xsuperbug/gist:21d9ed0b1747294d6e62

## gistfile1.txt
Zafiyet Hakkında
================
https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)

Proof of concept
================
Dosya yükleme modülünde uzantı ve içerik kontrolü yapılmadığı için sisteme zararlı içerik yeklenebilmektedir.
(Not : XSS zafiyetinin çalışması için bağlantıda değişiklik yapılmıştır.)

Dosyanın bulunduğu hatalı sayfa:
https://assets.tpo.com/attachments/store/fit/400/160/6acd2d67aa4d15308a238040af8646de23e0e9c2ac5dadb4b4ffcb5937ef/priv.html

XSS zafiyeti içeren bağlantı :
https://assets.tpo.com/attachments/store/6acd2d67aa4d15308a238040af8646de23e0e9c2ac5dadb4b4ffcb5937ef/priv.html


Zaman Çizelgesi
================
24 Temmuz 2015 : Zafiyetin ayrıntıları iletildi.
24 Temmuz 2015 : TPO.com geri dönüş yaptı.
27 Temmuz 2015 :  TPO.com zafiyetin kapandığını bildirdi.
4 Ağustos 2015 :  TPO.com zafiyeti yayınlandı.


================
superbug.co Bilgi Güvenliği Topluluğu
	Zafiyet Hakkında
	================
	https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)

	Proof of concept
	================
	Dosya yükleme modülünde uzantı ve içerik kontrolü yapılmadığı için sisteme zararlı içerik yeklenebilmektedir.
	(Not : XSS zafiyetinin çalışması için bağlantıda değişiklik yapılmıştır.)

	Dosyanın bulunduğu hatalı sayfa:
	https://assets.tpo.com/attachments/store/fit/400/160/6acd2d67aa4d15308a238040af8646de23e0e9c2ac5dadb4b4ffcb5937ef/priv.html

	XSS zafiyeti içeren bağlantı :
	https://assets.tpo.com/attachments/store/6acd2d67aa4d15308a238040af8646de23e0e9c2ac5dadb4b4ffcb5937ef/priv.html



	Zaman Çizelgesi
	================
	24 Temmuz 2015 : Zafiyetin ayrıntıları iletildi.
	24 Temmuz 2015 : TPO.com geri dönüş yaptı.
	27 Temmuz 2015 : TPO.com zafiyetin kapandığını bildirdi.
	4 Ağustos 2015 : TPO.com zafiyeti yayınlandı.



	================
	superbug.co Bilgi Güvenliği Topluluğu