Yeni nesil hackerlarin oyuncağı – XSS

Üst not: Başlığa bakarak XSS’in sonuçlarını küçümsediğimi düşünmeyin, sadece XSS’in nerede ne işe yarayacağını bilmeden her sitede bulup havalara giren yeni nesil genç hackerlara kısa bir düşünme payı vermek istiyorum.

hackme

Bu yazının yazılma sebebi de yine bu tayfadan olduğunu düşündüğüm  bir arkadaşın blog’da denediği(bulduğu demiyorum zira WordPress 2.8.6 yayınlanır yayınlanmaz hemen sitede deneyip ahanda XSS var diye kosmak XSS’i bulmak değil denemektir.

Networkcesi port taramayı öğrenen birinin aha taradım 80. portu açık buldum demesinden farksızdır)

Önce aramızda geçen yazışmayı okuyun sonra konu hakkında fikirlerimi:

X-şahıs: Merhabalar.
türkiyede  bilişim güvenliği denen bişey yoktur.
Bu konuda  en iyisi siz iseniz  alt linkteki resme bakmanızı rica ediyorum..
Bundan bişey olmaz diyebilirsin ..
http://img406.imageshack.us/img406/4145/doorq.jpg
Huzeyfe ÖNAL: Selamlar X-şahıs,
Turkiye’de bilisim guvenligi olmadigi kararina nasil vardin?
Basit(!) bir XSS acikligi ile bu karara vardiysan daha alman gereken cok yol var demektir yok bu iste uzman gozuken insanlarin bile sitesinde XSS var diyorsan bir nebze hakli olabilirsin. Ama sen de bilirsin ki bu XSS ile bu sitede cok birsey yapamazsin. Istersen bir senaryo ile en fazla ne yapabilecegini yaz birlikte inceleyelim?
>>Bu konuda  en iyisi siz iseniz  alt linkteki resme bakmanızı rica ediyorum..
Boyle bir iddiam oldugunu hic hatirlamiyorum.
X-şahıs:
merhabalar..
Benim aktarmak istediğimi anlayamamışsan, ki öyle gözüküyor    sizin daha almanız gereken çok uzun bir yol var.
xss bulmak veya onarmak sözkonusu değil. eğer öyle görüyorsanız  sanırım  sohbetimizi  burda kesmemiz daha mantıklı olur.
yinede  hiçbişeyi basite almamak gerek. xss yüzünden  birçok yerin tahrip edildiğini sizlerde biliyorsunuz. benim şahit olduğum kadarıyla   ülkenin önde gelen üniversitenin  sistemi de tahrip edildiğini söyleyebilirim..
ayrıca sizin sitenizde  sadece xss  değil , birçok meta komutlarını rahatlıkla çalıştırabilme  izni var(izin diyorum   çünkü tavrınızdan      bunu anlayabildim.aksine  izin vermiyebilirdiniz.).
senaryo istiyorsanız  birçok senaryo var. yeterki oyuncu kabiliyetiniz olsun..
iyi çalışmalar..
Huzeyfe ÖNAL:
Selamlar Kerim,
Bir gece once cikan acikligi ogrenip denemek cok buyuk basari olsa gerek. Evet hala senaryonu bekliyorum, bana bu aciklikla ilgili yapabilecegin en kotu senaryoyu anlat ben de sana nasil bloklanacagini soyleyeyim.
Yol almam gerektigi konusunda haklisin, zira her ogrendigimde yolun uzunlugunu kesfediyorum, ama bunu soyleyecek birini de yolun ortalarini gecmis olmasi lazim.
>>birçok yerin tahrip edildiğini sizlerde biliyorsunuz
Bir dene istersen buranin bircok yer gibi olmadigini goreceksin.
>>   senaryo istiyorsanız  birçok senaryo var. yeterki oyuncu kabiliyetiniz olsun..
Bence güzel bir senaryo ile bunu yaz ben de blog da senin adına yayınlayayım, ama sadece alert üretmekle kalırsan ileriy gidemezsen onu da yazalım.
X-şahıs:
selamlar.
halen beni anlamış değilsiniz. xss sökonusu değil diyorum.
biraz daha açayım..
Eğer birileri bana bir iş öğretecekse , ki bunu parayla yapacaksa  imajı gereği  herşeye ama herşeye dikkat etmeli..
