zangief - 27.01.2007

bu züriye denen arkadas kendisi birseyler biliyor veya öyle görünüyor bu isler terimle falan olmaz icraat gerekir , fakat herkesin birseyler ögrenecegi bir makalenin yazarini elestirerek projenin aksamasini istiyor galiba neden acaba(!) .. yazisinin artniyetsiz yazilmis bir elestiri olmadigi apaçik . ama bu tip kisiler her zaman çikar önemli olan onlari dikkate almamaktir galiba

yLmZ - 21.01.2007

tebrik ederim zuriye kardis,,
ne kadar çok sey biliyosun böyle =)

-------

mavituna bey çevremdeki herkes sizden çok iyi bahsediyor ve genelde giriyorum,, sizinle tanismak isterim,, bilgi sahibi olmak erdemdir ve bunu açiklamak ise baska bir üstünlüktür..

Insanlara biseyler anlatmak çok zordur ama en kolay yolu ve en güzel yolu kullanarak anlatmissiniz =) Tesekkür ederm..

Yns - 20.01.2007

Gerçekten oldukça güzel bir dökümantasyon projesi olur, merakla bekliyoruz yazilanlari..

Demods - 18.01.2007

Selamlar,

Bu konu bence internet uzerinde en cok onem gosterilmesi gereken konu, ve o yuzden de bu konuyla ilgili ne yazar cizerseniz farketmez, hepsi kabulum. Yeter ki ayrintili ve kaliteli kaynak olsun. Zaten bu sitedeki her makale gibi cok guzel olacaklarini biliyorum. Insallah en kisa zamanda makaleleri sitenizde gorup okuma sansimiz olur da biz de kendi bilgisizligimizi ve aciklarimizi giderebiliriz.

Tesekkurler...

kuen - 17.01.2007

Ben tartismalar hakkinda yorum yapmayacagimda, simdi burdaki terimlerin çoguna uzak oldugumu anladim.

Tek söyleyecegim; emege saygi gösterelim, bir sey yapilmaya çalisiliyorsa destek olalim ama adabiyla..

Anlatilmaya çalisilan tüm konularda kendimi gelistirmek istiyorum ve yazilarini merakla bekliyorum ferruh.

Saldirgan tavirlariyla boy gösteren arkadasimizdanda bekliyorum)

alper_joy@hotmail.com - 16.01.2007

Bu Varol arkadasima kanim isindi birden Bir de para mevzusunu kapatsa)

Varol - 16.01.2007

Zebani - Kuyu fikrasi hayat bulmus burada gerçekten hayretler içerisindeyim, Bir Türk kuyudan çikmaya çalisirken digeri asagi çekiyor evet bizim kuyumuzun basinda hiç bekçi yok. Sizi yazmaktan sogutmuslar sanirim sizde baskalari yazmasin fikrindesiniz.

Gelip burada sov yapmanizin bildiklerinizi veya saçma sapan anlamdas terimlerin diger çesidinide bildiginizi ispatlamanin manasi tek kelimeyle birsey yaristirmaktir.

Ingilizce bildiginizi insanlarin inglizce ögrenmelerini istemenizden, copy paste yapmadiginizi insanlarin c/p yapmamalari gerektigini söylemenizden, güvenlik bilginiz olmasini anlamdas kelimeleri kullanmanizdan, ve ruhsal bir probleminiz oldugunu buraya saldirgan bir sekilde yazi yazmanizdan gayet net bir sekilde anliyoruz.

Vecihi Kabasakal - 16.01.2007

çince fransizce portekizce türkçe ve rusçeda ögrenmeniz gerekiyor iyi çalismalar kolay gelsin arkadaslar

Selçuk Hoca - 16.01.2007

@Zuriye Hanim/Bey belli ki bir seyler biliyorsunuz Ama ne söyledigimiz kadar nasil söyledigimiz de önemli sanirim. Biz sizin kadar ingilizce, programcilik vs. okumadik ama biraz Seyh Galip bilirligimiz vardir ve üstad der ki:

Zannetme ki söyle böyle bir söz
Gel sen dahi söyle böyle bir söz.

