“27 Nisan-1 Mayıs arasında kurumunuza siber saldırı yapılabilir!” Bu uyarı dün tüm kamu kurumlarının bilgi işlem yöneticilerine gönderildi. Gönderen ise TÜBİTAK. TÜBİTAK bünyesinde çalışan Ulusal Bilgisayar Olayları Müdahale Ekibi Koordinasyon Merkezi (TR-BOME), Emniyet Genel Müdürlüğü Bilişim Suçlarıyla Mücadele Başkanlığı’ndan gelen siber saldırı olabiliruyarısının ardından kamuya muhtemel saldırıları anlattı ve önlem alınmasını istedi.

En dikkat çekici uyarı ise “Basit parolaları değiştirin” oldu. Bu uyarı akla RedHack’i ve onun hack’lediği Emniyet Genel Müdürlüğü ve İçişleri Bakanlığı’nı getirdi. İki kurumun da admin şifresinin 123456 olduğu ortaya çıkmıştı.

TÜBİTAK’ın kamu kurumlarına gönderdiğini teyit ettiği iletide şu ifadelere yer verildi: “Sayın Sistem Yöneticisi, TÜBİTAK Bilgi ve Bilgi Güvenliği İleri Teknolojiler Araştırma Merkezi bünyesinde faaliyet gösteren Ulusal Bilgisayar Olayları Müdahale Ekibi Koordinasyon Merkezi (TR-BOME), ülkemizde meydana gelen veya gelebilecek siber güvenlik olayları ile ilgili yurtiçi ve yurtdışından internet sayfası,

e-posta adresi, telefon yoluyla ihbar kabul etmekte ve olayla ilgili taraflar arasında koordinasyon görevini yürütmektedir. ,

Emniyet Genel Müdürlüğü Bilişim Suçlarıyla Mücadele Başkanlığı’ndan gelen bilgi ve internet forum sitelerinden elde edilen bilgiler neticesinde, 27 Nisan-1 Mayıs tarihlerinde kurumunuza yönelik siber saldırı yapılabileceği bilgisine ulaşılmıştır.”
”Anonymous  harekete geçti
Uluslararası hacker grubu ”Anonymous”un bazı bakanlıklar ve kamu kurumlarının internet sitelerine yönelik siber saldırı düzenlediği bildirildi.

Bir süre önce Türkiye’deki kamu kurumlarının internet sitelerine siber saldırı düzenleyeceğini duyuran Anonymous bünyesinde hareket eden hackerlar, saat 20.00 sıralarında Adalet, İçişleri ve Dışişleri bakanlıklarıyla Emniyet Genel Müdürlüğü bünyesindeki web sitelerine ”DDOS” adı verilen internet erişimini engellemek için hakerete geçti.

Siber saldırıyla birlikte Bilgi Teknolojileri ve İletişim Kurumu Başkanlığı bünyesindekiTelekomünikasyon İletişim Başkanlığında (TİB) görev yapan uzman ekip, kamu kurumlarıyla organize hareket ederek savunma görevini üstlendi. Bir süre önce TİB bünyesinde siber tehditlere karşı kurulan Teknik İşletme Daire Başkanlığı da siber savunmada aktif rol üstlendi.

-Saldırıdan internet siteleri etkilenmedi-

TİB Teknik İşletme Daire Başkanı Dr. Barış Yaslan, AA muhabirine yaptığı açıklamada, siber saldırının hedefinde aralarında, TBMM’ye ait www.meclis.gov.tr, Adalet Bakanlığı’na ait www.adalet.gov.tr, İçişleri Bakanlığı’na ait www.icisleri.gov.tr, Dışişleri Bakanlığı’na ait www.mfa.gov.tr, Emniyet Genel Müdürlüğü’ne ait www.egm.gov.tr ile Hakimler ve Savcılar Yüksek Kurulu’na ait www.hsyk.gov.tr adresli sitelerin de yer aldığı yaklaşık 20 web sitesinin bulunduğunu söyledi.

