Buffer overflow`larin ortaya cikma tarihi 1970`ler. Ilk public kullanimi 1980`ler (Morris Worm). Kendisiyle ilgili dokumanlar ve kodlar Internet`te 1990`dan beri yayinlaniyor. 2001 senesindeyiz ve hala bu konuda Turkce dokuman YOK.
Devamını oku »
XSS (Cross Site Scripting ) hakkıdna bir makale.
Devamını oku »
ASP Sql Enjeksiyon a geçmeden önce bir kaç temel kavrama bakalim;
File Inclusion açıklarından korunmak hakkında ufak bir püf noktası…
File Inclusion açıklarından yararlanarak sisteme upload edilen listpatchlerden korunmak için aÅŸağıdaki yolu izleyebilirsiniz…
Devamını oku »
Son zamanlarda “RFI” (Remote File Include) tarzı yöntemlerle birçok hack olayı yaÅŸanıyor birçok kiÅŸi bunların önlemini almakta çaresiz kalıyor ve bu yüzden gerek itibarlarından gerekse sitelerinden oluyorlar. “RFI” açıklarını engelleyemeyenler için bir döküman yazmaya karar verdim. Bu sayede “RFI” açığınız olsa bile en az zararla hatta “0″ zararla nasıl kurtulacağınızı anlatacağım. Bu ayarlar sayesinde hem güvenliÄŸinizi hem de performansınızı artırmış olacaksınız.
Son zamanlardaki browser exploit’lerinde dikkat çeken ÅŸeylerden biri gizlemek için fazla uÄŸraşılmış olması. Bunun sebebi tabiki AV veya IDS’lerin tespitinden kurtulmak.
Anti Virüs endüstrisi gizlenen exploit’leri tespit için geliÅŸtirmeler yapınca, saldırganlar da kendisini her seferinde deÄŸiÅŸik ÅŸekilde gizleyen exploit’ler yaratmaya yöneldi. Bu konuyu daha önce dinamik Javascript gizleme konusunda anlatmıştım - bir istemci exploit içeren web sayfasında her istek yapışında, sunucu tarafındaki PHP script’i rastgele deÄŸiÅŸken isimleri seçiyordu, ve bu sayede meÅŸhur arguments.callee() metodunu kullanan fonksiyon gövdesi her seferinde deÄŸiÅŸiyordu.
Profesyonel ve Korsan Yazılımlar
Türkiye şartları ele alındığında, pek çok kullanıcı korsan yazılım kullanmanın suç olduğunu bildiği halde çeşitli nedenlerle bu yazılımları yasal yollardan elde etmemektedir. Yazılım ücretlerini pahalı bulmanın yanında, bu iş için nasıl bir emek sarf edildiğini bilmemekte bunun nedenlerinden biri olabilmektedir.
Profesyonel ve Korsan Yazılımlar
Türkiye şartları ele alındığında, pek çok kullanıcı korsan yazılım kullanmanın suç olduğunu bildiği halde çeşitli nedenlerle bu yazılımları yasal yollardan elde etmemektedir. Yazılım ücretlerini pahalı bulmanın yanında, bu iş için nasıl bir emek sarf edildiğini bilmemekte bunun nedenlerinden biri olabilmektedir.
.NET mimarisinin en önemli avantajlarından biri, ILDASM (intermediate language disassembler) ile edinebileceğimiz pek çok faydalı bilgiyi barındıran assembly’lerdir. Bu bizim için bir avantaj olsa da, binary dosyalarınıza ulaşan biri, assembly’lerdeki bilgileri kullanarak orijinal kodlarınıza (neredeyse tamamına) ulaşabilir. Bu noktada reverse-engineering işlemlerinin önüne geçmek için, kaynak kodu reverse engineering ile okunduğunda anlamsız olarak görüntüleyen obfuscation metodu geliştirildi. Bu makalede, uygulamalarımızın kodlarını, reverse-engineering’e karşı korumak için kullanabileceğimiz etkili bir metod olan obfuscating’i ve .NET ortamında uygulanmasını ele alıyor olacağız.
Merhaba ArkadaÅŸlar…
Bu dökümanda kod güvenliğini ele alacağız. sonu .NET ile biten Programlama dillerinde Kod güvenliği.
Kodlarını Koruması için Eminim Herkesin Farklı Yöntemleri Vardır Benim Anlattacağım Bu Yöntemlerden sadece birisi.Çalışmalarınızın Boşa gitmemesi için bu veya Buna benzer Önlemleri alarak kodlarınızı güvende tutmanız her zaman iyi olacaktır.
Neden Uygulama Alanları?Uygulama alanı tek işlem(process) içerisinde birden fazla assembly i çalıştırabilen mantıksal alanlardır. Bu işlev sayesinde içerisinde çalıştırdığı uygulamalara bellekten başka bir assembly tarafından direkt erişimi engellemiş olurlar böylelikle içerisinde bulundurdukları uygulamaları bir bakıma izole etmiş olurlar.
Bir sonraki kayıda geçme SQL Injectionlardaki en kilit noktalardan biridir.
SQL Injection web uygulamalarında ki en ciddi açıkların başında gelir. Özellikle frameworkler ve ORM (Object Relational Mapping) gibi ekstra veritabanı katmanlarının popülerleşmesi ile eskisine göre bugünlerde biraz daha az görülmektedir ama emin olun hala heryerdeler!
Web Sitesi Ve CGI Uygulamalarinin Güvenligi Çok karsilasilan bir durum: sitenizi gelistirirken, veritabanlarindan bilgi alma, onlara yazma gibi gereksinimleriniz dogdu. Bunun için de CGI uygulamalarinizi yazdiniz. Ve bir gün Web sunucusuna baglanmaya çalistiginizda makineye birilerinin girdigini, “kötü birseyler” yaptigini farkettiniz. Bu bir senaryodan çok, sikça karsilasilan bir durumdur.
Kullanıcıdan alınan bilgi olduğu gibi veritabanına kaydediliyorsa ve aynı şekilde veritabanındanda istemciye gönderiliyorsa kötü niyetli kodların istemci tarafından çalıştırılması muhtemeldir.
Örneğin bir ziyaretçi defteri doldururken mesaj kısmına
<script> location.href= ‘http://www.google.com’;</script>
Gibi bir bilgi girilirse ve herhangi bir kontrol olmadan bu siteyi ziyaret eden kullanıcılara bu bilgi gönderilirse, ziyaretçiler karşılarında sizin sitenizi değil, Google’ı göreceklerdir.
Devamını oku »