Ferruh Mavituna - 16.01.2007

Eval ile passthru yu ayni yere koymakta yanlis cunku ayni sey degil. Madem ITsec te calisiyorsunuz o zaman bir cok acik icin 20 terim oldugunu da bilirsiniz ve bunun bir standardi olmadigini bilirsiniz (henuz). Ancak yapilmaya calisildigini da. Bugun XSS e bile 3. level remote file inclusion diyenler var. O zaman bana CSRF nedir Session Riding kullansana da demeniz gerekiyor.

Dolayisiyla terim muhabbeti yapmaya erek yok, burada yapilacak en sacma hareketlerden biri olur.

Gene de yukaridaki mesaja bakinca haklisiniz remote code execution daha genel bir terim.

UNION için benim için oldukça büyük bir olay demissiniz. MySQL 3.23 ve alt sürümlerde UNION destegi yoktur daha degisik subquerylerle veri çalma yapilabilir ki bu bütün sürümlerde vardir. UNION direk olarak birlesik kelimesinden aklima gelmelidir ve önündeki sorgudaki hedefler kadar hedef olmalidir ki bu SELECT sorgusu ise MSSQL ve Access disindaki sistemlerde UNION sadece select sorgularda kullanilabilir ancak bu iki üründede UPDATE INSERT gibi fonksiyonlardada kullanilabilir. UNION bu kadar büyütmeye gerek yok sonuçta hedef eldekilerle yapilacaktir.

Ben bu muhabbeti anladim ama neyse, Anlamadigim su kimse size bunun aksini soylemedi ki, kimse UNION MySQL in eski versiyonlarinda var demedi ya da X yerde Z kullanilamaz demedi. ve dedigim gibi UNION size o kadardir bana bu kadar simdi burada yaw neden UNION ile ilgili bolum yaziyorsun deger mi demenin mantalistesi nedir? Var ki diyecek bir seylerim yaziyorum.

Umarim programci arkadaslarimiz dedigim gibi ingilizcelerini ilerletir c/p programciligini birakir ve kendi yöntemlerini gelistirir.

Bende dahil olmak uzere bir cok insan burada kendini gelistirmek icin duruyor ama siz bunu gercekten umuyor sekilde katkida bulunmuyorsunuz

Unutmayin bu tür hatalar hep eksik ve yanlis kodlamanin ürünüdür ve emin olun açiklari bulan pen-test yapan insanlar sizden çok daha iyi programlama biliyorlar ben size hazir bulunan açiklarla saldiri yapan skiddielerden bahsetmiyorum.

Burada da kimden nasil ve neden bahsettiginizi anlamadim.

Anlatmak istediginiz zaten basit diyorsunuz ki burada terim hatasi var yapmayalim, bende diyorum ki terim hatasi bu sektorun heryeri hatta guvenlik sektorunun heryeri. Bakiniz ilk SQL Injection in dokumante edildigi makaleye, acigin adi SQL Injection degildir. Ama acik ayni acik bu onu az veya cok yapmiyor ya da baska bir sey. Ki donup bakinca fol yok yumurta yok daha demek ki yazinca neler olacak. Yazidaki teknik hatalar her zaman duzeltilmesini isteriz nitekim bu benim onu yanlis bildigime veya yazarken yanlis yazidigima isaret iki durumda da karli cikarim ama bu mesajlarin kendisinin samimi olmadigi zaten bariz.

Belli ki bu islerle ugrasiyorsunuz hatta sektorde calisiyormussunuz, ne guzel. Buyrun teknik olarak hatalarimizi bildirin, biz de duzeltelim seviniriz. Yazilari yayinlayinca da bekleriz ama bunlar teorik, terimsel ya da geyiksel olmasin lutfen, yoksa sadece geyik yapan ama faaliyet gostermeyen insanlar gibi gozukuruz.