Başta internet servis sağlayıcıları olmak üzere tüm güvenlik birimleri ve bakanlıklarla gece yarısına kadar siber güvenlik için başarılı bir koordinasyon sağlandığını kaydeden Yaslan, TÜBİTAK’ın da desteğiyle saldırının etkisiz kaldığını belirtti.

Yaslan, yaklaşık 2 saat süren siber saldırı sonrası amaçlarına ulaşamayan Anonymous grubunun eylemlerine son vererek geri çekildiğini vurgulayarak, saldırıdan söz konusu internet sitelerinin etkilenmediğini bildirdi.

-İnternette şebekesinde kesinti-

Bu arada Anonymous’un siber saldırısının ardından başta İstanbul ve Ankara olmak üzere bazı illerdeki internet şebekelerinde kesintiler yaşandı.

TİB Teknik İşletme Daire Başkanı Dr. Barış Yaslan, kesintinin siber saldırıyla bir ilişkisi bulunmadığını belirterek, sorunun servis sağlayıcının teknik altyapısından kaynaklandığını söyledi.

Türk Telekom yetkileri ise sorunun giderilmesinin ardından sosyal medya üzerinden yaptıkları açıklamada, ”Yaşanan kısa süreli teknik bir aksaklık nedeniyle internet erişiminde bazı bölgelerde kısa süreli sorun yaşanmış, ekiplerimizin anlık müdahalesi ile yaşanan sorun giderilmiştir” ifadelerini kullandılar.

Milliyet

Aynı kaynaklar, 250-600 dolar fiyat arasına olması tahmin edilen gözlüklerin bu yıl sonunda piyasaya sürülebileceğini ifade etti.

NYT’nin elde ettiği bilgilere göre, Google gözlükler Android işletim sistenmiyle çalışacak, kullanıcının gözünden birkaç santim mesafede duracak küçük bir ekran içerecek. 3G veya 4G özelliği bulunacak gözlüklerde GPS’de yer alacak. Google, söz konusu proje hakkında açıklama yapmadı.

ÖZEL NAVİGASYON SİSTEMİ
9 to 5 Google blog sayfasının yazarlarından Seth Weintraub, ilk olarak Aralık ayında hakkında bilgi elde ettiği gözlüklerin tasarım açısından Oakley Thumps gözlüklerine benzeyeceğini öne sürdü.

Weintraub, blog sayfasında, “Google gözlüklerinin spesifik bir navigasyon sistemine sahip olacağını, kafa hareketleriyle ekranın akışının sağlanıp tuşlarının kontrol edileceğini” yazdı. Gözlüğün bu şekilde kullanımı o kadar kolay olacak ki, dışarıdan bakanlar hiçbir şey fark etmeyecek.

KAMERALAR HER YERİ GÖRECEK
Google çalışanları, gözlüklerin düşük çözünürlüklü kameraya sahip olacağını ve gözlüğü takan kişinin konumunu, etrafındaki binaları ve yakınındaki insanları her an denetleyebileceğini aktardı.

Google’ın, “gözlükleri sürekli takılacak bir akseuar olarak tasarlamadığını ancak gözlükleri çıkartmak istemeyecek ineklere karşı da temkinkli olduğu” söylentiler arasında. Bu yüzden, mühendisler gözlüklerin akıllı telefonlar gibi ihtiyaç duyuldukça kullanılması üzerinde odaklanıyor.

Mühendislerin, gizlilik sınırlarını ihlal etmemek için gözlükler tarafından kameraya kaydedilecek kişilerin, bundan haberdar olması konusunda güvence almaları gerektiğini tartıştıkları belirtildi.

GOOGLE’IN FÜTÜRİSTİK LABORATUARI
Google gözlükleri, şirketin robotlar, uzay asansörleri ve buna benzer fütüristik projeleriyle uğraşan X laboratuarlarında geliştiriliyor.

