Sahin SOLMAZ - Versatile Web Developer - Cyber Security Enthusiast
Satarsın gözlerinin dikkatini, ellerinin nurunu, bir lokma bile tatmadan
yoğurursun
bütün nimetlerin hamurunu.
Büyük hürriyetinle çalışırsın el kapısında, ananı ağlatanı
Karun etmek hürriyetiyle hürsün!
Sen doğar doğmaz dikilirler tepene,
işler ömrün boyunca durup dinlenmeden yalan
değirmenleri,
büyük hürriyetinle parmağın şakağında düşünürsün vicdan
hürriyetiyle hürsün! Continue reading
Merhabalar!
Biraz Esperanto alır mısınız? :)
“Esperanto” denilince ilk defa duyan kimilerine sanki bir yer adı gibi geliyor, (bende de böyle olmuştu:) kimilerine ise Italian bir kelime gibi gelirken, bir kısmına da Spanish bir kelime gibi gelen bu isim, aslında yapay ve global bir dilin adıdır. 1887 yılında, Ludwik Lejzer Zamenhof tarafından üretilmiş olan bu yapay dilin amacı, farklı dilleri kullanan insanların iletişimini öğrenilmesi kolay olan bu dil ile kolaylaştırmaktır. Üstelik şu an dünya genelinde en çok tanınan ve kullanılan bir yapay dildir. Dünya genelinde ana dil olarak 2.000.000 ‘a yakın bir kullanıcısı olduğundan bahsediliyor.
Arkadaşlar,
Bir yazılımcıysanız ve Git kullanmıyorsanız belki size kız verirler ama muhtemelen iş vermezler! :) (Şimdi bana abartıyorsun, ne alakası var canım? veyahut o kadar da değil! demeyin, çünkü onlar derler.. derler..:)
Peki neden bu kadar önemli bu Git?” derseniz, şöyle bir bakalım ama öncesinde kısaca Sürüm Kontrolüne ve Yazılımlarına değinelim:
Versiyon/sürüm kontrolü, en yalın hali ile proje kaynak kodunun yönetimidir, diyebiliriz. Özetle, sürüm kontrolünün faydası; kodların güvenli bir şekilde saklanması, birden fazla kişi ile aynı zamanda çalışabilme olanağı (çakışmaları önleme), versiyonların kontrolü, kolay bir şekilde kod paylaşımı ve revizyon diyebiliriz. Projelerde versiyon takibinin önemi tartışılmaz, neticede yazılımcı da bir insan ve proje versiyonlarını kaydederken, korurken veyahut x versiyona geri dönmek istediğinde bunu sağlayamayabilir ya da bunlardan birisinde hataya düşebilir. İşte bu noktada versiyon kontrol yazılımları devreye girer. Tabi, aynı zamanda yapılan işlerin takibi ve aşamaları da göz önüne serilmiş oluyor.
Sürüm Kontrol Sistemleri:
Peki versiyon kontrol yazılımları, denildiğinde aklımıza neler gelir? CSV (merkezi model), SVN (merkezi model) ve GIT (dağınık model). SVN, CSV ‘yi örnek alarak üretilmiştir ve tabi ki amacı, CSV ‘den daha iyi bir versiyon kontrol yazılımı olmaktır: Continue reading
Bu tarz konulardan genelde kaçınırım ama bu sefer hakketen sinirlerim bozuldu; geçen haftasonu bir Akbank hesabına havale yapmak amacıyla atm ‘ye gidip kartsız işlemler menüsünden gerekli adımları takip ettim. (Akbank müşterisi değilim.) Bildiğiniz üzere, bu gibi işlemlerin, belli bir ücreti oluyor. Continue reading
Web güvenliğindeki popüler konulardan olan session fixation, session hijacking saldırısına örneklerle bir bakalım.
Meali oturum sabitleme olan session fixation nedir ?
Bir uygulamaya login olunduktan sonra id yenilenmiyorsa session fixation zafiyetinden bahsedilir. Oturum sabitleme açığından faydalanarak bir saldırgan kullanıcının/kurbanın oturumunu çalabilir, bu eyleme de session hijacking denir.