XSSShell konusunda tesekkur ederim.

Olayi toplarsam, yanlis anlasilmanizin nedeni basit sekilde uslubunuzdur cunku bu dostca degil dusmanca bir uslup her ne kadar bu sekilde bir dil ile yazilmasa da yukaridaki arkadasin dedigi bu bariz. Bu Turkiye de her zaman olur, ama maalesef hala alisamadim. Cehennemdeki zebani-kuyu fikrasini herkes bilir. Dolayisiyla detaylara takilmayip ana konu hakkinda bir seyler diyecekseniz seviniriz yoksa su an yardimci olmuyorsunuz hatta yardimci veya samimi olma kavramindan cok uzaklardasinizn.

Veya bakin ben bir sey yaptim, anlattim derseniz buyrun ona bizi yonlendirin biz de o kaynaklari kullanalim.

Zuriye Varis - 16.01.2007

Selam,
Dedigim gibi kimseye birsey kanitlamak yada baska birsey için yazmadim eger birsey ögretilmeye çalisilaniyorsa tamamen dogru ve düzgün olarak anlatilmasi daha mantiklidir diye yazdim ancak alper arkadasimiz gibi mesajimi direk negatif olarak okursaniz bu hataya düsersiniz.
Ben sizin mesajinizdaki tek bir cümleden dolayi böyle bir mesaj yazdim onuda mesajinizi çok güzel okursaniz kendiniz görürsünüz.
Halen yanlisiniz var; Eger interpreter kodu compile ederken içinde eval ve benzeri zararli kodlar varsa buna Code Inclusion denmez , zaten Inclusion dahil etmek demektir burada biz include yada require gibi fonksiyonlardan bahsediyoruz ancak eval gibi yada bir passthru gibi (PHP için) fonksiyonlarda code/command execute ediyorsak buna Code Injection denir.Ilgili makaleler SANS,CVE gibi kurumlardan alinabilir bu tür yanlislar FrIRST gibi OSVDB gibi kurumlar tarafindan yapildi CVE direk olarak bu hatalarin baska kurumlarca böyle sanildigini aksine olayin Eval Injection/Code Injection oldugu belirtmistir.Dediniz bu tip açiklar "remote code execution" diye "remote code inclusion" iste yanilgi buradadir.Bunun yöntemleri cidden oldukça fazladir local file inclusiondan apache loglarina veya sisteme upload izni varsa malformed picture dedigimiz zararli kodlara sahip resimler veya daha degisik dosya uzantilariyla lfi yapilabilir.Lütfen bu tür konular karismasin ben kimsenin hatasini bulmaya çalismiyorum.
UNION için benim için oldukça büyük bir olay demissiniz. MySQL 3.23 ve alt sürümlerde UNION destegi yoktur daha degisik subquerylerle veri çalma yapilabilir ki bu bütün sürümlerde vardir. UNION direk olarak birlesik kelimesinden aklima gelmelidir ve önündeki sorgudaki hedefler kadar hedef olmalidir ki bu SELECT sorgusu ise MSSQL ve Access disindaki sistemlerde UNION sadece select sorgularda kullanilabilir ancak bu iki üründede UPDATE INSERT gibi fonksiyonlardada kullanilabilir. UNION bu kadar büyütmeye gerek yok sonuçta hedef eldekilerle yapilacaktir.
Dedigim gibi ben kimsenin yanlisini yüzüne vurmaya çalismiyorum.Bende ITSec. sektöründe çalisiyorum herkesin bilinçlenmesini istiyorum kendiminde bir çok çalismasi oldu ancak Türk insani her zaman en iyi ben bilirim en iyi ben anlarim dedigi için çok kaybediyor bende bu çalismalarimi bitirdim.Sizede yardimci olmaya çalistim dedigim gibi yabanci terimlerle anlatilacaksa ve yabancilarin standartlariyla terimler hassas olmak zorundadir.
Umarim programci arkadaslarimiz dedigim gibi ingilizcelerini ilerletir c/p programciligini birakir ve kendi yöntemlerini gelistirir.
Unutmayin bu tür hatalar hep eksik ve yanlis kodlamanin ürünüdür ve emin olun açiklari bulan pen-test yapan insanlar sizden çok daha iyi programlama biliyorlar ben size hazir bulunan açiklarla saldiri yapan skiddielerden bahsetmiyorum.Ha sizi takdir ediyorum XSS gibi bir olayi sadece cookie çalmak zanneden ve önemseyen insanlarin oldugu bir ülkede XSSShell denilen olayi tanitmaniz gelismesini saglamaniz çok güzel çünkü XSS saldirilariyla bugün virüsler bile yayilmaktadir..
Neyse yanlis anlasilmaktan çok biktim umarim anlatmak istedigim anlasilmistir.
Iyi günler,
Zuriye Varis

