XSS – Cross Site Scripting

Cross site scripting (XSS) HTML kodlarının arasına istemci tabanlı kod gömülmesi yoluyla kullanıcının tarayıcısında istenen istemci tabanlı kodun çalıştırılabilmesi olarak tanımlanır. XSS’in temel mantığı siteler arası betik kod çalıştırmadır ve kullanıcı tarafından input kabul edilen yerlerde görülmektedir. Web uygulamalarında bulunan kullanıcı tarafından kabul edilen inputlar kontrol edilmeden direk koda dahil ediliyor ve kullanıcıya gösteriliyorsa, uygulama üzerinde Javascript […]

Yeni bir Crimekit “Atrax”

atrax

Siber suçluların kullanması için yeni bir crimekit piyasaya sürüldü. Atrax adındaki yeni crimekit sadece 250 dolara gizli haberleşme olanaklarına sahip bir siber suç merkezi olarak hizmet veriyor.

Atrax’ın tüm iletişimi TOR üzerinden sağlanıyor ve komuta kontrol sunucuları da TOR üzerinde çalışıyor. Fakat Atrax’ın gerçek gücü sadece bu değil. Aralarında form yakalama, DDoS modülü, Bitcoin/Litecoin miner, browserlardan veri çalma gibi pek çok özelliğin bulunduğu geniş bir fonksiyon listesi var. Atrax’ın övündüğü diğer bir özelliği ise Windows 8 destekleyen ilk bot çözümü olduğu. […]

Black Hat Istanbul’da…

black_hat_hacker___wallpaper_v2_by_s3ctur3-d4kcn17
balck hat

Black Hat, bilişim ve bilgi güvenliği alanındaki üst düzey profesyoneller, pratisyenler, karar mercileri ve uygulayıcılar için trendler ve piyasa incelemeleri üzerine hem teknik hem de yüksek düzeyli tartışmalar sağlayarak; samimi bir fikir alışverişi ve eğitim imkânı sunan uluslararası etkinlikler olarak bilinmektedir. Tüm dünyada kıdemli IT ve bilgi güvenliği profesyonellerini buluşturan Black Hat etkinlikleri, aynı zamanda karar mercilerini ve üst düzey yöneticileri ilgilendiren güvenlik konularında, teknik eğitimlerin yanı sıra makro seviyede piyasa ve trend analizleri de sunmaktadır.

[…]

CTF (Capture The Flag) Yarışmaları…

Teknolojik imkanlara erişebilirliliğin arttığı, teknoloji bağımlısı gençlerin büyük bir ivme kazandığı, monitörlere yansıyan suretlerinin ekranlarında kalıcı izler bırakırcasına teknoloji ve zaman tüketiminin olduğu, belli bir kontrol mekanizması olmayan siber oluşumlara her geçen gün yeni aktörlerin eklendiği bir ortamda, birilerinin bu yeni ekonomi/yaşam modeli içerisindeki köşe kapma çabaları, gelecekte büyük sorunlar ortaya çıkaracağı sinyallerini veren siber dünyada devasa sorunlar ile boğuşacağımızı göstermektedir. Bu farkındalığın artması temennisi ile küçük bir vakıa analizi sunacağım..

Son zamanlarda Capture the flag yarışmaları popüler olmuş, bir çok yarışma duyurusu çeşitli mecralarda karşımıza çıkmıştır. Ee ne olmuş yani ne anlatmak istiyorsun diyebilirsiniz. Burada işaret etmek istediğim husus genelde bu yarışmaları düzenleyenlerin kurumsal yada kurumsallaşmaya giden girişim şirketlerinin olduğudur. 35 Milyon adet akıllı telefonun satıldığı bir ülkede, eline aldığı bir tableti yada bir kaç akıllı telefonu verip  “haydi CFT düzenliyoruz” demesi yukarıda işaret ettiğim sorunlara ışık tutmak yerine, sadece belli bir amaca hizmetten öteye geçememektedir.

Bu doğtultuda yapılan uygulamayı ve hedeflenen optimum faydayı eleştirmek istiyorum. Bu iş bir farketing:) unsuru olarak değerlendirilmemeli. Bir yarışma modeli kurarken kafalar kaldırılmalı ve etrafa bakılmalıdır.  Neler yapılmış bugüne kadar ve ne fayda amaçlanmış. […]

Polislerden Underground Çözümle

HOLLANDA’da polise, bilgisayarları hack’leme, bilgi toplama ve bilgileri yok etme yetkisi içeren bir yasa tasarısı hazırlandı. Konuyla ilgili daha önce Temsilciler Meclisi’ne gönderdiği yazıda, polislere kişilerin bilgisayarlara dışardan izinsiz girme olanağı sağlanması gerektiğini savunan Güvenlik ve Adalet Bakanı Ivo Opstelten’in hazırladığı tasarı, önümüzdeki günlerde meclisin gündemine gelecek. İstihbarat örgütlerinin böyle bir olanağa sahip olduklarına dikkati çeken Opstelten,[…]

Çamaşırsuyu kullanarak not düzeltme devri bitti:)

Yıldız Teknik Üniversitesi’nin sitesi bir grup öğrenci tarafından hack’lendi. Ancak bu öğrencilerin amacı bambaşka. Redhack gibi hacker gruplarının siyasi içerikli eylemleriyle gündemde olduğu bir dönemde Yıldız Teknik Üniversitesi’nin sitesi bir grup öğrenci tarafından hack’lendi. Ancak bu öğrencilerin amacı bambaşka. Öğrenciler, bilgi ve not kayıtlarının bulunduğu sisteme sızıp aldıkları düşük notları düzelttiler, yapılmamış stajları da yapılmış gibi gösterdiler.[…]

Çalınan 6,5 milyon Linkedin Şifrelerinin Anatomisi

Metasploit üreticisi Rapid7 güvenlik firması, tarafından yapılan bir araştırmaya göre, açığa çıkan Linkedin hesapları kullanıcıların tercih ettiği şifrelerle ilgili pek çok veri içeriyor. Linkedin hesaplarının şifrelerinin çalınmasının ardından,  Last.fm’deki şifrelerin ele geçirildiğinin ortaya çıkması, sosyal ağlardaki güvenlik açıklarını ve şifre seçimlerindeki tercihlerimizi yeniden gündeme getirdi. Linkedin’deki şifresi çalınan kullanıcılar şifreleri içerisinde en çok “link” kelimesini geçirmişler. Yine[…]