Ben sizden eğitim vs almak istesem ve bu durumu  yüzünüze söylesem:”arkadaşım  aslında bu açıklarla hiç bişey olmaz.yapamazlar   , yapılmaz , imkansız  vs” derseniz , bana  da  yüzünüze  laf yapıştırmak düşer..
xss senin sitende bulmuşum çok övünüyorum. mu acaba??. bulsam ne olur       bulunsa ne olur         yapabilsen ne olur??.
işte vatandaşımın hali bu.. nerde sıkıştığında işi   “benden iyi mi bileceksin”‘e vurur..
Eğer gerçekten  işi bilseydiniz  tavrınız  farklı olurdu.  bundan  eminim..
size bir  kardeş  hatırası bırakayım:”Açığın  kücüğü  , büyüğü olmaz. eğer  buna dikkat etmezseniz   birgün birileri sizin yerinide  olur..      ANLATABİLDİMMİ?”
bu ülkede  bilişim güvenliğinden söz edildiğinde    sadece   gülerim..
işte  sizin tavrınızdaki         kanıt..
Tabiki sizler bileceksiniz.    Çünkü siz türkiyenin sektöründe  çalışıyorsunuz . oysa  bu amatör   sadece xyz satar 😛
Huzeyfe ÖNAL:
X-şahıs selamlar,
seni ciddiye alarak yaziyorum ama sen hala agababa tavirlarini surduruyorsun, tavirlarinda ozgursun ama ciddiye alinmak istiyorsan bu sekilde davranarak basarili olamazsin.
Daha fazla uzatmadan bu gonderdigin maillerden bir yazi yazacagim, maillerini de isim vermeden kullanmak istiyorum.
Istersen bu konuyu genele acik bir yerde tartismis olalim ki fikirlerimiz tartissin kimliklerimiz degil.
X-şahıs:
Başarılı olmaktan kastınız nedir?.  sizden takdir almak mı?.
ASlında olabilir:).
neyse dostum  son söz ile sohbetimizi noktalıyalım.
Sadece   vereceğiniz  hizmeti (eğitim vs.) kimseye önermem , ilgilenmem, ilgilendirmem.
işin kimlik kısmına gelince de      , siz beni xyzci olarak görün 🙂 çünkü böyle tanıştık..
konuyu farklı(kendi sitenizden değil) bir platformda açabilirsiniz. Fakat e-maillerimi  malzeme olarak kullandığınızda , hukuki sorumlukları gözönünde bulundurmanızı  isterim.
iyi çalışmalar..
Huzeyfe ÖNAL:
Selamlar,
basarı benden degil kendinden takdir almaktir. Yaptigin isi begeniyorsan problem yok.
Egitimlerin kimseden referans alma ihtiyaci yok, zaten çok fazla eğitim verelim diye bir çabamız da yok. dolayısıyla gönlünüz ferah olsun, kimseye önermeyebilirsiniz.
>>konuyu farklı(kendi sitenizden değil) bir platformda açabilirsiniz. Fakat e-maillerimi  malzeme olarak kullandığınızda , hukuki sorumlukları gözönünde bulundurmanızı  isterim.
Sitede XSS açıklığını denerken hukuk olmuyor da ben e-posta adresini yayınlayınca mı hukuk oluyor:). Neyse işim isimlerle, kimliklerle değil fikirlerle. Dolayisiyla isminizi yayinlamadan paylaşacağımı söyleyebilirim. İtirazınız olursa yorumlarda belirtirsiniz ya da gücünüzü kullanır siteyi hacklersiniz:).
Bu arada kendinizi denemek istiyorsanız 12-13 Aralik’da Capture The Flag yarismamiz var, gelin kendinizi gosterin. Hediyesi de sağlam.

X-şahıs: Merhabalar.

türkiyede  bilişim güvenliği denen bişey yoktur.

Bu konuda  en iyisi siz iseniz  alt linkteki resme bakmanızı rica ediyorum..

Bundan bişey olmaz diyebilirsin ..

http://img406.imageshack.us/img406/***/


Huzeyfe ÖNAL: Selamlar X-şahıs,

Turkiye’de bilisim guvenligi olmadigi kararina nasil vardin?

Basit(!) bir XSS acikligi ile bu karara vardiysan daha alman gereken cok yol var demektir yok bu iste uzman gozuken insanlarin bile sitesinde XSS var diyorsan bir nebze hakli olabilirsin. Ama sen de bilirsin ki bu XSS ile bu sitede cok birsey yapamazsin. Istersen bir senaryo ile en fazla ne yapabilecegini yaz birlikte inceleyelim?

