AttackAPI

AttackAPI javascript ve diğer bağlantılı olduğu istemci (ve sunucu) teknolojileri ile programlanabilr web arayüzleri üzerinden basit ve sezgisel saldırılar düzenlemeye yarıyor. Şuanki versiyonu birçok tarayıcı temelli (Örn:IE, FF, NC) saldırı tekniğini kullanmaya imkan tanıyor.

API kütüphanesinin birbirinden bağımsız bileşenleri şu adreslerden indirilebilir:

Kütüphanenin yeteneklerinin sınandığı tanıtımlar da kısaca şöyle:

NetworkSweeper: Daha önce de benzer bir örneğini verdiğim ip aralığı servis tarayıcısı. Yaptığım denemede ağda çalışan servisler (http) olmasına rağmen tespit edemedi. Bu API’yi başarılı olarak görmüyorum.
http://www.gnucitizen.org/projects/attackapi/build/inf/interfaces/NetworkSweeper.htm

JavascriptShell: Bir tür komut kabuğu içerisinde javascript kodlarının incelenip çalıştırılmasını sağlıyor, javascript’te hata ayıklama işlerinde kullanılabilir. http://www.gnucitizen.org/projects/attackapi/build/inf/interfaces/JavaScriptShell.htm

PortScanner: Basit bir javascript port tarayıcısı daha. Bu yukarıdakinden biraz daha başarılı.
http://www.gnucitizen.org/projects/attackapi/build/inf/interfaces/PortScanner.htm

HistoryDumper: Bu kod normalde yapamaması gereken birşeyi yaparak kullanıcın bir URL adresini daha önceden ziyaret edip etmediğini tespit edebiliyor.
http://www.gnucitizen.org/projects/attackapi/build/inf/interfaces/HistoryDumper.htm

ExtensionScanner: Web developer, Google tool bar ve Greasemonkey gibi tarayıcı eklentilerinin yüklü olup olmadığını tespit edebilen bu API sadece Mozilla tarayıcılarda çalışıyor. Örneğin ziyaret ettiğiniz bir web sayfası greasemonkey veya herhangi bir zayıflık içerek eklentinin yüklü olduğunu testpit ettiğinde sisteme arka kapı yükleyebilir.
http://www.gnucitizen.org/projects/attackapi/build/inf/interfaces/ExtensionScanner.htm

Son olarak dinamik web sitelerinde ençok XSS ve çeşitli Injection açıklarına rastlanıyor. Bu kütühane ve XSS teknikleri kullanılarak daha kompleks saldırılar gerçekleştirmek mümkün olabilir.

Yazan: Tankado

Demographics Prediction

Microsoft adCenter Labs‘ın bu sayfasından istediğiniz web sitesinin ziyaretçilerinin yaş ve cinsiyet dağılımlarını görebiliyorsunuz. MSN arama sitesinin elde ettiği tarayıcı bilgileri sayesinde verilen(sitenin kendisi söylüyor) bu hizmeti herhangi bir kelimeyi aratan kişilerin demografik istatistiklerini görmek için de kullanabiliyorsunuz.

Open Source as Alternative

Açık kaynak kod seven birisi olarak yeni keşfettiğim www.osalt.com sitesini bilmeyenlere tanıtmak istiyorum. Başlıkta da yazdığı gibi Open Source as Alternative kelimelerinin kısaltması olan osalt sitesinde gündelik hayatta kullandığımız ve ücretli kullanım lisanslarına sahip yazılımlara alternatif olabiliecek yazılımlar listeleniyor. Örneğin Windows, visio, photoshop gibi yazılımların yerine ücretsiz olarak kullanabileceğimiz yazılımlar kategorize bir şekilde osalt sitesinde görmek mümkün ve bu liste sıklıkla genişlemeye devam ediyor.

Zeki Türk Kadını

Başlığa bakarak bu yazının ne yazılım ile ne de .NET ile ilgili olmadığını düşünebilirsiniz. Fakat yanılıyorsunuz.

