Kara Günlerden #2Temmuz !

2 Temmuz 1993 Sivas Madımak Otel Katliamı - Olan Bitenler ve İşin Aslı

Kıymetli Dostlar,

Mümkün olduğunca bu gibi paylaşımlar yapmaktan uzak duran, bir kalıba sokulmak istemeyen ben, bugün bu duygu ve düşüncelerimi dile getireceğim ki bir nebze de olsa rahatlayayım. Sınıflarıyla, kalıplarıyla, dileyen dilediği gibi düşlesin..

 

Bazı acılar vardır ki bizzat yaşamasanız da canınızı yakar, hatta bazı acılar vardır ki düşüncesi bile çılgınlıktır. Mesela faili meçhule giden Gaffar Okkan ya da Uğur Mumcu gibi ? veyahut Güneydoğu ‘da şehit olan öğretmenlerimiz gibi ya da Akdeniz’de kıyıya vuran mülteci çocuk gibi ? trajikomedi bir şekilde, yeni musibet olan zehirlenmeler ve daha nicesi gibi! ? İşte bunlardan birisi de 2 Temmuz 1993’tür. Acının dili, dini, ırkı, mezhebi olmaz arkadaşlar. Acı, acıdır. Hepsi bu, eğer insansanız..

Continue reading

CentOS ClamAV Antivirus – Sunucu Otomatik Virüs Tarayıcısı

CentOS ClamAV Antivirus - Sunucu Otomatik Virüs Tarayıcısı

Bir gün sunucunuz için ücretsiz bir antivirüse ihtiyaç duyarsanız ClamAV test için denemeniz gerekenlerden birisi olabilir. Güncel virüs veritabanından arama yaparak sistemdeki zararlı yazılımları tespit eder ve dilerseniz tespit ettiklerini otomatik siler. CentOS için Clamav nasıl kurulur ve nasıl konfigüre edilir yalın bir yaklaşımla bu iki soruya yanıt vermeye çalışacağız.

Continue reading

Nazım Hikmet Ran Bir Hazin Hürriyet Şiiri

Nazım Hikmet Ran Bir Hazin Hürriyet Şiiri

Satarsın gözlerinin dikkatini, ellerinin nurunu, bir lokma bile tatmadan
yoğurursun
bütün nimetlerin hamurunu.
Büyük hürriyetinle çalışırsın el kapısında, ananı ağlatanı
Karun etmek hürriyetiyle hürsün!

Sen doğar doğmaz dikilirler tepene,
işler ömrün boyunca durup dinlenmeden yalan
değirmenleri,
büyük hürriyetinle parmağın şakağında düşünürsün vicdan
hürriyetiyle hürsün! Continue reading

Biraz #Esperanto ? :)

Merhabalar!

Biraz Esperato alır mısınız? 🙂

Esperanto” denilince ilk defa duyan kimilerine sanki bir yer adı gibi geliyor, (bende de böyle olmuştu:) kimilerine ise Italian bir kelime gibi gelirken, bir kısmına da Spanish bir kelime gibi gelen bu isim, aslında yapay ve global bir dilin adıdır. 1887 yılında, Ludwik Lejzer Zamenhof tarafından üretilmiş olan bu yapay dilin amacı, farklı dilleri kullanan insanların iletişimini öğrenilmesi kolay olan bu dil ile kolaylaştırmaktır. Üstelik şu an dünya genelinde en çok tanınan ve kullanılan bir yapay dildir. Dünya genelinde ana dil olarak 2.000.000 ‘a yakın bir kullanıcısı olduğundan bahsediliyor.

Continue reading

Haydi #Git Kullanalım!

