Bug Nedir? Nasıl Oluşur/Bulunur? Bug-Res

spyajan Aktiflik : Mesaj Sayısı : 1028 Yaş : 34 Kayıt tarihi : 23/07/08

Selamun Aleyküm Arkadaşlar.
Bu Dökümanımızda Sizlere Bug İle İlgili Bazı Hususları Anlatacam.
Bug Nedir? Nasıl Oluşur? Nasıl Bulunur? Neler Yapılır? Korunma Yolları Nelerdir?
Başlıklar
Bug Nedir?
Nasıl Oluşur?
Nasıl Bulunur?
Neler Yapılabilir?
Korunma Yolları Nelerdir?
5 Başlık Altında İncleyeceğimiz Bu Dökümanı Dikkatlice Okumanızı Tavsiye Ederim.
Madde 1 : Bug Nedir?
Bug’un Kelime Anlamı "BÖCEK"dir. Fakat Bizler İçin Bug’un Anlamı "Sistem Açığıdır" Bu Açıklar Programlar, Scriptler, Web Tabanlı Uygulamalarda Görülmektedir.(Bize Gerekli Kısmı Burasıdır. Aslında Herşeyde Bir Bug Vardır. Ama Dökümanımız Hacking ve Security Amaçlı Olduğu İçin Sadece Bu Alana Değineceğiz.) Bu Sistem Açığının Bize Göre Analizi "HATA" Olarak Görülmektedir. Hatasız Kul Olmaz Sözü Analizimize Uygundur. Kısacası Bug Bir Sistem Hatasıdır.
Biz Bu Sistem Hatalarının Nasıl Meydana Geldiğini, Nasıl Tesbit Edildiğini, Tesbit Edilen Hata İle Neler Yapılabileceğini ve Bu Hataları Düzeltme Yollarını Öğreneceğiz. Ama Yinede Hata Yapacaksınız/Yapacağız Çünki Hata ve Yanlış Bizler İçindir. Sistemimizdeki Bir Açığı Kapatabiliriz. Ama Bu Açığı Kapatınca Farklı Bir Yerden Farklı Bir Hata Yapabiliriz ve Farkına Varmaya Biliriz. Uzun Lafın Kısası Bug’un Bir Sistem Hatası Olduğu ve Bu Hatayı Herkesin Yapabileceğiniz Öğrendik.
Madde 2 : Bug Nasıl Oluşur?
Arkadaşlar Yukarıda’da Belirttiğim Gibi Bug Yapılan Hatalardan Oluşur. Biraz Örneklendirelim Bunu.
Diyelimki Ben www.elmuhammed.com Alan Adını Satın Aldım. Bu Satın Alma Aşamasındaki Olası Hatalar Şunlardır.
Register Maili Deşifre Bir Adrestir. (Herkes Tarafından Bilinir) Çalındığında Domaininizi Kaybedersiniz.
Alan Adını Satın Aldığınız Domain Firması Amatör Çalışır. Sosyal Mühendislik’le Kandırılabilir.
Satın Aldığınız Domaini Yayına Sokmak İstersiniz ve Bir Hosting firmasından Kendinize Uygun Bir Paket Satın Alırsınız. Host Satın Alma Aşamasındaki Olası Hatalar Şunlardır.
Hosting Firmanız Yukarıdada Belirttiğim Gibi Amatör Çalışır. Sosyal Mühendislik’le Kandırılabilir.
Hosttaki Diğer Sitelerde Açık Vardır. Bu açıkdan Faydalanıp Sizin Sitenizede Saldırılabilir.
Hostcunuz Spy Bir Yazılım Yer Herşeyini Kaybeder Arada Sizin Sitelerinizde Nasibini alır.
Satın Alıp, Host Açtırdığınız Siteniz Artık Yayındadır. Düşünürsünüz Sitenizin Tasarımını Nasıl Yapayım Diye. Bu Aşamadaki Olası Açıklarda Şunlardır.
Sitenize Bir Script Yüklersiniz, Ama Script İçindeki Kodlarda Açık Vardır Hacklenirsiniz.
Sitenize Kurduğunuz Scripti Güncellemezsiniz Yeni Bir Açık Çıkar Hacklenirsiniz.