Oturum sabitleme saldırısında, saldırgan bildiği bir id ile, kullanıcının oturum açma işlemini gerçekleştirmeden önce kullanmasını sağlar ve bu sayede kurbanın, saldırgan tarafından gönderilen url ile oturuma başlamasıyla saldırgan kullanıcının oturumunu ele geçirmiş olur.
Session Hijacking için kullanılan dört ana method vardır:
Aşağıda detaylıca göreceğiz.
Saldırgan bir dinleyici/izleyici yöntemiyle (örn: Wireshark ile), session id ‘ye ulaşıyor olması, bkz:
Saldırgan, zararlı JavaScript kodu ile kurbana hazırlanmış bir bağlantı gönderirse, kurban bağlantıyı tıkladığında JavaScript çalışacak ve saldırgan tarafından verilen talimatları tamamlayacaktır. Örnek olması açısından session id ekrana bastırılmıştır, tabi ki saldırgana da gönderilebilir.
<SCRIPT>alert(document.cookie);</SCRIPT>
Bir kullanıcının bilgisi olmadan tarayıcı cookie dosyalarını çalmak için browser hijacking yöntemini kullanabilir.
Şimdi adım adım bir bakalım
Bu saldırıyı en iyi anlatan görsel diyebiliriz sanırım.
URL tabanlı basit ve anlaşılır bir görsel.
Hukuk normları, hukuk devletlerinin vazgeçilmez unsurlarından birisidir. Hans Kelsen tarafından öngörülen Normlar Hiyerarşisi ‘ne bir göz atalım.
Öncelikle Normlar Hiyetarşisi’nin büyükten küçüğe sıralanışı şu şekildedir:
ANAYASA > KANUN > KHK > TÜZÜK > YÖNETMELİK > Diğerleri (yönerge, tebliğ, genelge, talimat).
İlgili başlıklar aşağıda piramit sıra düzenine göre paylaşılacaktır.
Anayasa nedir? diyerek başlayalım.
Anayasa, aslında bir sözleşmedir. Egemenlik haklarının kullanım yetkilerinin içeriğindeki haliyle devlete verildiğini belirten toplumsal sözleşmelerdir. Normal Hiyerarşisi’ne göre de diğer bütün hukuki kurallardan üstündür, hiçbir kanun, kişi ya da yapı anayasaya aykırı olamaz.
( Ne güzel değil mi? )
Dünyanın ilk anayasası, 1787 tarihli ABD anayasasıdır.Türkiye’de 1924 Anayasası ”Devletin rejimi Cumhuriyettir.” Maddesinin değiştirilemeyeceğini belirtmiştir.
Merhabalar,
Şu aralar aktif olarak güvenlikle ilgililenmeye başladım ve düzensiz olarak (:)) sizlerle güvenlik kategorisi altında bazı makaleler paylaşacağım. Bugün SYN, SYN saldırısı nedir, SYN ve ACK paketi nedir, SYN saldırısı nasıl tespit edilir, bu saldırıda kullanılan araçlar nelerdir, SYN saldırısı nasıl engellenir? başlıklarıyla başlayalım. (Kısa ve öz bir makale olmasına dikkat edeceğim.)
SYN nedir?
TCP ‘ye özgü bir özelliktir ve TCP oturumlarını başlatmak için kullanılır.
SYN Saldırısı Nedir ?
SYN saldırısı (SYN flood) kısaca, bir hizmet engelleme saldırısıdır. Peki çalışma mantığı nedir? Art arda istekler göndererek (SYN requests) sunucu kaynaklarını tüketmeyi amaçlar. Bu tanım size bir yapıyı anımsattı mı ? SYN saldırısı aslında bir DoS / DDoS atak çeşitidir. DoS atak nedir ? Denial of Service ‘ten gelir yani yukarda da bahsettiğimiz gibi servisin engellenmesidir. Gündelik hayattan örnekleyerek gitmek gerekirse, bir bankaya gittiğinizi düşünün ve burada 5 gişe ve 30-40 kişilik bir bekleme salonu kapasitesi olduğunu varsayalım. İçeriye bir anda 200 kişinin girmeye çalıştığını ve aslında bu kişilerin gerçek birer müşteri olmadığını ve meşgul etmek için gittiğini düşünün aynı zamanda ya da sonrasında gelen gerçek müşteriler ise gişe görevlilerinden hizmet alamamış ve böylece hizmet engellenmiş olacak.