Gözlük projesinde yer alan kişilerden biri, Google’ın haritalama yazılımı Latitude projesinin yaratıcısı Steve Lee. Konuyla ilgisi olan kaynaklar, buradan yola çıkarak gözlüklerin en büyük özelliklerinden birinin konum bilgileri sağlamak olacağını ifade ediyor.  Gözlükler üzerinde kafa yoran bir diğer önemli isim, Google’ın kurucularından Sergey Brin.

YAZILIMLARLA UYUMLU OLACAK
Bir Google çalışanı, süper gözlüğün Google yazılılımlarıyla uyumlu olacağını ve ekranda belirecek bilgilerin, internet tarayıcılarının aksine çok daha gerçekçi bir görünüme sahip olacağını söyledi.

Gözlükler, verileri ilk olarak depolama servisi buluta aktaracak, oradan Google Latitude gibi yazılımlarla bilgi paylaşacak. Böylece, gözlükleri takan kişi yakınlarındaki binalar ve adresler hakkında bilgi edinecek. Kişi, arkadaşlarıyla bulunduğu konum hakkında bilgi alışverişi yapabilecek.

HERKES PROJEDE YER ALABİLİR
Gözlük projesi hakkında bilgisi olan kaynaklar, Google’ın gözlük projesiyle iş modellerine odaklanmadığını, tersine, projeyi herkesin katılabileceği bir deney olarak gördüğünü ifade etti. Eğer tüketicilere uyumlu olduğu görülürse, Google gözlükleri satışa sunabilir.

Google’ın, geçtiğimiz yıl “giyilebilen bilgisayarlar” üzerinde çalıştığı öne sürülmüştü. Analistler, şirketin bu alandaki ilgisinin, “bileğe takılabilen bilgisayarlar” olduğunu öne sürüyor.

San Jose Mercury News gazetesi, geçtiğimiz hafta elde ettiği bilgilere göre, Google’ın 120 milyon dolarlık bir elektronik ürün test etme tesisi kuracağını ve burada “hassas optik teknoloji” projelerinin yürütüleceğini iddia etti.

kaynak nvtmsnbc.com

Microsoft’un hem mobil cihazlar, hem de bilgisayarlar için hazırlamakta olduğu işletim sistemi Windows 8, farklı arayüzü sayesinde bir hayli ilgiyle beklenen bir yazılım durumunda.

Yıllardır alıştığımız Windows arayüzünde farklı bir boyut kazandıracak olan bu işletim sistemi, çoğu kullanıcıyı denemek için sabırsızlandırıyor.

Peki Microsoft Windows 8′de hangi noktada? Microsoft, Windows 8′in beta sürümünü piyasaya sürmeden önceki son dönemde şu sıralar.

Hazırlanmakta olan Windows 8, şu anda betadan önceki son haline ulaşmış durumda.

Bu son sürümün ardından, beta sürüme geçiş yapılacak. Betanın herkese açık olup olmayacağı konusunda ise henüz kesin bir bilgi bulunmuyor.

Geçtiğimiz sene beklenen fakat iPhone 4S‘in çıkmasıyla birlikte başka bahara kalan iPhone 5 hakkında önemli bir söylenti ortaya çıktı.

Bir Foxconn çalışanının 9to5mac sitesine yaptığı açıklamaya göre iPhone 5′ler üretim aşamasındaymış. Hazırlıkların hepsi tamamlanmış ve artıksatışa çıkmayı bekleniyormuş.

Çalışanın aktardıklarına göre iPhone 5′in en önemli özelliği büyük ekranlı olmasıymış. 3.5 inçlik iPhone ekranı artık 4 inç olacakmış. Tasarımı ise yine iPhone 4 gibi keskin hatlara sahip olacakmış.

iPhone 5 için Apple tarafından resmi bir açıklama yapılmasa da isimsiz Foxconn çalışanı bu konuda da açıklama yaptı.