Kendim Script Yazayım Dersiniz, Zaten Scripti Yazanda Sizin Gibi İnsandır Onun Yaptığı Hatayı Sizde Yaparsınız Kodladığınız Scriptte Açık Bırakırsınız Tesbit Edilirse Yine Hacklenirsiniz.
Admin Şifreleriniz Çalınır Hacklenirsiniz.
Mailiniz Çalınır Hacklenirsiniz.
Sitenize Forum Kurarsınız Yöneticilerden Biri Hacklenir. Forumuda Hacklettirir.
Bunlar Say Say Bitmez. Demekki Her Sistemde Her Uygulamada Bir Açık Kalır. Bu Açıklar Coder Hata’ları Olmakla Beraber Sistem Yöneticisininde Hatalarını Kapsar.
Madde 3 : Bug Nasıl Bulunur?
Bu Maddeyi Bir Sistem Güvenlikcisi Olarak Değilde HACKER Olarak Ele Almamızda ve Yazmamızda Fayda Var.
Günümüzde Birçok Bug’cu Diye Adlandırdığımız Sistemlerdeki Güvenlik Zaafiyetlerini Ortaya Çıkaran Kişiler Var. Bunlar Genelde Hazır Scriptleri İndirir Kaynak Dosyalar İçerisinde Güvenlik Zaafiyeti Oluşan Yerleri Tesbit Eder.
Tesbit Ettiği Bu Güvenlik Açığından Sitelere Saldırır. Peki Bu Açıklar Nasıl Bulunur.
Eğerki Bir Hedef Siteniz Yoksa Gün Boyu Oturur Ücretsiz Script Paylaşan Sitelerden Scriptleri İndirir ve Kodlarda Açık Aramaya Başlar. Açık Bulduğu Scripti Kullanan Bütün Siteleri Hackler.
Eğerki Bir Hedef Sitesi Varsa İşi Daha Zordur.
Hedef Siteyi Analiz Eder.
Hedef Site Sahibini Analiz Eder.
Hedef Sitenin Bulunduğu Hostu Analiz Eder.
Hedef Sitenin Register Edildiği Siteyi Analiz Eder.
Hedef Sitenin Analizi ve Bu Sitedeki Bug Arama İşlemleri Aşağıdaki Gibidir.
Daha Öncede Sizlere Dökümanlarımda Belirtmiştim Bunu Ancak Tekrar Etmekte Fayda Var.
Sitenin Kullandığı Scripti Araştırır ve Script Kodlarında Bug "HATA" Arar.
Hedef Site Sahibinin Analizi Aşağıdaki Gibidir.
Kişiye Ait Mail/Msn Adreslerini Tesbit Eder. Kişiyle İletişim Kurma Yollarını Arar.
Hedef Sitenin Bulunduğu Hostun Analizi aşağıdaki Gibidir.
Eğer Sitede ve Hedef Site Sahibinde Bug "HATA" Bulamazsa. Host Firmasını Tarar ve Hosttaki Diğer Sitelerden Bir Açık Bularak Sistemi Delmeye Çalışır.
Hedef Sitenin Register Edildiği Sitenin Analizi Aşağıdaki Gibidir.
Ağerki Yukarıdaki İşlemlerden Hiç Biri Sonuç Vermezse Son Dönemlerin En Yaygın Yöntemi Olan Sosyal Mühendislik’le Domain Firmasını Kandırma Yoluna Gider.
Yukarıdaki Bazı Maddeleri Kısaca Geçiyorum Çünki Her Biri İçin Ayrı Ayrı Dökümanlarımız Sitede Mevcuttur.
Madde 4 : Tesbit Edilen Bug’la Neler Yapılabilir?
Eğerki Bir Bug’cu Tarafından Sitenizin Açığı Tessbit Edilmişse Hack Kaçınılmazdır.
Sitenizde Oluşan Bug Sayesinde Hacker Sizin Sitenizle Yetinmez Hostta Barınan Bütün Siteleri Hackler.