Biz Türk erkekleri genellikle, kadınlarımızın teknolojiye ve bilişime [affınıza sığınarak söylüyorum] kafasının basmadığını düşünürüz. Oysa Türk kadınları, pratik zekası ve hızlı düşünme yeteneği sayesinde bilişimde o kadar başarılı olabilirler ki, emin olun batı toplumları ağzı açık bir şekilde Türk kadınının başarısını seyreder durumuna düşebilir.

Peki neden böyle birşey gerçekleşmiyor? Neden kadınlarımız bırakın bilişimi, iş dünyasında bile başarılı olamıyor?

Belki güleceksiniz ama; bunun sebebi bana göre “televizyon dizileri”. Biz kadınlarımızı tv dizleri ile [yine affınıza sığınarak söylüyorum] mallaştırırken, Çin ve Hindistan gibi ülkeler seri bir şekilde kadın mühendis yetiştiriyor. Oysa Türk kadınının zeka seviyesi, emin olun onlardan çok daha yüksek.

Başlığa bakarak bu yazının ne yazılım ile ne de .NET ile ilgili olmadığını düşünebilirsiniz. Fakat yanılıyorsunuz.

Biz Türk erkekleri genellikle, kadınlarımızın teknolojiye ve bilişime [affınıza sığınarak söylüyorum] kafasının basmadığını düşünürüz. Oysa Türk kadınları, pratik zekası ve hızlı düşünme yeteneği sayesinde bilişimde o kadar başarılı olabilirler ki, emin olun batı toplumları ağzı açık bir şekilde Türk kadınının başarısını seyreder durumuna düşebilir.

Peki neden böyle birşey gerçekleşmiyor? Neden kadınlarımız bırakın bilişimi, iş dünyasında bile başarılı olamıyor?

Belki güleceksiniz ama; bunun sebebi bana göre “televizyon dizileri”. Biz kadınlarımızı tv dizleri ile [yine affınıza sığınarak söylüyorum] mallaştırırken, Çin ve Hindistan gibi ülkeler seri bir şekilde kadın mühendis yetiştiriyor. Oysa Türk kadınının zeka seviyesi, emin olun onlardan çok daha yüksek.

Okumaya devam et “Zeki Türk Kadını”

Extract URLs in text data with Javascript

Daha önce sitede duyurduğum bağlantı (link) arşivi projesi için hazırladığım kullanışlı javascript programcığı. readClipboardData(), parseURL() ve pasteFromClipboard() fonksiyonlarından oluşan programcık panodaki metin verisi içerisinde yer alan URL’leri tespit edip ayıklıyor ve tamamını string olarak geri döndürüyor. Ana fonksiyon olan pasteFromClipboard() ilkönce panodaki  metin verisini readClipboardData() fonksiyonu yardımıyla okuyor (IE ve FF farketmiyor) ardından parseURL() içindeki regex (Regular Expression) cümlesi yardımıyla özyinelemeli (Recursive) olarak teker teker elde ettikten sonra string olarak ana fonksiyona aktarıyor.  pasteFromClipboard() fonksiyonu ise son olarak URL’ler arasına newline (\n) yerleştirerek string formunda tekrar geri döndürüyor. Kodları buradan test edip indirebilirsiniz.

Read Clipboard & Set Clipboard

Javascript ile panoya metin kopyalamak ve panodaki metni almak için kullanılabilecek fonksiyonlar. Internet Explorer (IE) ve Firefox (FF) web tarayıcılarını da destekliyor.

Javascript ile panoya metin kopyalamak ve panodaki metni almak için kullanılabilecek fonksiyonlar. Internet Explorer (IE) ve Firefox (FF) web tarayıcılarını da destekliyor.
Okumaya devam et “Read Clipboard & Set Clipboard”

phpMySQLAutoBackup – Otomatik yedekleme

phpMySQLAutoBackup MySQL veritabanlarının yedeklenmesini otomatik hale getiriyor. PHP script’i veritabanını okuyor (verileri ve yapıları), gzip biçiminde sıkıştırıyor ve belirttiğiniz e-posta adresine gönderiyor. Veritabanı kullanan ve verilerin güncelliğinin önemli olduğu web siteleri için mutlaka bir acil durum planı yapılmalıdır.