Ayrıca syn ataklarının bir DoS saldırı çeşiti olduğunu söylemiştik (en sık kullanılanı diyebiliriz) peki bunların arasındaki bağlantı nasıldır derseniz? DoS saldırısı syn paketleri ile yapılırsa bu syn atak olur.
Merhabalar,
Epeydir bir şeyler karalama fırsatım olmamıştı, şu sıralar cep telefonlarımıza gelen sms’lerin / mesajların sonlarındaki mesaj kodlarının (B001, B002, B003, B016) merak konusu ve halkın genelinde hala bir soru işareti olduğu için kısaca bunlardan bahsetmek istedim.
Reklam amaçlı sürekli gelen sms ‘lerin verdiği rahatsızlık neticesinde geçtiğimiz zamanlarda BTK bu konuya ilgi göstermişti ve izinsiz gönderilen sms’lerfin suç teşkil edildiği duyurulmuştu. Peki bu sms ‘lerin sonlarındaki kodlarla ne ilgisi var bunun ? BTK kısa bir süre önce, planladığı bir hizmeti hayata geçirdi ve artık kurumlardan gelen SMS ‘lerin sonunda bazı kodlar yerleştirme kararı aldı.
BU UYGULAMA NE İŞE YARAYACAK?
Gün olur, alır başımı giderim,
Denizden yeni çıkmış ağların kokusunda.
Şu ada senin, bu ada benim,
Yelkovan kuşlarının peşi sıra.
Dünyalar vardır, düşünemezsiniz;
Çiçekler gürültüyle açar;
Gürültüyle çıkar duman topraktan.
Hele martılar, hele martılar,
Her bir tüylerinde ayrı telaş!…
Gün olur, başıma kadar mavi;
Gün olur başıma kadar güneş;
Gün olur, deli gibi…
Geçen günlerde kıymetli bir arkadaşımın armağanı olan bu güzel şiiri ben de sizlerle paylaşmak istedim. Orhan Veli Kanık ‘ın edebiyatımıza olan katkısına ve edebiyatımızdaki yerine söylenecek söz bulmak çok güç. Hakkındaki bir yorumu paylaşmam yeterli olur diye düşünmekteyim, onun için dilegelen söylemlerden birisi, “Türk şiirine kasket giydiren şair” ‘dir. Ayrıca 36 yaşında ölmesi de edebiyatımız için büyük kayıp olmuştur.
Şiirle kalın..
Friedrich Nietzsche Salome Şiiri – Lou Andreas-Salomé’ye Mektup
Lou Andreas-Salomé
Öyle bir hayat yaşıyorum ki ,
Cenneti de gördüm , cehennemi de
Öyle bir aşk yaşadım ki
Tutkuyu da gördüm, pes etmeyi de.
Bazıları seyrederken hayatı en önden,
Kendime bir sahne buldum oynadım.
Öyle bir rol vermişler ki ,
Okudum okudum anlamadım.
Kendi kendime konuştum bazen evimde,
Hem kızdım hem güldüm halime,
Sonra dedim ki “söz ver kendine”
Denizleri seviyorsan, dalgaları da seveceksin,
Sevilmek istiyorsan, önce sevmeyi bileceksin,
Uçmayı seviyorsan, düşmeyi de bileceksin.
Korkarak yaşıyorsan, yalnızca hayatı seyredersin.
Öyle bir hayat yaşadım ki ,
Son yolculukları erken tanıdım
Öyle çok değerliymiş ki zaman,
Hep acele etmem bundan, anladım…
demiş,
Friedrich Nietzsche