hatalı istek yaptıracak talepler üretme) ile ilgili firmanın bilgisinin olduğu ve bunun firma tarafından istenilen bir fonksiyon olduğu bilgisi var. Bu açık ile ile ilgili riskleri kabul ettiklerini duyurmuşlar aşağıdaki sayfada.

    https://hackerone.com/reports/137229

  3. bende katılmak istiyorum lütfen

  4. Mehmet

    Yaş sınırı var mı?

    • Murat

      Merhaba çok özür dilerim bende şimdi gördüm. Aslında Ömer’in cevap vermesi gereken bir konu ama hayır yaş sınırı yok.

Leave a Reply

Your email address will not be published. Required fields are marked *

Trackbacks and Pinbacks

No trackbacks.

TrackBack URL