alper_joy@hotmail.com - 16.01.2007

Evet.. Yazmayayim yazmayayim dedim ama gene parmaklarima hakim olamadim.. Tam olarak dogru kelimeyi secip secmedigimden emin degilim fakat, bu tür yorum yapan insanlara "illet" oluyorum.. Cünkü yorumun amaci belli degil.. Yardim etmek isteyen, "çorbada benimde tuzum bulunsun" amacinda bir yorum olarak algiladigimizi düsünürsek, yazilarda ki uslup buna ters düsüyor.. Ve gercekten ters giden bir durumun veya hareketin farkindaysaniz, buna burda insanlarin arasinda hava atma gösterisi olarak basvuracaginiza, Ferruh Bey'in mail adresine yazabilirdiniz.. Ha amaç yardim etmek degil, sadece hava atmaksa eger, Ozaman egonuzu tatmin etme gorevimizi yerine getirip" Vaaay.. Zuriye arkadasimiz cok sey biliyooorr, Supersin gercekteeennn" cumleleriyle size destek olabiliriz.. Herneyse.. Saygilar..

Ferruh Mavituna - 15.01.2007

Remote Code Execution ile Remote File Inclusion birbirine karismis bunu gecelim, File Inclusion ayri apayri bir kavramdir,

Bunun karistigini niye düsündügünüzü söylersin yardimci olmaya çalisirim lakin yaziya bakarsanizs "Remote Code Inclusion" denmektedir eval injection tarzindan kasit vardir ve bu tip açiklar "remote code execution" diye "remote code inclusion" diye de geçer. Eger interpreter kodu eval ediyorsa remote code inclusion diye geçer genelde.

Source code disclosure gibi bir açiktan hiç bahsetmemissiniz bile.

Bakiniz orada bir kelime vs. yani burada tüm açik tip ve terimlerini siralamiyoruz.

UNION gibi ufacik bir terim için UNION nedir diye bir makalenin yazilmasi bile yanlis

Sizin için UNION küçüktür benim için büyük.

SQL üzerinden privilege escalation ile authencation bypass ile mi yoksa direk olarak bir yazilima admin haklarimi eklemek istediginizi kastettiniz anlamadim açikcasi , yada admin haklarina sahip kullanicinin verisini çekmekmi çünkü yukarda baska kullanici ile giris yapma demissiniz burada biraz açik olunmasi gerekir.

Veritabanin bizzat içerisindeki kullanicilardan bahsediyorum. Baska bir kullanici ile giris yapma ise uygulama seviyesinde girisi kastediyor.

PHP - Apache mq olayina gelince burdada bir yanilgi söz konusu mq bir PHP ayaridir Apache ile bir alakasi yoktur ve basit olarak asilabilinecek seylerdir

Sevgili dostum bak sen ne güzel asmissin, birak biz de ögreniyoruz iste. Zaten bu konularin hepsi çok basit anlatmaya ne gerek var ama degil mi?

Numerikden kastiniz one char brute force technique mi yada ascii degeri haline getirilmis verilerle injection yapmak mi.

Numerikten kastim numerik alanlarda olusan SQL injectionlardir.

