What is Content Security Policy

A relatively new feature in browsers, Content Security Policy is a tool that protects your web application against Cross-Site Scripting (XSS) vulnerabilities. By declaring to the browser the location where scripts and other resources are supposed to come from, the browser knows to block resources coming from anywhere else.

WordPress <= 3.9.2 Stored XSS Zafiyeti Analizi ve Exploit Yöntemi

Wordpress Security

Merhaba

Öncelikle bu blog yazısını daha erken bir tarihte yazmak isterdim ama malesef iş yoğunluğunda vakit bulamadım. Affınıza sığınarak teknik detaylara ve zafiyetin ne kadar kritik olduğuna bakalım.

20 Kasım 2014 tarihinde Klikki isimli güvenlik firması tarafından tespit edilen bu zafiyet, wordpress tarihinde benim gördüğüm en kritik güvenlik açığıdır. Hemen hemen herkes tarafından SQL Injection gibi zafiyetler en kritik güvenlik açıkları olarak adlandırılsa da, konu Stored XSS ise saldırı vektörleri çok farklı noktalara gidebilmekte. Hemen hemen son 1 yıl içerisinde katıldığım bir çok seminerde “Client-Side Security” ve XSS’e dikkat çekmeye çalıştım. Geliştiricilerimizin “Yıl olmuş 2014 hala mı XSS ?” algısından çıkıp, olayın önemine varmaları gerektiğini düşünmekteyim. 

Read more