Buna göre iPhone 5, 2012′nin yaz aylarında piyasaya çıkacak. iPhone 4S’i saymazsak önceki iPhone’lar da yine bu dönemde piyasaya çıkmıştı.

iPhone 5′in yazın piyasaya çıkmasını işaret edecek bir diğer belirti de AT&T ile alınan iPhone 4 kontratlarının bu yaz bitecek olması.

Böylece iPhone 4 sahipleri, ara model olan iPhone 4S’i atlayıp kontratları bittikten sonra iPhone 5 ile kontratlarını yenileyebilecek.

Bankacılık işlemlerinizi artık Facebook’tan da gerçekleştirebilirsiniz!

Denizbank’tan müthiş bir hizmet. Arkadaşınıza para gönderin, hesabı olmasa bile DenizBank ATM’sinden çeksin ya da başkasına göndersin.

Uygulama üzerinden kredi kartı ve hesap bilgilerinizi görüntüleyin, ajandanızı düzenleyin.

Dünyada ilk olan uygulamamız ile geleceğin bankacılık deneyimini yaşayın. Bundan böyle feys’te de hayat Deniz’de güzel!

Aktivasyon

DenizBank Facebook Bankacılığı’nı kullanabilmeniz için öncelikle AçıkDeniz İnternet Bankacılığı kullanıcı adı ve e-parolanızın olması gerekmektedir.

Aktivasyon için aşağıdaki adımları izleyebilirsiniz.

• AçıkDeniz’e e-parolanız ve giriş yapın,
• Facebook Bankacılığı menüsünden; Facebook Bankacılığı’nda kullanmak istediğiniz hesabı seçin,
• “Facebook’a Bağlan” butonuna tıklayın,
• Son olarak da Facebook hesap bilgilerinizi girerek DenizBank hesabınızla Facebook hesabınızı eşleştirin.

Aktivasyon işlemi bir defaya mahsus yapılmaktadır.

Nasıl Kullanırım?

Facebook.com/Denizbank altında yer alan Bankacılık sekmesindeki “SMS Şifresi Al” butonuna tıkladıktan sonra bankamızın sisteminde kayıtlı cep telefonunuza gelen doğrulama şifresi ile uygulamaya giriş yapabilirsiniz.

Uygulamaya her girişinizde bankamızın sisteminde kayıtlı cep telefonunuza SMS Şifresi gönderilerek giriş yapmanız istenecektir.

Hangi İşlemleri Yapabilirim?

Para Transferi

Arkadaşlarınızın cep telefonlarına veya hesaplarına 7/24 para gönderebilirsiniz. Para gönderdiğiniz arkadaşınız, DenizBank müşterisi olmasa bile herhangi bir DenizBank ATM’sinden gönderdiğiniz tutarı çekebilir.

Kart Bilgileri

Tüm DenizBank kredi kartlarınızın özet bilgilerini izleyebilir, geçmiş dönem harcama grafiğini görüntüleyebilir, harcamalarınızı sektör bazlı grafikte görebilirsiniz.

Varlıklarım

Vadeli-vadesiz hesap bakiyelerinizi görebilir, kredi ve kart borçlarınızı takip edebilir, fon portföyünüzü görüntüleyebilirsiniz.

Ajanda

Ajandanız sayesinde arkadaşlarınızı doğum günlerini görebilir, hatırlatmalar ile ödeme tarihlerinizi takip edebilirsiniz.

Müşteri Memnuniyet Merkezi

Her türlü şikayet, memnuniyet ve öneri mesajlarınızı anında paylaşabilirsiniz.

Güvenlik

DenizBank Facebook Bankacılığı, tüm dünyaca benimsenmiş güvenlik standartlarını kullanmasının yanı sıra, ekstra güvenlik modülleri de içermektedir. DenizBank Facebook Bankacılığı’ndaki veri güvenliği için 128 bit şifreleme kullanılmaktadır.

Aktivasyonunuzun ardından Facebook hesabına giriş yaptıktan sonra DenizBank Facebook Bankacılığı uygulamasında, bankamızın sisteminde kayıtlı cep telefonuna gelecek SMS şifresi ile giriş yapabilirsin.