Okumaya devam et “phpMySQLAutoBackup – Otomatik yedekleme”

Elektronik Üzerine Elektronik Dergi

PozitifPC‘nin ardından yeni ve ücretsiz bir e-dergi girişimini daha görmek güzel. Elektronik üzerine Elektrronik dergi ismiyle yayın hayatına başlayan ve ilk sayısını bu ay yayınlayan derginin içeriği kısaca şöyle:

  • Visual C#: Visual studio kurulumu ve "merhaba dünya" programın yazılması aşamaları
  • Sayısal elektroniğe giriş
  • News sunucusu
  • PicBasic ile programlamaya giriş
  • PLC (Siemens S7-200)
  • Bir devre (Duvar saati)
  • Otomasyon: Asenkron motorlara yıldız üçgen yol verme
  • Bilim adamları: Alber Einstain

Uzun ömürlü olması dileğiyle, dergiyi çıkartan arkadaşlara başarılar diliyorum.

myspace.com’a XSS saldırısı

Kahramanımız (“Hero”) www.myspace.com sitesinde 20 saat içinde kendisine 1 milyondan fazla arkadaş isteği gönderilmesini sağlamış. 2005 de geçekleşen bu olay Hero’nun hesabı kapatılarak sonuçlanmış. Söylediğine göre yanına popularitesi kar kalmış. XSS tekniğiyle sayfasına kendi başına yayılabilen bir javascript kodu gömmüş. XSS in birçok numarasının kullanıldığı bu uygulamaya ait tarifi hero kendi anlatıyor, buradan buyurun. Olayla ilgili o tarihlerde çıkmış haber bağlantıları şöyle:

http://www.realtechnews.com/posts/1957
http://www.betanews.com/article/CrossSite_Scripting_Worm_Hits_MySpace/1129232391

Yazan: Tankado

DSL modem default passwords list

ADSL modem router’ların çoğunluğu kendi mini web sunucularına sahiptir. Cihazın ayarlarını değiştirmek istediğimizde bu sunucunun (yada cihazın) ip ve port adreslerini kullanarak yönetim paneline ulaşırız.

Bu web panelleri ile cihazın her türlü ayarı yapılabilir (Servis sağlayıcı parametreleri, yerel ağ adresi atama, DHCP havuzu oluşturma, port yönlendirme, DMZ oluşturma, filtreleme vs.) Cihaza yerel ağdan veya internet ağından aynı şekilde erişmek mümkündür. Yerel ağ içinden erişirken mutlaka cihazın yerel ağ adresi kullanılmalıdır. İnternetten erişirken cihazın internetteki bacağına atanmış gerçek ip adresi kullanılmalıdır.

Cihaza bağlanırken, eğer ilk defa kuruyorsanız yönetim paneline girmek için önceden kullanıcı adı ve parola bilgilerine sahip olmanız gerekir. Bu parola ve kullanıcı adı cihazınızın kullanım kitapçığında mutlaka belirtilmiştir ve varsayılan şifre ve kullanıcı adı (default password and username) olarak adlandırılır.  İlk defa varsayılan parola ile giriş yaptıktan sonra kendi kullanıcı adı ve parolanızı tanımlayabilirsiniz. Doğrusu bu iş mutlaka yapılması gerekenler arasındadır. Aksi takdirde varsayılan bilgilere sahip olan birisi cihazınızın yönetimini eline geçirebilir.

Cihazınıza parola verdikten sonra unutmaktan korkmayın. Bu olduğunda cihazınızı fabrika ayarlarına geri döndürebilirsiniz. Fabrika ayarlarına döndürmek için cihazınızın bir yerinde mutlaka iğne deliği şeklinde bir sıfırlama düğmesi vardır. Fabrika ayarları yüklendiğinde varsayılan parola ve şifreniz tekrar kullanıma girmiş olur. Cihazın kitapçığını da kaybettiğinizi varsayarsak varsayılan kullanıcı adı ve parolaya ihtiyacınız olacaktır. Cihazınızın şifre bilgisini şu adreslerden öğrenebilirsiniz:

http://www.cirt.net/cgi-bin/passwd.pl
http://phenoelit.darklab.org/cgi-bin/display.pl

Tekrar belirteyim cihazınızın varsayılan şifresini mutlaka değiştirmelisiniz. Kötü niyetli birisi yukarıdaki adresleri kullanarak modeminizin  yönetimini ele geçirebilir.