>>Bu konuda  en iyisi siz iseniz  alt linkteki resme bakmanızı rica ediyorum..

Boyle bir iddiam oldugunu hic hatirlamiyorum.

X-şahıs: merhabalar..

Benim aktarmak istediğimi anlayamamışsan, ki öyle gözüküyor    sizin daha almanız gereken çok uzun bir yol var.

xss bulmak veya onarmak sözkonusu değil. eğer öyle görüyorsanız  sanırım  sohbetimizi  burda kesmemiz daha mantıklı olur.

yinede  hiçbişeyi basite almamak gerek. xss yüzünden  birçok yerin tahrip edildiğini sizlerde biliyorsunuz. benim şahit olduğum kadarıyla   ülkenin önde gelen üniversitenin  sistemi de tahrip edildiğini söyleyebilirim..

ayrıca sizin sitenizde  sadece xss  değil , birçok meta komutlarını rahatlıkla çalıştırabilme  izni var(izin diyorum   çünkü tavrınızdan      bunu anlayabildim.aksine  izin vermiyebilirdiniz.).


senaryo istiyorsanız  birçok senaryo var. yeterki oyuncu kabiliyetiniz olsun..

iyi çalışmalar..


Huzeyfe ÖNAL: Selamlar X-şahıs,

Bir gece once cikan acikligi ogrenip denemek cok buyuk basari olsa gerek. Evet hala senaryonu bekliyorum, bana bu aciklikla ilgili yapabilecegin en kotu senaryoyu anlat ben de sana nasil bloklanacagini soyleyeyim.

Yol almam gerektigi konusunda haklisin, zira her ogrendigimde yolun uzunlugunu kesfediyorum, ama bunu soyleyecek birini de yolun ortalarini gecmis olmasi lazim.

>>birçok yerin tahrip edildiğini sizlerde biliyorsunuz

Bir dene istersen buranin bircok yer gibi olmadigini goreceksin.

>>   senaryo istiyorsanız  birçok senaryo var. yeterki oyuncu kabiliyetiniz olsun..

Bence güzel bir senaryo ile bunu yaz ben de blog da senin adına yayınlayayım, ama sadece alert üretmekle kalırsan ileriy gidemezsen onu da yazalım.

X-şahıs:selamlar.

halen beni anlamış değilsiniz. xss sökonusu değil diyorum.

biraz daha açayım..

Eğer birileri bana bir iş öğretecekse , ki bunu parayla yapacaksa  imajı gereği  herşeye ama herşeye dikkat etmeli..

Ben sizden eğitim vs almak istesem ve bu durumu  yüzünüze söylesem:”arkadaşım  aslında bu açıklarla hiç bişey olmaz.yapamazlar   , yapılmaz , imkansız  vs” derseniz , bana  da  yüzünüze  laf yapıştırmak düşer..

xss senin sitende bulmuşum çok övünüyorum. mu acaba??. bulsam ne olur       bulunsa ne olur         yapabilsen ne olur??.

işte vatandaşımın hali bu.. nerde sıkıştığında işi   “benden iyi mi bileceksin”‘e vurur..

Eğer gerçekten  işi bilseydiniz  tavrınız  farklı olurdu.  bundan  eminim..

size bir  kardeş  hatırası bırakayım:”Açığın  kücüğü  , büyüğü olmaz. eğer  buna dikkat etmezseniz   birgün birileri sizin yerinide  olur..      ANLATABİLDİMMİ?”

bu ülkede  bilişim güvenliğinden söz edildiğinde    sadece   gülerim..

işte  sizin tavrınızdaki         kanıt..

Tabiki sizler bileceksiniz.    Çünkü siz türkiyenin sektöründe  çalışıyorsunuz . oysa  bu amatör   sadece  xyz satar 😛


Huzeyfe ÖNAL:X-şahıs selamlar,

seni ciddiye alarak yaziyorum ama sen hala agababa tavirlarini surduruyorsun, tavirlarinda ozgursun ama ciddiye alinmak istiyorsan bu sekilde davranarak basarili olamazsin.

Daha fazla uzatmadan bu gonderdigin maillerden bir yazi yazacagim, maillerini de isim vermeden kullanmak istiyorum.

Istersen bu konuyu genele acik bir yerde tartismis olalim ki fikirlerimiz tartissin kimliklerimiz degil.


X-şahıs: Başarılı olmaktan kastınız nedir?.  sizden takdir almak mı?.

