Özgür Yazılım Yaz Kampı 2019 Günlükleri #6

Mehmet İnce, sabah oturumunda XSS context kavramı üzerine konuşarak güne başladı ve dün Hasan Emre Özer ile birlikte yaptığımız XSS pratiklerini teorik bir temel üzerine oturttu. Reflected, Stored, Self ve DOM XSS türlerini somut olaylarla örneklendirdi. HTML, attribute ve URL/URI bağlamlarını derinlemesine anlattı ve Polygot kavramına bir giriş yaptı. Hemen ardından HTML, PHP ve JavaScript kullanarak uygulamalar yapıldı. XSS zafiyetlerinin engellenmesinde arayüz geliştirme tarafında yapılabileceklerle ilgili aklıma takılan sorular vardı. Hepsinin yanıtını net bir şekilde aldığım çok faydalı bir oturumdu. Oturumun en çok aklımda kalan kelimesi “encode”, cümlesi ise “zafiyeti başka yerde değil, oluştuğu yerde çözeceksin.” oldu.

Öğle oturumunda eğlenceli bir XSS oyunu oynadık. Google’ın XSS game sayfası üzerindeki farklı zorluklardaki XSS zafiyetlerini bulmaya çalıştık. Çok başarılı olduğum söylenemez. Dördüncü soruda takılıp kaldım. Sonrasında tüm sorular öğrencilerin katılımıyla sınıfta çözüldü.

Akşam oturumunda ders yapılmadı. TOBB Ekonomi ve Teknoloji Üniversitesi akademisyenlerinden Prof. Dr. Ali Aydın Selçuk, İnternet ve Kriptoloji konulu bir sunum yaptı. Sunuma kampta açılan tüm kursların öğrencileri katıldı. İnternetin dünyada ve Türkiye’deki gelişim sürecinden başlayıp kriptoloji ve sertifikalar konularıyla son bulan keyifli bir sunum oldu. Sonrasındaki soru cevap bölümü de öğrencilerin katılımıyla interaktif şekilde sürdü. Yanlış anlamadıysam eğer kamp bitene kadar bunun gibi iki farklı sunum daha yapılacakmış.

Yarın, kamp süresince verilecek iki aradan ilkinden önceki son ders günü. Bir nevi cuma günü yani. Ara verilecek günlerde ne yapacağıma dair pek bir şey düşünmedim. Hocalardan öğrencilere kadar herkesin defaatle önerdiği bir gözlemeci var. Şu sıralar aklım oraya gidiyor sık sık.