Yazan: Tankado

Javascript ile port tarama

“Myspace.com gibi sosyal bir siteyi ziyaret ederken veya yahoo webmail ile e-postalarınızı kontrol ettiğinizi hayal edin. Siz web sayfalarını okurken web sayfasındanki javascript kodu indirilmiş doğal olarak tarayıcınız tarafından otomatik olarak çalıştırılmış. Script tüm yerel ağınızı tarıyor, linksys modeminizin model numarasını öğreniyor modeminize komutlar göndererek kablosuz ağınızı aktive ederek şifrelemeyi devre dışı bırakıyor. Şimdi bunun 24 saatte 1 milyon kişiye olduğunu düşünün.” diyor tanıtım yazısında.

Deneysel bir güvenlik çalışmasının girişi böyle başlıyor. Javascript kullanarak basit bir port tarayıcısı yapmışlar. Tarayıcıları bir ip aralığındaki web hizmeti veren bilgisayarları tarayıp, sunucu yazılımını teşhis edebiliyor (Şimdilik sadece IIS ve Apache) ve herhangi bir yazılım açığını kullanmadığı için de kötüye kullanımını engellemenin pratik bir yolu yok. Daha fazla bilgi için bu pdf dosyasına veya sitelerine göz gezdirebilirsiniz. Tarayıcıyı denemek için buradan buyrun.

Kaynak: http://www.spidynamics.com

Örnek bir aramadaki karakter sıklığı

Bir sistem yöneticisi dogpile.com üzerinde aranan kelimelere ait 97MB’lık anahtar kelimelerden (tekil) oluşan bir log dosyasını karakter analizine tabi tutmuş. Analizin sonunda dikkat çekici bazı sonuçlar ortaya çıkmış. Bunlardan biri arama yapan kullanıcıların üst karakter (shift) tuşundan bihaber olması. 50 miyon aramanın sadece 0.0005’inde büyük harfler kullanılmış. Örneğin "A" (Büyük A) karakteri sadece 1 kez kullanılmış.

Bir sistem yöneticisi dogpile.com üzerinde aranan kelimelere ait 97MB’lık anahtar kelimelerden (tekil) oluşan bir log dosyasını karakter analizine tabi tutmuş. Analizin sonunda dikkat çekici bazı sonuçlar ortaya çıkmış. Bunlardan biri arama yapan kullanıcıların üst karakter (shift) tuşundan bihaber olması. 50 miyon aramanın sadece 0.0005’inde büyük harfler kullanılmış. Örneğin “A” (Büyük A) karakteri sadece 1 kez kullanılmış.
Okumaya devam et “Örnek bir aramadaki karakter sıklığı”

AJAX loading indicators

Başlıktan anlaşılması gerekn şu, sitelerimizde AJAX kullandığımızda büyük bir ihtimalle ihtiyaç duyacağımız küçük yüklenme animasyonları vardır ya, onlar işte. Tam da bu konudaki arşivimi genişletmek üzere google ile farklı atraksiyonlar denerken ilk defa aradığım konu ile tam alakalı bir site buldum ;). Sitenin adresi www.ajaxload.info. Adından da tahmin edebileceğiniz gibi bu sitede sadece AJAX için yükleniyor animasyonları yer alıyor. Site aracılığıyla tasarımınıza uygun göstergeler de oluşturabiliyorsunuz. Site ihtiyacınızı karşılamıyor ise nacizane toparladığım arşivimi de buradan indirip kullanabilirsiniz. Ayrıca şu adreslere de göz gezdirebilirsiniz:

http://www.napyfab.com/ajax-indicators/
http://mentalized.net/activity-indicators/
http://www.ajax.su/ajax_activity_indicators.html
http://www.esnips.com/doc/4c626465-312c-4a3
6-ab70-a1ab6f041489/AJAX-Activity-Indicators.htm

Ve ayrıca yine web uygulamalarınızda kullanabileceğiniz bir kaç hoş simge de buradan iniyor.

www.kampanya.org.tr

Türk Telekom özelleştirme ihalesi geçen günlerde yapıldı. Öyle anlaşılıyor ki; Türk Telekom 5-6 ay içinde yabancı bir özel sektör kuruluşunun yönetimine girecektir.

