Web framework’leri yani web uygulama çatıları günümüz web teknolojisinin en önemli yapı taşlarından bir tanesidir. Yapısında bir çok farklı özelliği barındıran ve web uygulamalarının temeli olan framework'lerin güvenliği son derece önem teşkil eder. Drupal, WordPress, Symfony veya CodeIgniter gibi çok kullanılan açık kaynak sistemlerde tespit edilecek bir güvenlik açığı birbirinden bağımsız onlarca projeyi, kurumu ve sistemi etki alanı içine alır. Bu sunum içeriğinde popüler frameworklerde oluşan zafiyetlerin detaylı analizi ve en sık karşılaşılan yanlış kullanımlar uygulamalı örnekler ile anlatılacaktır.
2. WHO AM I
Ince, Mehmet Dursun
Senior Penetration Tester, Co-founder / Invictus Europe
Ordinarily;
● Hack the app.
● Make it secure.
● Hack it again.
● Train the developers, help them to build secure apps.
Blogger
http://www.mehmetince.net
@mdisec
16. Object
Serialization
serialize() returns a string
containing a byte-stream
representation of any
value that can be stored in
PHP.
Using serialize to save an
object will save all
variables in an object. The
methods in an object will
not be saved, only the
name of the class.
17. Object
Deserialization
unserialize() can use this
string to recreate the
original variable values.
If the variable being
unserialized is an object,
after successfully
reconstructing the object
PHP will automatically
attempt to call the
__wakeup() member
function (if it exists).
19. Proof of
Concept
First picture shows Object.
php that contains all the
classes.
Second picture shows
Index.php which is the
beginning of our poc
application.