Bence daha ileri seylerden bahsetmelisiniz mesela MSSQL kullanan bir scriptte bulunan bir SQL inj. ile nasil cmdye düsülür nasil korunulur eger command terminale inerse kullanici buradan neler yapar.

Kullanici terminale indikten sonra ne yapsin yapacagini yapmi saka bir yana buradan görüldügü üzere ilerilik konusu tartismaya açik ama yazinin basinda da daha ileri konularin olacagini belirttik zaten.

ve her zaman hata arayan degil de (nitekim hatasiz kul olmaz) katki yapan yorumlar bekleriz.

Saygilar,

Broth3rhood - 15.01.2007

Merhaba öncelikle çalismalarinizda basarilar dilemek istiyorum.Bahsettiginiz Sql injection konusu hakkinda türkçe döküman yok az.Internet'de bununla ilgili dökümanlar yok mu tabii ki var.Örnek Spi Dynamic sadece sql injection konusunda degil bir çok konuda sürekli gelismekte olan bir firma.Fakat herkesin oldugu gibi benimde sikayetim türkçe bir kaynagin olmayisi ! Eger bahsettiginiz projeyi gerçeklestirirseniz inanin çogu insan bu konuda hakkinda bilgi sahibi olacak.Tekrar çalismalarinizda basarilar...

Zuriye Varis - 15.01.2007

Selam,
Iyi güzel hosta bu dediklerinizi anlatirken bile bir çok terim yanlis kullanilmis durumda, Remote Code Execution ile Remote File Inclusion birbirine karismis bunu gecelim, File Inclusion ayri apayri bir kavramdir, Code execution (eval injection , file inclusion) gibi yöntemlerle ve daha degisik bir çok fonksiyon ilede ortaya çikar. Source code disclosure gibi bir açiktan hiç bahsetmemissiniz bile.
UNION gibi ufacik bir terim için UNION nedir diye bir makalenin yazilmasi bile yanlis ayrica UNION adindanda anlasilacagi gibi birlesik demektir SQL diziliminde birlesik sorgular yapilmasini saglar.SQL üzerinden privilege escalation ile authencation bypass ile mi yoksa direk olarak bir yazilima admin haklarimi eklemek istediginizi kastettiniz anlamadim açikcasi , yada admin haklarina sahip kullanicinin verisini çekmekmi çünkü yukarda baska kullanici ile giris yapma demissiniz burada biraz açik olunmasi gerekir.
BENCHMARK kullanarak zaman kontrollü blind sql injection yapmak bence direk olarak blind sql injection içinde olabilir hatta blind sql injectionda direk SQL injection nedir kisminda anlatilabilinir. PHP - Apache mq olayina gelince burdada bir yanilgi söz konusu mq bir PHP ayaridir Apache ile bir alakasi yoktur ve basit olarak asilabilinecek seylerdir.Numerikden kastiniz one char brute force technique mi yada ascii degeri haline getirilmis verilerle injection yapmak mi. Bu konularda açiklama yapmaniz lazimdi sizin gibi birinin iddiali birinin böyle basit hatalar yapmasi komik.
Burada kimseye laf sokmak yada baska bir derdim yok amacim bilginin tamamen taze ve dogru sekilde olarak kullanilmasidir.Bu konular üzerinde çalisanda baya arkadasimiz var ve çokta güzel açiklayici makalelerinin olduguda ortadadir.Kaldi ki kendine biz programcilar diye söz eden yorumcular içinde ingilizce bilmeden nasil programci olduklarini merak ediyorum yabanci bir çok döküman var piyasada , ayrica programci adam düsünebilme yetenegine sahip olmalidir kendi yöntemlerini kendi savunmasi ve kendi mekanizmasini kurmalidir.c/p programcisi çok memlekette sagdan soldan c/p yap programci ol parayi ye sonra ufacik bir sorunda ahkamda kesersin
Diyeceklerim bu kadar dedigim gibi yanlis anlasilmak istemem ama o yazdiklariniz cidden burada anlatmak istediklerinize yakismamis durumda.Bence daha ileri seylerden bahsetmelisiniz mesela MSSQL kullanan bir scriptte bulunan bir SQL inj. ile nasil cmdye düsülür nasil korunulur eger command terminale inerse kullanici buradan neler yapar. RDC aktif hale getirip nasil makineyi tamamen ele geçirir gibi.
Aslinda bunlardan korunmanin en kolay yolu akilli mantikli ve saf kodlar yazmaktan geçer.
Daha anlatilacak çok yöntem oldugunuda unutmamak gerekir.
Saygilar,
Züriye Varis

