DOM XSS Zafiyetinden Korunmak - Trusted Types

document.write("Merhabalar");

DOM API ile karmaşık mimarilerde güvenli olarak kod geliştirmek gerçekten zorlu bir süreçtir. Google mühendisleri JS kodunuzu bu tarz ataklara karşı sıkılaştırmak için "Trusted-Types" adında bir yapı ortaya çıkardı. Bu şekilde DOMXSS zafiyetinin büyük ölçüde önüne geçebileceklerini düşünüyorlar.

Temelde, politika oluşturarak kodunuza uygulayabileceğiniz bir yapı. Oluşturulan bu …

Continue reading »

Privacy Issues

Print out my secret

Hi, I faced a situation like this. When I went to a travel agency, They give me printed it out a lot of paper. I noticed that at the bottom of the pagination is the full url.

Something like that.

http://internal.company.com/path1/path2 …

Continue reading »

Diversify Attack Vectors via Time Management

I’ve just learned “Timeout” function while I was working with cmd.exe. I wanted to share this quick-post with you.

I saw the Timeout function can delay any system function for X second with /T X command when I looked Timeout help pages via "Timeout /?" command in Windows OS …

Continue reading »

Dont Blink Against The Ubuntu Information Leak Vulnerability(CVE-2016-1000002)

Will we always talk about success stories? This time, I am writing about how I failed and what I learned from that.

You can ask why I make the title as "Don’t Blink." This catchword reminded me a part of the Doctor Who. On this occasion, I also wanted …

Continue reading »

Abusing The Wonder World of JavaScript

I participated JS event about JQuery’s source code in Istanbul a long time ago. In this activity, we have looked its source code together. Actually, when we looked at technologies like React, Vue, Angular which are used in this case, there are such things on the basis. (respect to …

Continue reading »

Recon is Everywhere

Today's situation is "Recon". If you are interested in Pentest, Bug bounty or Redteam work, I would recommend reading this article. I talked about some points of my interest when creating this content. I will try to look with from a perspective of the outside of the box. If you've …

Continue reading »

Meetup Kültürüne Minimalist Yaklaşım

Minimalizm, modern sanat ve müzikte, kökeni 1960'lara giden, sadelik ve nesnelliği ön plana çıkaran bir akımdır. ABC sanatı, minimal sanat gibi tabirlerle de anılır.
diyor Wikipedia. Bazı çevreler tarafından sadecilik şeklinde bir kullanımı da var. 

Şimdi konuya orta sayfadan niye başladık diye sorabilirsiniz. Minimalist yaklaşıma genel çerçeveden baktığımızda aklımıza …

Continue reading »

Another Phishing Vector

Hi,

A fact well known that malicious files can infect by using different methods with Lnk extension files. Call "lnk" scripts from PowerShell and put some files into a zip file as an example. We also know that "lnk" files are being actively used in social engineering attack because we …

Continue reading »

Modern Tarayıcı Güvenliği - Suborigins

Merhabalar,

SOP(Same Origin Policy) kavramıyla ilgili okuma yaparken W3C Websec içeriğinde yeni bir güvenlik yaklaşımı olan Suborigin ile karşılaştım. Suborigin, SOP(Same Origin Policy) mekanızmasına ek olarak güvenlik sağlaması için ortaya konmuş bir özellik ve bu şekilde tek bir kaynak üzerinde birden fazla farklı eklentiyi ayırıp etkileşim sağlayabiliyoruz.

En …

Continue reading »

The Rating of Bug Bounty Programs

Hi Bug Bounty Community,

Some factors to keep in mind that we tried to assess the quality of bug bounty programs. I think, this article will provide insight into improving their new ideas for the companies and the researchers.

For now, it consists of 7 items as follows. Each item …

Continue reading »