SMS şifresi uygulamaya her girişinde bankamızın sisteminde kayıtlı cep telefonunuza gönderilerek giriş yapmanız istenecektir. SMS şifresi, mevcut güvenlik yapısına ek olarak geliştirilen ve cep telefonunuza gönderilen tek kullanımlık Güvenlik Kodu ile en üst güvenlik seviyesinde işlem yapmanızı sağlayan bir uygulamadır.

explode

Bu fonksiyon sayesinde belirli bir metni, istediğiniz bir karakteri referans alarak bölebilir ve istediğiniz bir diziye aktarabilirsiniz.

$metin  = "Merak ne güzel şey, güzel şey merak!";
$dilimler = explode("," , $metin);
echo $dilimler[0]; // Merak ne güzel şey
echo $dilimler[1]; //  güzel şey merak!

strip_tags

Bir metin içindeki HTML etiketlerini kaldırmak ve istediğiniz etiketlere izin vermek için bu fonksiyonu kullanabilirz. Örnekte < b > etiketine izin verecek, < em> etiketini kaldıracağız.

$metin  = "Merak ne güzel şey, güzel şey merak!";
echo strip_tags($metin,''); //Merak ne güzel şey, güzel şey merak!"; 

date

Bu fonksiyonu her zaman kullanmak zorunda kaldığımı itiraf ediyorum. Yanlış anlaşılmasın, memnunum tabi böyle kullanışlı ve ihtiyacımı gören bir zaman fonksiyonu bulunduğu için. Daha sonra sadece PHP’nin zaman fonksiyonları üzerine makale yazmayı planladığım için burada ufak bir örnekle paragrafı tamamlıyorum.

echo date('d.m.Y H:i');
// 14.09.2009 19:12

include

Bir dosya içinde başka bir dosya çağırma fonksiyonudur. Örnekte anasayfa.php dosyasının içine ayar.php dosyasını çağıracağız.

include('ayar.php');

switch

Koşullu işlemler için kullanabileceğimiz güzel bir fonksiyondur.

$meyve="limon";

switch ($meyve) {
    case "elma":
        echo "Elma tatlıdır.";
        break;
    case "limon":
        echo "Limon ekşidir.";
        break;
}

goto

Bu fonksiyonu Qbasic’ten hatırlarım hep. Çalışmanızdaki farklı bir bölüme atlamanıza yarar.

goto a;
echo 'güzel şey merak!';

a:
echo 'Merak ne güzel şey,';

// Merak ne güzel şey,

str_replace

Metnin içindeki bir unsuru (kelime, karakter, cümle vb.) başka bir terimle değiştirmek isterseniz bu fonksiyonu kullanabilirsiniz.

$metin = str_replace("güzel", "çirkin", "Merak ne güzel şey, güzel şey merak!");
echo $metin;
// Merak ne çirkin şey, çirkin şey merak!

Örnek Ders

Bu eğitim setinin örnek bir videosunu şurada bulabilirsiniz.

CodeIgniter Eğitim Seti İçeriği

Bu eğitim seti aşağıdaki konularda hazırlanmış videolardan oluşmaktadır.

• CodeIgniter Kurulumu
• CodeIgniter’i Tanıyalım
• CodeIgniter Controller ve View İlişkisi
• CodeIgniter Active Records’u Tanıyalım.
• CodeIgniter Model View Controller (Mvc) İlişkisi
• CodeIgniter Helpers Kullanımı
• CodeIgniter Library Kullanımı
• CodeIgniter Plugins Kullanımı
• CodeIgniter Template Parser Kullanımı
• CodeIgniter Session Sınıfının Kullanımı
• CodeIgniter Mail Sınıfını kullanarak Mail Göndermek
• CodeIgniter Pagination Sınıfını Kullanarak Sayfalama Yapmak
• CodeIgniter Upload Sınıfının Kullanarak Dosya Upload Etmek

Eğitim seti hakkında daha fazla bilgiye aşağıdaki adresten ulaşabilirsiniz.

www.webteders.com/egitim_setleri/codeigniter/

Bu güzel ve faydalı çalışması nedeniyle İbrahim Hızlıoğlu‘na teşekkür eder, hayırlı satışlar dilerim.