ASlında olabilir:).

neyse dostum  son söz ile sohbetimizi noktalıyalım.

Sadece   vereceğiniz  hizmeti (eğitim vs.) kimseye önermem , ilgilenmem, ilgilendirmem.

işin kimlik kısmına gelince de      , siz beni xyzci olarak görün 🙂 çünkü böyle tanıştık..

konuyu farklı(kendi sitenizden değil) bir platformda açabilirsiniz. Fakat e-maillerimi  malzeme olarak kullandığınızda , hukuki sorumlukları gözönünde bulundurmanızı  isterim.


iyi çalışmalar..

Huzeyfe ÖNAL: Selamlar,

basarı benden degil kendinden takdir almaktir. Yaptigin isi begeniyorsan problem yok.

Egitimlerin kimseden referans alma ihtiyaci yok, zaten çok fazla eğitim verelim diye bir çabamız da yok. dolayısıyla gönlünüz ferah olsun, kimseye önermeyebilirsiniz.

>>konuyu farklı(kendi sitenizden değil) bir platformda açabilirsiniz. Fakat e-maillerimi  malzeme olarak kullandığınızda , hukuki sorumlukları gözönünde bulundurmanızı  isterim.

Sitede XSS açıklığını denerken hukuk olmuyor da ben e-posta adresini yayınlayınca mı hukuk oluyor:). Neyse işim isimlerle, kimliklerle değil fikirlerle. Dolayisiyla isminizi yayinlamadan paylaşacağımı söyleyebilirim. İtirazınız olursa yorumlarda belirtirsiniz ya da gücünüzü kullanır siteyi hacklersiniz:).

Bu arada kendinizi denemek istiyorsanız 12-13 Aralik’da Capture The Flag yarismamiz var, gelin kendinizi gosterin. Hediyesi de sağlam.

X-şahıs:

özel olarak kimsenin sitesinde xss aramam  , aramak mantıksız olur.

Fakat  sözkonusu bir güvenlikçi olunca    insan  kaynağa bakmaktan kendini alamıyor:).

Dürüst ol   saygı gör.

Sıkıştığında  farklı yönlere çekilmekle   sadece böyle durumlar yaratılır.

yarışmaya ve ödüle ihtiyacım yok.isteyen olursa  uzaktan kmandalı bir araba gönderebilirim.

Xss denemekle  amacım seni ve yaptığın işi eleştirmek değil . Fakat böyle anlaşıldı böyle son bulsun..

İşin kimlik kısmına gelince ; sizler üsdatsınız:).

İşin hukuk yönüde bana öğretme istersen. amatörce hukuk fakültesi mezunuyum fakat işim gereği  xyz satıyorum :).

Saygılar sevgiler.


Huzeyfe ÖNAL:

Kusura bakma ilk gonderdigin mailden ben elestiri harici birsey anlamadim, elestirmene de kizmadim aslinda agababa tavirlarina takildim. Gercekten ciddi bir acik bulsan(sen bulsan, bulunani denemesen) saygi duyar ve onu kendi sitemde yayinlarim. Hic oyle guvenlikciydim ben hacklenmem ayaklarım yoktur. Bu isi yaklasık 10 senedir yapıyorum ve ilk ogrendigim sey %99 güvenlik bazen %100 güvensiz olmaktır.

>>İşin kimlik kısmına gelince ; sizler üsdatsınız:).

Bu konuda ben üst üste böyle bir tavrım, söylemim  yok dediğim halde ve çoğu ortamda bilgi güvenliği uzmanı yerine bilgi güvenliği araştırmacısı ünvını kullandığım halde yakıştırman

Hukuk konusunda istersen ayrı bir kaynak göster, madem hukukcusun öğrenmiş olalım.

Velhasıl devamını siteden okur, fikirlerinin gerçekten arkasındaysan yorumlarını yazarsın.

Top topu bir avuc bilisimcinin olduğu bir Türkiye ortamında bu şekilde kısır çekişmelerden hiç hoşlanmam, muhtemelen yüzyüze gelsek, ya da konuşsak daha farklı bir sonuç ortaya çıkardı ama bu da internetin dezavantajı ne yapalım. Ama bil ki bu yazışmalar hiç hoşuma gitmedi(şimdi baktım keşke hiç başlamasaydım dedim)

Evet sevgili arkadaşla bu şekilde bir yazışmamız oldu. Hiç adetim değildir bu şekilde yazışmaları yayınlamak ama benim sitemde habersiz açıklık deneyen arkadaşa etik davranmanın gerekmediğini düşündüm ve kendisine de belirterek isim/kimlik vermeden yayınladım.

