Selamlar,
5-20 Ağustos tarihleri arasında Bolu Abant İzzet Baysal Üniversitesi‘nde Murat Yılmazlar ile birlikte 15 gün boyunca sabah 9 akşam 9 buçuk Web Uygulama Güvenliği ve Güvenli Kod Geliştirme eğitimi verdik. Normal şartlarda 2. hafta kampta olamayacaktım. Emin reis öncülüğünde TUBİTAK 4004 “Robotlarla Bilim Yolculuğu” projesini yürütüyorduk. Ancak spontone gelişen olaylar sonrasında mecburen tüm kampa katılmak zorunda kaldım. (Anlayışı için Emin Korkusuz’a çok teşekkür ediyorum.) Bu sene tüm kurslara çok büyük ilgi vardı. Toplamda 1500+ başvuru vardı ve ne yazıkki sadece 400+ seçim yapılabildi.
Sabah 9 akşam 9 buçuk full tempo bağıra bağıra ders anlatmamıza rağmen gereken kamp atmosferi, gerek katılımcıların gözlerinden etrafa saçılan öğrenme aşkından dolayı zerre yorulmadık.
baklavaCMS Yazdık
Derse geç gelenlerden 5 Tl alıp son gün baklava party yapmaya karar verdik. Bunların kayıtlarını da bir CMS üzerinde tutmak istedik. CMS üzerinde 2-3 zafiyet bıraktık. X zafiyetini nhenüz işlememişken CMS’İ X zafiyetini ile hackleyip kendi borçlarını silebilen veya başkasına ekstra borç ekleyebilen olursa kabul edecektik.
https://github.com/Om3rCitak/lyk2016/tree/master/baklavaCMS
Ayrıca kamp esnasında yaptığımız tüm çalışmalara şu GitHub reposundan ulaşabilirsiniz: https://github.com/Om3rCitak/lyk2016/
Sabahladık
Perşembe günü tatil günüydü. Tüm sınıflar Abant, Gölcük vs gezme planları kuruyordu ancak biz önceki gece sınıfta CTF çözerek sabahlayıp o gün uyumayı planladık ve yaptık. Çok keyifli bir gece oldu. Buyrun nevalemiz ve biz;
xssFinder Yazdık
Tool development 101 tadında XSS saldırılarını otomatik şekilde çerkekleştirip; XSS olma olasılığı olan request leri listeyen bir tool yazdık. Yarın felan yayınlarım.
Dropbox’ta SSRF Bulduk
Konumuzun SSRF olduğu gün SSRF i anlattıktan sonra bug bounty programı olan 1-2 sitede denemeler gerçekleştirdik. NightWatch ekibinin dikkati üzerine Dropbox’ta SSRF bulduk. Muhtemelen hala kimse bildirmedi. Üşenmediğimiz bir zaman diliminde Hackerone üzerinden bildiririz. Zafiyetin detaylarını merak edenler olmuş. Hackerone üzerinden bildirdiğimizde teknik detaylarını da yayınlarız.
Öğrencilerimiz Drone Hediye Etti
Sanırım kampta en duygulandığım an bu oldu. Son gün web uyg. güv. öğrencileri toplanıp ben ve Murat’a Drone hediye ettiler. Hernekadar o an belli edemesem de çok sevindim.
LYK 2016 Web Uygulama Güvenliği ve Güvenli Kod Geliştirme Sınıfı
Beyandımmmm
Merhaba,
Dropbox’da bulunan SSRF (Server Side Request Forgery-Güvenlik katmanlarını geçmek için bir sunucuya hatalı istek yaptıracak talepler üretme) ile ilgili firmanın bilgisinin olduğu ve bunun firma tarafından istenilen bir fonksiyon olduğu bilgisi var. Bu açık ile ile ilgili riskleri kabul ettiklerini duyurmuşlar aşağıdaki sayfada.
https://hackerone.com/reports/137229
bende katılmak istiyorum lütfen
Yaş sınırı var mı?
Merhaba çok özür dilerim bende şimdi gördüm. Aslında Ömer’in cevap vermesi gereken bir konu ama hayır yaş sınırı yok.
birdaha ne zaman düzenlenir böyle bir etkinlik?
Etkinlik ne zaman olacak?
birdahaki?