Aşağıda listemiş olduğum web uygulumalarında, tipik güvenlik açıkları ve yaptığımız hatalar mevcuttur. (Ben PHP’den ele aldım. Ama diğer dillerde de aynı mantıkla güvenlik açıkları çalışıp, kapatılabilir.)

1.Cross-site scripting (XSS)

XSS açıkları, saldırganın sitesine girilerek, çalışan zararlı kodlardır (javascript). Aşağıda bir örnek verelim. Request ile gelen değeri database’imize kaydettikten sonra, direk ekrana bastığımızı varsayalım.

Burada hiç bir filtreleme fonksiyonu kullanmadık. Formdan ne geliyorsa direk yazdırıyoruz. Bazı html karakterlerini form’dan gönderdiğimizi varsayalım . “<b>Merhaba” diye girdiğimiz stringi ekrana Merhaba olarak basacaktır. (Bold ile). Yani html karakterlerini biz sayfamıza gönderebiliyoruz demektir. Bu durumda salgırgan hazırlamış olduğu javascript kodlarını (cookie sniffer, iframe trojan downloader, vs…) sayfamıza yüklemeye çalışacaktır. Zararlı kod bulunan sayfaya yetkili kullanıcılar girdiği zaman çerez bilgilerini alabilir, PC’ye html yol ile virüs bulaştırabilir vb…

Korunmak için ister kendi fonksiyonumuzu yazarak, zararlı kodları ve kabul edilen html karakterler harici tüm html taglarını sildirebiliriz veya PHP ile birlikte gelen bazı hazır fonksiyonları kullanabiliriz. input_filter extension ile değişkenlerimizi filtreden geçirebiliriz.

2.Cross-site request forgery (CSRF)

Daha önceden de CSRF’den korunma ile ilgili makale yazmıştım. Yine en çok görülen websitelerde ki ortak güvenlik açıklarından biridir. Açık bir çok yerde görülebiliyor. Image src’lerine dışarıdan girilen GET methodu ile kod çalıştırma, veya Form’lardan gelen verilere, veya direk request string’ler kod yazarak uygulanabiliyor. Örnek bir uygulama yapalım. Bir eticaret sistemi kodladınız diyelim. Sepete eklenen ürünleri silme aşamasındasınız. Sepeti silme işleminde direk GET methodu ile alınan değişkene göre kontrol ettirerek, sepeti silme işlemini onaylıyorsunuz diyelim.

Bu durumda Olay değişkeninde ki değer “SepetiSil” ise, direk sepeti silme işlemini yaptığınızı varsayalım. Saldırgan bunu sayfaya farklı bir şekilde değişkeni ve değeri yükleyerek işlemi farklı bir şekilde karşı tarafta çalıştırabilir. Sayfaya aşağıdaki image kodunu koyduğunu varsayalım. Browser, Image içindeki src tagını yüklemeye çalışacak, server GET methodunu algılayacak ve bu işlem çalışmış olacak.

Sayfaya giren yetkili kişiler (Giriş yapanlar, yetkisi olanlar vs.) aynı sepeti sil işlemini GET methodu ile çalıştırmış gibi arka planda işlemi yapacaktır. Saldırgan, resmin genişlik ve yükseklik değerlerini 0 yaptığı için de, sayfada image görünmeyecek ve sayfaya girenlerin sepeti silinecek.

Korunma yolu da, güvenli çift taraf kontrollü anahtar numaraları üretmektir. Detaylı bilgi için daha önceden yazdığım makaleyi inceyelebilirsiniz.