Arkadaşlar,

Bir yazılımcıysanız ve Git kullanmıyorsanız belki size kız verirler ama muhtemelen iş vermezler! 🙂 (Şimdi bana abartıyorsun, ne alakası var canım? veyahut o kadar da değil! demeyin, çünkü onlar derler.. derler..🙂

Peki neden bu kadar önemli bu Git?” derseniz, şöyle bir bakalım ama öncesinde kısaca Sürüm Kontrolüne ve Yazılımlarına değinelim:

Versiyon/sürüm kontrolü, en yalın hali ile proje kaynak kodunun yönetimidir, diyebiliriz. Özetle, sürüm kontrolünün faydası; kodların güvenli bir şekilde saklanması, birden fazla kişi ile aynı zamanda çalışabilme olanağı (çakışmaları önleme), versiyonların kontrolü, kolay bir şekilde kod paylaşımı ve revizyon diyebiliriz. Projelerde versiyon takibinin önemi tartışılmaz, neticede yazılımcı da bir insan ve proje versiyonlarını kaydederken, korurken veyahut x versiyona geri dönmek istediğinde bunu sağlayamayabilir ya da bunlardan birisinde hataya düşebilir. İşte bu noktada versiyon kontrol yazılımları devreye girer. Tabi, aynı zamanda yapılan işlerin takibi ve aşamaları da göz önüne serilmiş oluyor.

Sürüm Kontrol Sistemleri:

Peki versiyon kontrol yazılımları, denildiğinde aklımıza neler gelir? CSV (merkezi model), SVN (merkezi model) ve GIT (dağınık model). SVN, CSV ‘yi örnek alarak üretilmiştir ve tabi ki amacı, CSV ‘den daha iyi bir versiyon kontrol yazılımı olmaktır: Continue reading

Session Fixation (Oturum Sabitleme), Hijacking Saldırısı Nedir? [Örnekli]

Web güvenliğindeki popüler konulardan olan session fixation, session hijacking saldırısına örneklerle bir bakalım.

Meali oturum sabitleme olan session fixation nedir ?

Bir uygulamaya login olunduktan sonra id yenilenmiyorsa session fixation zafiyetinden bahsedilir. Oturum sabitleme açığından faydalanarak bir saldırgan kullanıcının/kurbanın oturumunu çalabilir, bu eyleme de session hijacking denir.

Oturum sabitleme saldırısında, saldırgan bildiği bir id ile, kullanıcının oturum açma işlemini gerçekleştirmeden önce kullanmasını sağlar ve bu sayede kurbanın, saldırgan tarafından gönderilen url ile oturuma başlamasıyla saldırgan kullanıcının oturumunu ele geçirmiş olur.

Session Hijacking için kullanılan dört ana method vardır:

  1. Session Fixation

    Aşağıda detaylıca göreceğiz.

  2. Session Sniffing

    Saldırgan bir dinleyici/izleyici yöntemiyle (örn: Wireshark ile), session id ‘ye ulaşıyor olması, bkz:


  3. XSS (Cross-Site Scripting)

    Saldırgan, zararlı JavaScript kodu ile kurbana hazırlanmış bir bağlantı gönderirse, kurban bağlantıyı tıkladığında JavaScript çalışacak ve saldırgan tarafından verilen talimatları tamamlayacaktır. Örnek olması açısından session id ekrana bastırılmıştır, tabi ki saldırgana da gönderilebilir.


    <SCRIPT>alert(document.cookie);</SCRIPT>

     

  4. Malware (Kötü Amaçlı / İstenmeyen Yazılımlar)

    Bir kullanıcının bilgisi olmadan tarayıcı cookie dosyalarını çalmak için browser hijacking yöntemini kullanabilir.

 

SESSION FIXATION

Şimdi adım adım bir bakalım

  1. Saldırgan web sunucusunda oturum açar ,
  2. Sunucu bir SID / oturum id ‘si tanımlar,
  3. Bu session ID ile saldırganın kurbana bir link göndermesi gerekir,
  4. Kurbanın gelen bu bağlantıya tıklaması ve sunucuyla bağ kurması gerekir,
  5. Sunucu oturum işleminin önceden zaten kurulduğunu görür ve yeni bir oturum kimliği oluşturma gereksinimi duymaz. (işte zafiyet burada)
  6. Böylece saldırgan oturuma erişmiş olur.

 

Bu saldırıyı en iyi anlatan görsel diyebiliriz sanırım.

URL tabanlı basit ve anlaşılır bir görsel.

 

Session Fixation Örnek Video

Continue reading