Hancı Eğitim

Fake mail dilimize “sahte elektronik posta” olarak çevrilmektedir. Kısaca tanımlamak gerekirse, fake mail bir internet kullanıcısının elektronik posta şifresinin, kullanıcı adının veya ICQ numarasının, sanki o kişinin elektronik posta veya ICQ hesabından gönderilmiş gibi görünen bir mail ile çalınmasıdır.

Fake mailin çalışma sisteminin düşünsel kökeni insanların internet teknikleri ile aldatılmasına dayanır. Yapılan şey aslında çok basittir. Kullanıcının elektronik posta veya ICQ hesabından gönderilmiş gibi görünen bir mail kullanıcı tarafından açılır. Karşısında gördüğü sayfa her zaman gördüğü sayfadır.

Bir link sitemize eklenen ayasofya açılsın kampayası dikkatimize çekti. Siteye girip incelediğimizde içinde chat sayfasıda olan bir site ile karşılaştık. Site çok masumene gibi duruyor. Gayesi tamamen ilgi uyandırmak ve ziyaretçi çekmek olan site sahipleri bunun içinde ayasoofya gibi müslümanlar için değerli olan bir eseri yem olarak kullanmaya kalkıyorlardı.

E-imza olarak ise isim meslek ve email bilgileri isteniyor. Peki ne olacak bu imzalar. Siyasilerin seçilmişlerin yapamadıklarını mı yapacaklar sanıyorsunuz. Chat odaları açıp milleti zina yapmaları için aracı olan bu siteler dine millete hizmet edecek mi sanıyorsunuz?

Las Vegas’ta düzenlenen Black Hat konferansının açılış konuşmalarından birisinde güvenlik konusunda tam bir dahi olan Bruce Schneier, güvenlikle ilgili pek çok yargının ve eylemin üzerini kaplayan bulutlara bir ışık tuttu. Schneier’e göre güvenlik yaşam için temel unsurlardan birisi.

İş güvenliğe geldiğinde asıl belirleyici faktör her zaman teknoloji değil, insan aklı da olabilir.

XSS Açıkları Request ile kullanıcıdan alınan verilerin sayfa içinde Yazdırılması ile oluşur. Örneğin QueryString ile alınan sayfa numaraları yada ilgili kaydı gösteren id değişkenleri.

hedefsite/Default.Asp?Page=1 yada
hedefsite/Product.Asp?id=1
hedefsite/Default.Asp?Kategori=Haber gibi.

Örnek XSS Açığı ile Ne yapılabilir :

Yukardaki örnekler gibi açığımızı buluyoruz yada hedef sitede Webservis sayaç kodunun olması yeterli.
Açığımızı bulduktan sonra kullanıcının Cookie'sini JavaScript (document.cookie) ile okuyup istediğimiz bir adresteki veri tabanına kayıt ediyoruz yada kendimize mail atıyoruz.

-------------------------

Dünyanın her tarafında, kullanıcılarına; kredi kartı numaraları, kullanıcı bilgileri gibi gizli kalması gereken bilgilerin, ürünlere ve siparişlere ait verilerin saklandığı uç-arka veri depolarıyla hizmet veren web siteleri bulunmaktadır. Ve genel olarak, web sitelerindeki form aracılığı ile alınan girdi ile veritabanındaki bilgiler filtrelendikten sonra sonucu kullanıcıya gönderen bu tür sistemlerde Yapısal Sorgulama Dili (Structured Query Language - SQL) kullanılmaktadır. Uygulama içerisinde kullanılacak parametre değerleri alınırken kullanılan formun SQL Deyimini yeniden yapılandırabilecek bazı özel karakterlere izin vermesiyle güvenlik problemleri ortaya çıkmaktadır.

Sitenizin ftp sifreni kesinlikle sadece harf veya rakalardan olusan bir sifre
olarak belirlemeyin.örnegin sadece " bilomemo " gibi bir sifre cabuk kirirabiLir
bir niteliktedir ancak " b12eh34n54n46de " kirilmasi daha zor hatta imkansizdir.
Ftp sifrenizi harf ve rakamlardan olusan bir kombinasyondan seciniz.

× Sitenizin guvenligin de en önemli noktalardan biriside hosting firmanizdir." Gece kondu"
diye tabir edilen firmalardan hosting almayiniz.Cunku o hostinfin ele gecirilmesi durumunda