3.Click-jacking

2010 yılına damgasını vuran, facebook click-jacking ile daha da meşhur olan bir güvenlik açığıdır. Burada mantık şu, saldırgan sayfasına javascript ile zararlı kodları çalıştırıyor. Kodlar Cursor’un ucuna gizli (opacity:0 ile) iframe koyuyor. İframe’in içine tıklanacak veriyi koyuyor. Kurban sayfaya girdiği zaman nereye tıklarsa tıklasın, gizli olarak iframe içerisinde ki, saldırganın hazırladığı yere farkında olmadan tıklıyor. Örnek uygulama için buraya girebilirsiniz.

Korunma yolları için, daha önceden de dediğim gibi verilerinizi db’ye eklemeden önce bazı karakter filtreleme fonksiyonlarından geçirmelisiniz. Örnek veriyorum, ziyaretçi defteri yaptınız. Saldırgan direk  bu zararlı kodları, güvenlik açığı bulunan ziyaretçi sistemi ile yükleyip çalıştırabilir.

4.SQL injection

Web uygulamalarında bilinen en tehlikeli güvenlik açığı türüdür. Bir çok çeşitleri vardır. (Blind, Advanced vb…) Tehlike o kadar büyüktür ki, web sitenizi barındırdığınız sunucu bile tehlikeye girebilir. Sql işlemlerinde (Insert, Update, Select vs…), kodlayıcıların güvenlik hatalarından dolayı çıkan hatalardır. Örnek vermek gerekirse,

Get methodu ile alınan değer direk sql sorgusunun içine yazılarak sorgu çalıştırılıyor. Saldırgan, değişkene bir string veya integer değer değilde, sql de anlamları olan bir komut yazdığı zaman (UNION, ORDER BY, LIMIT vs…) $Id değişkeninin aldığı değerler değişiyor ve sql sorgusu içerisine giriyor. Bu durumda saldırgan, istediği gibi $Id değişkenine sorgu cümleleri yazıp, diğer tablolara veya kolon üzerindeki bilgilere ulaşabiliyor. Gelişmiş yöntemlerle sql komutları ile server da istediği Shell komutlarını çalıştırabiliyor.

Korunmak için yine php’nin hazır fonksiyonlarından faydalanabiliriz. Üst düzey bir koruma isterseniz, donanımsal firewall’lar, Açık kaynak kodlu server güvenlik sistemleri gibi (mod security) sistemlerden faydalanabilirsiniz. Ama biz ücretsizlerden faydalanalım Php fonksiyonlarından olan mysql_real_escape_string ile güvenli sql sorgusu yazabilirsiniz. Tüm Request stringleri filtrelerden geçirebilirsiniz. (SQL için zararlı karakterler)

5.Shell injection

Sql injection açığı ile serverlarda komut çalıştırılabilir ( system(), exec() gibi). Korunma yolları da sql injection ile hemen hemen aynıdır. Zararlı karakterleri filtreden geçirebilirsiniz.

6.Phishing

Kullanıcıların özel bilgilerini (şifreler, kullanıcı adları, telefon numaraları, kredi kart numaraları), saldırganlar tarafından hazırlanan, bu bilgileri çalmak için kurulan sahte web sayfalarıdır. Domain isimleri, gerçek siteler ile o kadar çok benzer ki, dikkat edilmediği sürece anlaşılmaz. Korunma yöntemleri ise, web sitelerinizin kullanıcı girişlerini mutlaka SSL ile yapın. SSL sertifikası satın alın. SSL ile detaylı bilgi için buraya bakabilirsiniz.

7.Diğer Güvenlik Açıkları

Gelişen teknoloji ile her an, her sistemde farklı bir güvenlik açığı türü keşfedilebiliyor. Bu saydıklarım en bilinenleri ve tehlikeli olanları. Bu yazdıklarım harici bazı bilinen diğer güvenlik açıkları mevcuttur.

