00:00 Giriş 08:51 Web uygulaması hakkında beyin fırtınası 12:57 10dk zamanlayıcıyı başlatıp challenge'a avans veren MDI 16:05 Directory traversal denemesi 19:34 Payload'a göre dönen response hakkında 21:30 Zafer 23:26 Challenge hakkında değerlendirme 26:13 XXE hakkında 28:30 xinclude ve XML parser tipi hakkında 31:08 Scanner ile çözmek 33:00 Kutay :') Teşekkür ederiz, İyi akşamlar hocam
Bir yazilimci olarak izliyorum. Gercekten cok eglenceli. Kendime ders cikartiriyorum zafiyeti detayli aciklaman sayesinde. Emegine saglik. Klavyene tas degmesin.
00:00 Ön hazırlıklar 12:10 Challenge başlıyor 13:00 Hayaldi gerçek oldu 18:17 Ümit kesiliyor 19:30 Tarayalım mı? 20:15 Burada XXE zafiyeti var 21:30 Yesss! 25:05 Kutay geçmiş olsun 26:10 Biz bunları gösterdik 28:00 XML include nedir? 31:00 Scannerla kaç dk da çözülürdü
hocam merhaba biliyorum pek yayın yapmıyorsunuz fakat eğitim içeriklerinizin arasına bu tür ctf ler ekleyebilirseniz pratikte bakış açısını yöntemleri tahtada anlatıldığından daha iyi anlayabiliriz eğitim videolarınızda zaten teorik olarak herşeyi anlatıyorsunuz birde bu şekilde uygulama videolarınız olursa eğer çok daha etkili olacağına eminim şimdiden teşekkürler
Muhtemelen yazılımı hazırlayanlar orada bu açığı bilinçli olarak bırakıp test hazırladılar, anlam veremediğim bir açıkmış bu XML olayı incelemek lazım. Bir de yazılımı yapan kişi ID kısmında (int) gelen veriyi integere çevirip diğer tüm parametreleri 1 milisaniyelik bir kontrolle engelleyebilirdi, diğer bir konu açığı halen tam olarak anlayamadım, acaba yazılımı yapanlar XML ile dosya okutma kodu mu yazdılar da bu işlem geçerli oldu ? İşlem PHP koduna yapılan müdahale aracılığıyla web sunucusundan yanıt almak olayı mı ?
olay dahil edilecek xml dosyaninicerigi ile alakali ama challenge ypan öyle br cakallık yapmiski olay sanki main xml prudct id ekseninde geiyor gibi. aslinda bu tur olaylar bu isin olimposu gibi hem ufuk aciyor hem analitik dusunceye farkli perspektifler katiyor
yeni başladım hobi olarak takılıyorum kali linux te. wifi falan kırmaya çalışıyorum ağ içi arp poison falan biliyorum ama bu videodan hiç bişey anlamadım be abi
Bu yüzden backendde her zaman her fieldda type check yapmalısınız. Gerçek hayatta bu senaryolar artık geçersiz. Bunlar 15-20 yıl öncesinin daha kimse adam akıllı yazılım yapamazken var olan problemler. Artık bilgiye erişim çok daha kolay olduğu için doğru yazılımların sayısı çok daha fazla.
00:00 Giriş
08:51 Web uygulaması hakkında beyin fırtınası
12:57 10dk zamanlayıcıyı başlatıp challenge'a avans veren MDI
16:05 Directory traversal denemesi
19:34 Payload'a göre dönen response hakkında
21:30 Zafer
23:26 Challenge hakkında değerlendirme
26:13 XXE hakkında
28:30 xinclude ve XML parser tipi hakkında
31:08 Scanner ile çözmek
33:00 Kutay :')
Teşekkür ederiz, İyi akşamlar hocam
@Süper!Selam, bildiğim kadarıyla discord sunucusu linkleri yayınlarda paylaşılıyor. Yayınları takip edersen denk gelebilirsin.
Bir yazilimci olarak izliyorum. Gercekten cok eglenceli. Kendime ders cikartiriyorum zafiyeti detayli aciklaman sayesinde. Emegine saglik. Klavyene tas degmesin.
