Reffkok Kişisel Blog

Adana Ceyhan Belediyesi Pentest Belediye ve gov tararken rasgeldi şifre yi kıramadım kendileri oluşturmuş sanırım. açığı bildirdim ve kapatıldı kapatıldıgına göre bunu yayınla mamın bi mahsur u yoktur umarım. Açıgın oluştugu link : http://www.ceyhan.bel.tr/haberler?id=3095%27 Sql syntax veya herhangi bi hata göremiyorum diyenler için haberler den birine tıklayın link in sonundaki id ye bi tırnak atın haber bölümü ndeki açıklama yerinde kırık resim linki olucak hata orada suan açık kapatıldı gerçi onu göremezsiniz ama yinede atayım dedim kolay gelsin. kadi                          sifre                             yetki alivre  f4afed1e4c5564ba798bf938891275c6  Adminstrator son kontrol lerimden sonra 4 açık daha buldum onları da bir ekliyeyim açıkları ben tekrar bildirdim onlar kapatana kadar burda gizlerim. 2. XSS XSS i E-belediye sistemi nde buldum ayrı bi ip şeklinde ayarla mışlar onuda bu exploit gibi bişi oldu çünkü e-belediye sistemi ni yapan firma belediye site

sql tararken yine bi emlakçı scriptinin tamamında sql injection açıgı ile karşılaştım bunu bu blogu okuyan kafirlerle paylaşayım dedim buyrun Author:Bavaryalı Abdül Hamid Script:Emlak Script v2. Dork: inurl:?sayfa=emlak_detay&id= inurl:/?sayfa=emlak_ara&durum=kiralik&kategori_id= inurl:?sayfa=ek_sayfa&id= Örnek siteler: herkeseemlak.com.tr erdemleremlak.net dorklar biraz yanlış çıkabilir sitedeki link yapısını kontrol ederek sizde birçok site çıkartabilirsiniz.

bugün bi türk sitelerinde xss ariyayım dedim haber sitelerinden başladım ve bi kaç önemli haber sitesinde yorum ve arama kısmında xss açıgı buldum bunları sizlerle paylaşayım dedim ne kadar siklenmiyecek olsamda bir gün buralar değerlenecek ve arkama dönüp diyeceğim ki vay amına koyayım be nerelerden çevirmişim forumu :) herneyse öncelikle takvim gazetesinden başlayalım takvim gazetesinde yorum kısmında admin onayı gerekiyor o yüzden onu bekleyemedim bende arama kısmına çakdım marque yi admine uyarı mesajı attım yorum kısmında xss açıgı olduğundan adım gibi eminim herneyse takvim gazetesi xss arama motoru xss için tıkla ikincil olarak dünya gazetesinde yorum ve arama motorunda xss açıgı buldum onuda paylaşayım Dünya gazetesi XSS açıgı için tıkla üçüncül olarak haber vaktim diye haber sitesinde yorum ve arama motorunda xss açığı buldum bundada admin onaylı yorumlar admine uyarı gönderdim umarım dikkate alır  HaberVaktim XSS açıgı için tıkla son olarak star gazetesinde xss açıgı buldum o

sql injection rasgele tararken bi rent a car v3 scriptinde sql injection acigina denk geldim bu scripti kullanan diger sitelere goz attim biraz digerlerinde de vardi sql injection cogu kapatmisti acigi ama yine yakalarsaniz digerleri de kapamadan 1-2 k site bulabilirsiniz arti bide bunlarin serverindeki siteleri dusunun herneyse expo gecelim buyrun   Code: Author:SYS666 inurl:rezervasyon.php?id=5 inurl:rezervasyon.php?id= intext:rent a car scipti v3