• Code injection
• Remote File Inclusion
• Local File Inclusion

Bu makalemde, yazdığınız scripte ki güvenlik açıklarını bir nevi kapatabilirsiniz. Hiç bir sistem %100 güvenli değildir.Onu da söylemek istedim. İlerideki makalelerimde bu başlıkları detaylı olarak inceleyeceğiz örnekler vererek sistemimizi ve scriptimizi korumaya çalışacağız.

İyi Çalışmalar…

• print yerine echo kullanınız. Echo print’ten daha hızlıdır.
• Array’lerde > $deger['sutun'] $deger[sutun]‘dan daha hızlıdır.
• <? yerine <?php kullanın.
• if/else yerine switch/case kullanmaya çalışın.
• Kesinlikle SQL sorgularınızı döngüler içine yazmayın.
• Sql sorgunuzu tek seferde çalıştırıp, arrayler üzerinde işlemler yapın.
• Değişkenlerinizi kopyalamayın. Direk üzerinde işlem yapın. ($Veri = $GelenVeri gibi…)
• Kullanmayacağınız php eklentilerinizi php.ini den pasif yapın.
• PHP’nizi ve server’ınızda ki component’lerinizi güncel tutun.
• Verilerinizi ve tüm sayfalarınızı istemcilere sıkıştırarak gönderin. (Bknz. Gzip ile bandwidth düşürme )
• Yüksek bir sunucu yükünüz varsa mutlaka
  • eAccelerator
  • MemCached
  • Yazılım tabanlı caching mekanızmaları.[Framework'ler] (CodeIgniter, Zend vs…)
• Yine sunucu yükünüz aşırı fazla ise PHP’nin session fonksiyonunu pek kullanmayın. Verilerinizi Memory‘de veya istemcilerin cookie‘sine tutabilirsiniz.
• Yine aşırı yüklerle uğraşıyorsanız, Apache server yerine Nginx server veya LightHttpd kullanabilirsiniz. Sunucu karşılaştırmaları için buraya bakabilirsiniz.
• Değişkenleriniz ve arrayleriniz ile işiniz bittikten sonra unset ile Memory’den silin.
• require_once() fonksiyonu diğer include fonksiyonlarından daha yavaş çalışır.
• str_replace, preg_replace‘den daha hızlı çalışır.
• Apache’nin mod_deflate özelliğini açın.
• DB ile işlemleriniz bittikten sonra bağlantıyı kapatın.
• Hata ayıklamak için error_reporting (E_ALL ) kullanın.
• Statik içerikler için, hızlı dosya serverları kullanın (thttpd) [img.sitem.com, js.sitem.com vs...]

Sizinde php ve sunucu performansı ile ilgili bildiğiniz mini ipuçlarınızı yazabilirsiniz.

Kaynak:

• Kodaman

WPS protokolü, kablosuz ağlar konusunda tecrübesiz kullanıcıların cihazlarını ağa kolayca dahil edebilmesini sağlayan bir özellik. Fakat protokoldeki PIN doğrulama sisteminde yer alan bir tasarım hatası yüzünden saldırganlar, doğru PIN’i elde edebilmek için gereken brute-force saldırısının süresini büyük oranda azaltabiliyorlar. Hata sayesinde saldırganlar sekiz haneden oluşan PIN’in ilk dört hanesinin ne zaman doğru olduğunu kolayca anlayabiliyorlar.

SORUN KİLİT MEKANİZMASININ OLMAMASI
Hürriyet’in haberine göre; Belirli sayıda yanlış PIN girişinden sonra sistemin gerekli kilit mekanizmasına sahip olmaması yüzünden bazı yönlendiriciler brute-force saldırısına karşı korumasız kalıyorlar.

Söz konusu açık için şu anda herhangi bir çözüm yok. Kullanıcıların şimdilik WPS özelliğini devre dışı bırakması ve WPA şifreleme kullanması tavsiye ediliyor. Konu hakkında üreticilerden de herhangi bir açıklama yok ancak yönlendiriciniz veya modeminiz için yeni bir Firmware sürümü çıktığında güncellemeniz güvenliğinizi artırabilir.

ntvmsnbc