Şimdi sorun şu: web güvenliği gerçekten son yıllarda ciddi önem kazanmaya başladı ve bundan sonra da kazanmaya devam edecek ama şöyle bir sorun var ki web uygulama güvenliğiyle ilgilenen arkadaşların tecrübesizleri dünyayı web’den ibaret görüyorlar ve web ile ilgili her açıklığı kutsal olarak görüp atlıyorlar.

Her açıklık yerinde kullanıldığında, şartlar oluştuğunda işe yarar ve etkili olur. Search box da çıkacak bir açıklıktan bu site hiç zarar görmez, XSS’i geçtim geçerli bir cookie,  user/pass bilgisi bile versem işe yaramaz zira wordpress admin kısmında başka bir kontrol daha var. Tabi bu XSS’in başka bir yerde , başka şartlarda işe yaramayacağı anlamına gelmez(Hotmail XSS açıklığı vs ).

Kısaca XSS ya da benzeri açıklıklar sıradan(!) açıklıklardır ve web uygulamalarının çeşitliliği, standarttan yoksun geliştirme süreçleri olmasından dolayı uzun süre daha görmeye devam edeceğiz.

Bu vesileyle cok kısa bir süre sonra açılacak web güvenliği hacking yarışmasını da duyurmuş olalım. Bu şekilde ortalıkda dolaşıp yaması eksik, hatalı yapılandırılmış hacker arkadaşların ne kadar başarılı olabileceğini göreceğiz. Detayları çok yakında burada.

This entry was posted in Fun, Hayat. Bookmark the permalink.

6 Responses to Yeni nesil hackerlarin oyuncağı – XSS

  1. Murat ŞEKER says:

    Saksıda Yetişiyor Ülkemin Hacker’ı 🙂

  2. Eşref Atak says:

    Açık-bulucu arkadaşın yazdıklarından birşey anlamaya çalıştım çalıştım… senin yazdıklarını okumaya fırsat kalmadı 🙂

  3. Suat ÇELİK says:

    İnsanoğlunun hamurunda var kendini ispat duygusu…
    Yok sitesinde açık varmış , yok bilmem neymiş…
    Hele bir gayret göster, emek harca,çabala, paylaş… Ama yok ,yok açma kara kutunu…

  4. IA says:

    Bu gibi durumlarda öncelikle hastaya oksijen tedavisi uygulanır. Malumunuz yerden yükseldikçe oksijen yetmezliği başlar. Sonrasında halüs..yonlar, kişilik sapmaları vs..

    Biz de başlayalı 10 sene oldu hala eğitim almadan rahat edemiyoruz, bu tür eğitimler veren arkadaşları da sıkı sıkı tutmak lazımken yıpratmaya çalışmak abesle iştigal kanımca…
    Saygılar,

  5. THE_MILLER says:

    Xss açığının olma ihtimali olan her sitede Xss vardır önemli olan xss bulmak değil kullanabilmektir.
    Günümüzde her alert’e Xss diyen bir nesil var.Cookie çekebiliyorsan işte ozaman Xss bulmuşsun demektir.

    Birde bilgiçlik taslamazlar mı.Uğraştığın zamana yazık 🙂

  6. cmk says:

    Bir “güvenlik araştırmacısı” veya “güvenlik uzmanı” güvenlik işi ile uğraşan her kimse kendi sitesinde bir açıklık olması bu kişiye ; “ilahi sende güvenlik den bahsediyorsun da bir bak” demek ne derece doğru ki.Şuanda Güvenlik Araştırmacısı olarak ve bu alanda şirketleşen dünyaca tanınanlardan biri olan K.D.Mitnick sitesinde hacklenmişti ve birçok it bloglarına haber olmuş bir durum. Türkiye de Bilişim Güveliği; yurdum adına güvenlik konusun tam olarak olması gereken ve istenilen düzeyde değiliz fikrindeyim. Huzeyfe Önal ve diğerleri sonuçta bu amaç için birşekilde uğraş vermekteler bu konuda bende iyyim yada bildigim-buldugum birşey var diyeceksenizde bunu yerine durumuna göre paylaşırısınız. Ancak konunu böyle bir hal alması yakışıksız bir durum olmuş.

Leave a Reply

Your email address will not be published. Required fields are marked *

one × three =