Diyelimki Sitenize Bir Hacker Bulduğu Bug Sayesinde Girdi. Burada Sizin Yetkileriniz Kadar Yetkili Olacaktır. Hatta Sistemi Deldiğinde Hosting Sahibinide Yetkilerine Kadar Uzanan Geniş Bir Yönetsel Yetkiye Sahip Olur.
Bulunan Her HATA’nın Sonucunda İhtiyaç Duyulan Meteryal Bir Adet Shell’dir. Shell’ile Neler Yapıldığını Daha Önceki Konumda Bahsetmiştim. Bu Yüzden Fazla Değinmeyeceğim
Madde 5 : Korunma Yolları Nelerdir?
Yukarıda Dedikki Her Sistemde HATA Olur. Her Sistemde Açık Olur. Ancak Bu Şu Anlama Gelmez Bırakalımda Ne Olursa Olsun. Bizler Tedbirimizi Alacağız.
Dökümanı Başa Saralım. Madde 2’de Çeşitli Güvenlik Zaafiyetlerinden Bahsettik. Önlem Olarak Neler Yapabiliriz.
1) Register Maili Deşifre Bir Adrestir. (Herkes Tarafından Bilinir) Çalındığında Domaininizi Kaybedersiniz. Demişiz.
Önlemi Nedir? Bir Alan Adı Satın Aldığımızda Deşifre Olmayan ve MSN Olarak Kullanmadığımız Adresler Üzerine Kaydetmeliyiz.
2) Alan Adını Satın Aldığınız Domain Firması Amatör Çalışır. Sosyal Mühendislik’le Kandırılabilir. Demişiz.
Önlemi Nedir? Profesyonel Çalışan Yerlerden Almalıyız ve Uyarmalıyız.
3) Hosting Firmanız Yukarıda’da Belirttiğim Gibi Amatör Çalışır. Sosyal Mühendislik’le Kandırılabilir. Demişiz.
Önlemi Nedir? Profesyonel Çalışan Yerlerden Almalıyız ve Uyarmalıyız.
4) Hosttaki Diğer Sitelerde Açık Vardır. Bu açıkdan Faydalanıp Sizin Sitenizede Saldırılabilir. Demişiz.
Önlemi Nedir? Profesyonel Çalışan Firmalardan Host Aldığımızda Zaten Sistem Günceldir Rootlanmaz ve Host Delinmez. Sadece Açığı Olan Site Zarar Görür.
5) Hostcunuz Spy Bir Yazılım Yer Herşeyini Kaybeder Arada Sizin Sitelerinizde Nasibini Alır. Demişiz.
Önlemi Nedir? Firmalarla Çalışırsanız Bu tip SPY’lara Karşı Önlemler Alınmıştır.
6) Sitenize Bir Script Yüklersiniz, Ama Script İçindeki Kodlarda Açık Vardır Hacklenirsiniz. Demişiz.
Önlemi Nedir? Sitenize Yüklediğiniz Her Şeyi Gözden Geçirmelisiniz. ve Araştırmalısınız Daha Önce Açığı Bulunmuşmu Diye.
7) Sitenize Kurduğunuz Scripti Güncellemezsiniz Yeni Bir Açık Çıkar Hacklenirsiniz.
Önlemi Nedir? Sitenizi Sürekli Güncel Tutmanızdır.
Admin Şifreleriniz Çalınır Hacklenirsiniz. Mailiniz Çalınır Hacklenirsiniz. Yöneticilerden Biri Hacklenir. Demişiz.
Önlemi Nedir? Kişisel Güvenliğinizi Sağlamalısınız.
Kısacası Arkadaşlar Her Zaman Dikkatli Olmalısınız. Gerek Hacking Gerekse Security Konularında Tedbirli Olmalısınız.
Döküman Bitmiştir. Aslında Görsel Anlamda’da Dökümana Ekler Yapacaktım Ama Şuanda Döküman Yazdığım Bilgisayarda İnternet Olmadığı İçin Ancak Bukadar Çıktı.
Umarım Faydası Olmuştur. Anlamadığınız, Karışık Gelen veya Tekrar Anlatılmasını İstediğiniz Yerler Olursa Konu Altına Yazın. Eklemek İstediğiniz Hususlar Varsa Bunlarıda Belirtin.

spyajan

» FtP Nedir ?