Merhabalar, bu yazımda gerçekleştirdiğim sızma testinde Base64 Encode ile avatar yükleme fonksiyonunda bulduğum Stored XSS zafiyetinin exploit (sömürme) adımlarını kısaca anlatmaya çalışacağım. Web uygulaması içerisinde bulunan avatar yükleme fonksiyonunu test ederken sunucuya giden istekleri incelediğimde, avatar olarak yüklemek istenilen fotoğraf dosyasının Base64 ile encode edildikten sonra web sunucusuna iletildiğini ve web sunucusunun yüklenen bu fotoğrafı... Continue Reading →