00:00 Ön hazırlıklar
12:10 Challenge başlıyor
13:00 Hayaldi gerçek oldu
18:17 Ümit kesiliyor
19:30 Tarayalım mı?
20:15 Burada XXE zafiyeti var
21:30 Yesss!
25:05 Kutay geçmiş olsun
26:10 Biz bunları gösterdik
28:00 XML include nedir?
31:00 Scannerla kaç dk da çözülürdü
Bir hayırsever hangi dakika ne olduğunu yazabilirse üste pinlerim
Mehmet hocam twitter dan dm ye bakar misiniz?
hocam merhaba biliyorum pek yayın yapmıyorsunuz fakat eğitim içeriklerinizin arasına bu tür ctf ler ekleyebilirseniz pratikte bakış açısını yöntemleri tahtada anlatıldığından daha iyi anlayabiliriz eğitim videolarınızda zaten teorik olarak herşeyi anlatıyorsunuz birde bu şekilde uygulama videolarınız olursa eğer çok daha etkili olacağına eminim şimdiden teşekkürler
Çok yakışıklısın Mehmet 😁
Çok heyecanlıydı başa sarıp tekrar izledim 😅 süpersin 👏 bu seriye devam
İzlerken acayip heyecanlandım ya hahhsadhda, kralsın abi
Kurt daha kocamadı Kutay :) Mehmet Dursun İnce hünerini gösterdi yine abim seviliyorsun :)
chat: scanner kullanalım
mdi: eliminen
Videolara devam kral ❤
Avans: rakibe verilen geçici üstünlük >:)
bu adam saf yetenek
Abi şaka maka gerçekten yaşlanmışsın be
ileride bu adam gibi olmak istiyorum wtfff
asssiri iyiydi yayin labi cozunce ayni heyecani yasadim xdd
yazılımla hiç alakam yok. ünide de c derslerini hiç sevmezdim. ama çok zevkliydi izlemek
Muhtemelen yazılımı hazırlayanlar orada bu açığı bilinçli olarak bırakıp test hazırladılar, anlam veremediğim bir açıkmış bu XML olayı incelemek lazım.
Bir de yazılımı yapan kişi ID kısmında (int) gelen veriyi integere çevirip diğer tüm parametreleri 1 milisaniyelik bir kontrolle engelleyebilirdi, diğer bir konu açığı halen tam olarak anlayamadım, acaba yazılımı yapanlar XML ile dosya okutma kodu mu yazdılar da bu işlem geçerli oldu ?
İşlem PHP koduna yapılan müdahale aracılığıyla web sunucusundan yanıt almak olayı mı ?
olabilir, api yazarsa sağlıklı olabilir.
Buyuk adamsin abi helal olsun
Helal olsun walla.
olay dahil edilecek xml dosyaninicerigi ile alakali ama challenge ypan öyle br cakallık yapmiski olay sanki main xml prudct id ekseninde geiyor gibi. aslinda bu tur olaylar bu isin olimposu gibi hem ufuk aciyor hem analitik dusunceye farkli perspektifler katiyor
Respect...
yeni başladım hobi olarak takılıyorum kali linux te. wifi falan kırmaya çalışıyorum ağ içi arp poison falan biliyorum ama bu videodan hiç bişey anlamadım be abi
altyazıları kapalı unutmuşum 🙃
kisacasi xml bilişim ve kodlama dunyasinin fotonudur :)
yangin tupu cekilisi kazanmistim yollamadin kral ayip ettin
Abi senin beyaz klavyenin markası ne
Bu yüzden backendde her zaman her fieldda type check yapmalısınız. Gerçek hayatta bu senaryolar artık geçersiz. Bunlar 15-20 yıl öncesinin daha kimse adam akıllı yazılım yapamazken var olan problemler. Artık bilgiye erişim çok daha kolay olduğu için doğru yazılımların sayısı çok daha fazla.
lksamdlkasmdlkas 15-20 sene iyimiş :DDDDDD
Mehmet luis reyizi koymamış hahahahahaha
10:03
12:18
hocam sadece gerekli şeyleri vurgulasanız daha akıcı olur her şeye değiniyorsunuz
helalll
Discord davet Linki yollarmısınız