zee - 15.01.2007

Bence de mükemmel olur, hiç olmazsa dise dokunur ve isinin ehli kisiden ögrenmek daha isabetli olacaktir.

Ferruh Mavituna - 15.01.2007

Açikçasi güvenlik ile iliskili bilgilerin bu sekilde verilmesi biraz karisik bir konu. Genel olarak ben hepsinin paylasimindan yana olsam da etigi tartisilabilir sanirim. Nitekim çok hizli sekilde kötü amaçlar içinde kullanilabilir iyiler için de tabii ki.

Paraya gelince. Açikçasi bahsettigim uzun soluklu proje paraya dayali bir projenin bir bacagiydi ancak proje görüldügü üzere 2 yildir yalan oldugundan bu bilgilerde azten üretildiginden ve ben bunlari zevk ile ürettigimden ve daha fazlasini da üretmej istedigimden, durdugu yerde degerlerini kaydetmemeleri için bunu herkese açmak istedim.

Ek olarak parayi direk kazanirsiniz bir de dolayli yoldan kazanirsiniz, eger bu makaleleri seven arkadaslar benim sitemi tanitirlarsa, sitenin ziyaretçisi çogalirsa, taniyan kisi çogalirsa bunlarin hepsi dolayli yoldan paradir. Ama ana konu para degil faklat kesinlikle ciddi bir faktör. Sonuç itibari ile para kazandiginiz ise daha rahat vakit ayirirsiniz, o iste daha iyi olur.

Buradan gelen yorumlar ve e-maillara tesekkür ederim, gördüm ki gerçekten yogun bir istek var

Özetle çalismalar basladi, yazilari toparliyorum ve siteye koymaya hazirlayirum. Insallah SQL Injection derslerinin ilk bölümü bu hafta yayina girecek.

Varol - 15.01.2007

arkadasimin dedigi sey tam bir bencillik...

kesinlikle öyle

fakat su sözümden asil amacimi anlamissinizdir sanirim. Ben para olayini sadece filtre olarak fikirlendirdim. Para kazanilsin diye degil. Gerçi emegin hakkini almak herkezin hakki o konu içerik sahibini ilgilendirir.

Sunuda mizah olarak eklemek isterimki, su an bu yaziyi yazarken Varol arkadasimi Windows, kendimi ise Linux gibi hissettim..:)

kahretsin yine ben windows tarafindayim bill den ücret istemeliyim win linux flamelerinde gereginden fazla bulundum zamaninda

Ferruh Bey'in amaci para kazanmak olsaydi eger, burda o konuyu acmaz, bizim yorumlarimizi beklemez, direk para kazanmanin yollarini arardi..

:) ilgiyi ölçmek istedigini düsünmüstüm ben.

OkyanuS - 15.01.2007

Ferruh bey diger konularda oldugu gibi bu konudaki çalismalarinizi da sabrsizlikla bekliyoruz. Makelenizden bahsettiginiz kadariyla mukemmel bir dokumantasyon olusturuyorsunuz.
"Makaleler en alt seviyeden basliyor" bu bile insanin heveslenmesini sagliyor. Parça parça karisik makaleler arasinda kaybolmaktansa beklmeyi yeglerim. (2025 e kadar bekmek zor olur ama olsun :-))

kuen - 15.01.2007

sabirsizlikla bekliyorum.