Üst not: Başlığa bakarak XSS’in sonuçlarını küçümsediğimi düşünmeyin, sadece XSS’in nerede ne işe yarayacağını bilmeden her sitede bulup havalara giren yeni nesil genç hackerlara kısa bir düşünme payı vermek istiyorum.
Bu yazının yazılma sebebi de yine bu tayfadan olduğunu düşündüğüm bir arkadaşın blog’da denediği(bulduğu demiyorum zira WordPress 2.8.6 yayınlanır yayınlanmaz hemen sitede deneyip ahanda XSS var diye kosmak XSS’i bulmak değil denemektir.
Networkcesi port taramayı öğrenen birinin aha taradım 80. portu açık buldum demesinden farksızdır)
Önce aramızda geçen yazışmayı okuyun sonra konu hakkında fikirlerimi:
X-şahıs: Merhabalar.
türkiyede bilişim güvenliği denen bişey yoktur.
Bu konuda en iyisi siz iseniz alt linkteki resme bakmanızı rica ediyorum..
Bundan bişey olmaz diyebilirsin ..
http://img406.imageshack.us/img406/4145/doorq.jpg
Huzeyfe ÖNAL: Selamlar X-şahıs,
Turkiye’de bilisim guvenligi olmadigi kararina nasil vardin?
Basit(!) bir XSS acikligi ile bu karara vardiysan daha alman gereken cok yol var demektir yok bu iste uzman gozuken insanlarin bile sitesinde XSS var diyorsan bir nebze hakli olabilirsin. Ama sen de bilirsin ki bu XSS ile bu sitede cok birsey yapamazsin. Istersen bir senaryo ile en fazla ne yapabilecegini yaz birlikte inceleyelim?
>>Bu konuda en iyisi siz iseniz alt linkteki resme bakmanızı rica ediyorum..
Boyle bir iddiam oldugunu hic hatirlamiyorum.
X-şahıs:
merhabalar..
Benim aktarmak istediğimi anlayamamışsan, ki öyle gözüküyor sizin daha almanız gereken çok uzun bir yol var.
xss bulmak veya onarmak sözkonusu değil. eğer öyle görüyorsanız sanırım sohbetimizi burda kesmemiz daha mantıklı olur.
yinede hiçbişeyi basite almamak gerek. xss yüzünden birçok yerin tahrip edildiğini sizlerde biliyorsunuz. benim şahit olduğum kadarıyla ülkenin önde gelen üniversitenin sistemi de tahrip edildiğini söyleyebilirim..
ayrıca sizin sitenizde sadece xss değil , birçok meta komutlarını rahatlıkla çalıştırabilme izni var(izin diyorum çünkü tavrınızdan bunu anlayabildim.aksine izin vermiyebilirdiniz.).
senaryo istiyorsanız birçok senaryo var. yeterki oyuncu kabiliyetiniz olsun..
iyi çalışmalar..
Huzeyfe ÖNAL:
Selamlar Kerim,
Bir gece once cikan acikligi ogrenip denemek cok buyuk basari olsa gerek. Evet hala senaryonu bekliyorum, bana bu aciklikla ilgili yapabilecegin en kotu senaryoyu anlat ben de sana nasil bloklanacagini soyleyeyim.
Yol almam gerektigi konusunda haklisin, zira her ogrendigimde yolun uzunlugunu kesfediyorum, ama bunu soyleyecek birini de yolun ortalarini gecmis olmasi lazim.
>>birçok yerin tahrip edildiğini sizlerde biliyorsunuz
Bir dene istersen buranin bircok yer gibi olmadigini goreceksin.
>> senaryo istiyorsanız birçok senaryo var. yeterki oyuncu kabiliyetiniz olsun..
Bence güzel bir senaryo ile bunu yaz ben de blog da senin adına yayınlayayım, ama sadece alert üretmekle kalırsan ileriy gidemezsen onu da yazalım.
X-şahıs:
selamlar.
halen beni anlamış değilsiniz. xss sökonusu değil diyorum.
biraz daha açayım..