Yıllardır yeni işletmecilere çalışma olanağı vermemesine göz yumulan Türk Telekom bu haliyle özelleşirse, Devlet tekeli olmaktan çıksa da yabancı özel sektör tekeli haline dönüşecektir.

Bugün Telekomünikasyon alanında bir yol ayrımındayız. Türk Telekom’un özelleşmesi, yerli özel sektörün önünün derhal açılıp serbestleşmenin sağlandığı bir ortamda büyük bir fırsat da olabilir; özel sektör tekeline geçiş de olabilir.

Bugüne kadar "Türk Telekom yüksek fiyata satılsın" diyerek yerli girişimcilerin önünü tıkayan engellere göz yumuldu. Yerli girişimcilerin getirdiği her yenilik Türk Telekom’un tekel gücüyle engellendi.

Yerli internet ve telefon şirketleri hizmet sunamaz hale getirilirken, Türk Telekom bu hizmetleri ancak yıllar kaybedildikten sonra getirebildi. Ülkemizde üretim ve araştırma – geliştirme çabaları gelişemedi. Hem yerli girişimciler hem de yurttaşlarımız geç gelen/güç gelen hizmetlere yüksek bedeller ödedi.

Bugün bu bedellerin artarak devam etme tehlikesi bulunuyor. Bu tehlike, devlet tekelinin yerini özel yabancı tekelin alması tehlikesidir.

Bu tehlikeyi önlemenin ve özelleşmeyi büyük bir atılım fırsatı haline getirmenin yolu, Türk Telekom’la rekabet edecek yerli firmaların önünün artık açılmasıdır.

Yerli internet ve telefon firmalarını Türk Telekom’a mahkum olmaktan kurtarmanın yolu, yeni altyapılarla rekabetin sağlanmasıdır; yeni altyapı rekabeti sağlamaktır.

Bu amaçla yapılacak işler şunlardır ;

  • Altyapı Rekabeti Artık Başlasın
    Türk Telekom altyapısının en önemli alternatifi Kablo TV altyapısıdır. Çünkü Kablo TV altyapısı üzerinden sadece TV değil hızlı internet ve telefon gibi diğer hizmetleri de vermek mümkündür.
    Telekomünikasyon Kurulu’nun Kablo TV lisansını verme kararı, 5 aydır Ulaştırma Bakanlığı’nın yapacağı işlemi beklemektedir. Artık bu bekleme sona ermeli ve hazır olan altyapı, hizmete sokulmalıdır.
    Bu konuda hiçbir engel yoktur.
  • Telekomünikasyon Kurulu’nun altyapı kurma ve işletme lisanslarının vakti geldi geçiyor. Yeni Altyapı Lisansları verilmelidir.
  • Türk Telekom altyapısı milli altyapımızdır; bu altyapıdan, bütün uygar ülkelerde olduğu gibi tüm işlemecilerin engelsiz yararlanması gerekir. Yetki Telekomünikasyon Kurulu’ndadır ve zaman gelmiştir.
  • Türk Telekom artık, Rekabet Kurulu’nun ve Telekomünikasyon Kurulu’nun kararlarına uymalı, kavga/tartışma ve mahkemeler yerine, uygarca rekabet ve yardımlaşma ortamının kurulmasına katkı sağlamalıdır.

Rekabet, kalite, ucuzluk, istihdam ve üretim için, tüketici yararı için serbestlik istiyoruz.

Devlet Tekeli’nden Yabancı Özel Sektör Tekeli’ne geçmek istemiyoruz.

Altyapı tekeline karşı, altyapı rekabeti istiyoruz. Kablo TV ve diğer altyapı lisanslarının derhal verilmesini istiyoruz.

Böylece, Türk Telekom el değiştirmeden önce, serbestleşmenin yolu açılmış olacaktır.

Böylece ülkemizi teknoloji çağına taşıyabiliriz.

http://www.internetime-dokunma.com/