Visual Studio Açık Kaynak Kod Zafiyeti

Selamlar bugün github'da ki projelerde çok fazla kullanılan kod zafiyetine bakacağız.
Aslında zafiyetten çok dikkat eksiliğinden kaynaklanan bir açık;


İlk Olarak örnek zafiyetli bir koda bakalım;

C++:
cout << "Íàêèíóòü âåñ (ââåñòè 0 - åñëè íåò): ";

Şimdi siz bir SQL Veri tabanı için bir program bakıyorsunuz Github'da ama dikkatsizce direk olarak kodu derliyorsunuz.

Demek istediğime daha yakından bakalım;

image_750x_60985f549fe84.jpg


Bu ASCII kodlama tablosudur bu karakterler harici kullanılan örn.

ANSI kodlamasına bakalım;

Rich (BB code):
éâäàåçêëèïîì

Bu harfler ANSI kodlama ailesine aittir.
Notepad++ ile kontrol edebiliriz.

C++:
cout << "Íàêèíóòü âåñ (ââåñòè 0 - åñëè íåò): ";

Bu tarz bir C++ kodunda SQL Veritabanı için kullanılması şüpheli bir işlemdir.

Normalde kullanılması gereken karakter setleri
"ASCII, UTF-8, UTF-16" gibi setlerdir dikkatli olmanız açısından diyorum.

Geçenlerde denk geldiğim bu tarz bir açık kaynak kod zafiyetinden dolayı direkt olarak
"Remote Code Execution" açığını tetikleyerek uzaktan bağlantı alınmasını sağlıyordu.

Dikkatli olun iyi forumlar...
çoğu türk scriptlerinde kullanılıyor zaten.
 
Geri
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.