Eğer birileri bana bir iş öğretecekse , ki bunu parayla yapacaksa imajı gereği herşeye ama herşeye dikkat etmeli..
Ben sizden eğitim vs almak istesem ve bu durumu yüzünüze söylesem:”arkadaşım aslında bu açıklarla hiç bişey olmaz.yapamazlar , yapılmaz , imkansız vs” derseniz , bana da yüzünüze laf yapıştırmak düşer..
xss senin sitende bulmuşum çok övünüyorum. mu acaba??. bulsam ne olur bulunsa ne olur yapabilsen ne olur??.
işte vatandaşımın hali bu.. nerde sıkıştığında işi “benden iyi mi bileceksin”‘e vurur..
Eğer gerçekten işi bilseydiniz tavrınız farklı olurdu. bundan eminim..
size bir kardeş hatırası bırakayım:”Açığın kücüğü , büyüğü olmaz. eğer buna dikkat etmezseniz birgün birileri sizin yerinide olur.. ANLATABİLDİMMİ?”
bu ülkede bilişim güvenliğinden söz edildiğinde sadece gülerim..
işte sizin tavrınızdaki kanıt..
Tabiki sizler bileceksiniz. Çünkü siz türkiyenin sektöründe çalışıyorsunuz . oysa bu amatör sadece xyz satar
Huzeyfe ÖNAL:
X-şahıs selamlar,
seni ciddiye alarak yaziyorum ama sen hala agababa tavirlarini surduruyorsun, tavirlarinda ozgursun ama ciddiye alinmak istiyorsan bu sekilde davranarak basarili olamazsin.
Daha fazla uzatmadan bu gonderdigin maillerden bir yazi yazacagim, maillerini de isim vermeden kullanmak istiyorum.
Istersen bu konuyu genele acik bir yerde tartismis olalim ki fikirlerimiz tartissin kimliklerimiz degil.
X-şahıs:
Başarılı olmaktan kastınız nedir?. sizden takdir almak mı?.
ASlında olabilir:).
neyse dostum son söz ile sohbetimizi noktalıyalım.
Sadece vereceğiniz hizmeti (eğitim vs.) kimseye önermem , ilgilenmem, ilgilendirmem.
işin kimlik kısmına gelince de , siz beni xyzci olarak görün
çünkü böyle tanıştık..
konuyu farklı(kendi sitenizden değil) bir platformda açabilirsiniz. Fakat e-maillerimi malzeme olarak kullandığınızda , hukuki sorumlukları gözönünde bulundurmanızı isterim.
iyi çalışmalar..
Huzeyfe ÖNAL:
Selamlar,
basarı benden degil kendinden takdir almaktir. Yaptigin isi begeniyorsan problem yok.
Egitimlerin kimseden referans alma ihtiyaci yok, zaten çok fazla eğitim verelim diye bir çabamız da yok. dolayısıyla gönlünüz ferah olsun, kimseye önermeyebilirsiniz.
>>konuyu farklı(kendi sitenizden değil) bir platformda açabilirsiniz. Fakat e-maillerimi malzeme olarak kullandığınızda , hukuki sorumlukları gözönünde bulundurmanızı isterim.
Sitede XSS açıklığını denerken hukuk olmuyor da ben e-posta adresini yayınlayınca mı hukuk oluyor:). Neyse işim isimlerle, kimliklerle değil fikirlerle. Dolayisiyla isminizi yayinlamadan paylaşacağımı söyleyebilirim. İtirazınız olursa yorumlarda belirtirsiniz ya da gücünüzü kullanır siteyi hacklersiniz:).
Bu arada kendinizi denemek istiyorsanız 12-13 Aralik’da Capture The Flag yarismamiz var, gelin kendinizi gosterin. Hediyesi de sağlam.
X-şahıs: Merhabalar. Read more »
Bayram tatilini de fırsat bilerek bir haftalığına memleketim İzmir’e kaçtım.
2000′li yılların gözde açık kod sitesi 
