Path Traversal yoxsa LFİ?
Salam hər kəsə,Bu mövzumda çox adamın, əsas da bu mövzuları təzə öyrənən şəxslərin qarışdırdığı, məntiq olaraq oxşar amma bir-birindən fərqli olan iki güvənlik açığı haqqında qısa olaraq yazmağa çalışacam.Path Traversal və LFİ. İlk olaraq hansının adını eşitməyimizdən asılı olmayaraq ağlımıza gələn yəqin ki ../../../../../etc/passwd payloadı olur.Bəs LFİ və Path Traversal sadəcə /etc/passwd faylındanmı ibarətdir? təbii ki xeyr. Düzdür ki hər iki güvənlik açığı vasitəsilə serverdə müəyyən faylları oxuya bilirik,lakin LFİ-də edə biləcəklərimiz daha da dərinləşir.Çünki Path Traversalda sadəcə faylın kontentini oxuya bildiyimiz halda,LFİ-da bu sadəcə fayl oxumaqla bitmir,adından da göründüyü kimi biz faylı oxumuruq sadəcə funksiyanın olduğu...
SSTİ
Salamlar hər kəsə,bu blogda ən sevdiyim güvənlik açığı olan SSTİ güvənlik açığı haqqında məlumat verəcəm,güvənlik açığını sevməyimin səbəbi bu güvənlik açığının detection-un asan olmasıdı,SSTİ nədir?Nədən yaranır? Necə qarşısını ala bilərik? kimi sualların cavabını bu postda verməyə çalışacam,biraz uzun yazı olacaq amma ümid edirəm darıxdırıcı olmaz. İlk olaraq əgər SSTİ-dan danışırıqsa ondan əvvəl bilməli olduğumuz bir neçə termin və anlayışlar var ki SSTİ-i anlaya bilək.Bunlardan ən əsası MVC adı verilən architectural patterndi ,MVC Model-View-Controller arxitekturasının abreviaturasıdı,MVC ümumiyyətlə nədir,nə işə yarayır ondan danışaq.MVC-nin əsas məqsədi qısa olaraq desək kod qarışıqlığının qarşısını almaqdı,bunu necə edir, gəlin...