Bir süre önce bir projem gereği XMLHTTPRequest nesnesi ile çalışma yapmam gerekiyordu.

Bu sırada bu nesneye ait ufak bir örneği sizlerle paylaşıyorum.Örnekten de anlaşılacağı üzere tarayıcıların ajax destekleyip desteklemediğini kontrol eden bir uygulamadır.

İstemci - Sunucu uygulamasına basit bir örnek olarak çalışmalarınızda rahatlıkla kullanabilirsiniz.

<html>

<body>
<script type="text/javascript">function ajaxFunction()
  {  var xmlHttp;
  try
    {    // Firefox, Opera 8.0+, Safari    xmlHttp=new XMLHttpRequest();    }
  catch (e)
    {    // Internet Explorer    try
      {      xmlHttp=new ActiveXObject("Msxml2.XMLHTTP");      }
    catch (e)
      {      try
        {        xmlHttp=new ActiveXObject("Microsoft.XMLHTTP");        }
      catch (e)
        {        alert("Tarayıcınız AJAX desteklemiyor");        return false;        }      }    }  }</script>

Name: <input type="text" name="username" />

Time: <input type="text" name="time" />

</body>
</html>

 

Günümüzdeki tüm tarayıcılarda AJAX destekleniyor.Eğer 5-10 yıl öncesinde kalmadıysanız sizde de pozitif sonuç ekrana yansıyacaktır.

 

Ses aldatmacalarından haberdar olun ve gelebilecek vishing saldırılarına karşı önleminizi alın.

Phishing saldırılarından sonra bizler yeni bir saldırı türü olan aslında bu zamana kadar ticari ve öz kaynak koşullarının sağlanamamasından dolayı bir türlü sağlıklı olarak hayata geçirilemeyen bir saldırı tehditi ile karşı karşıyayız.Adını sıkça duyduğumuz phishing kelimesindeki bir harfin değişimiyle farkettiyor.Vishing teriminin doğuşu “voice phishing” denilen saldırı yönteminin uygulanmaya başlamasından sonra yeni bir terim olarak güvenlik bültenlerinde yerini buldu.Temel itibariyle phishing saldırı türlerinin alt kategorisi olmasıyla birlikte saldırı boyutunun büyüklüğü ve inandırıcılığı sıradan bir phishing saldırısına oranla kat kat fazla olarak bize tehlikenin boyutunu gösteriyor.

Vishing Nedir ?

Voice phishing olarak güvenlik firmaları tarafından adlandırılmasıyla phishing kategorilerinde yerini buldu.İnsanoğlu’nun yıllar önce de benzerlerini yaşadığı bir saldırı türüydü ancak o zamanlar hacker saldırılarında adlarını sıkça duyardık ve sosyal mühendislik dalı altında kendine yer buluyordu.Günümüzde gelişen teknolojininde getirdiği avantajları ve kolaylıkları kullanarak kademe atlayan ve phishing saldırıları altında kendine yer edinen bir saldırı türü olarak günlük hayattaki önemini ve yerini koruyor.Vishing,ses aldatmacası işlemini gerçekleştirerek bizlerin kredi kartı bilgileri gibi özel bilgilerimizi ele geçirmeyi hedefleyen bir saldırı türü olarak karşımıza çıkıyor.

Vishing yöntemi sosyal mühendisliğin sınırlarının zorlanıp neler ortaya çıkabileceğinin göstergesidir.Günümüzdeki teknoloji olanaklarının verimli ve kötü yönde kullanılmasıyla insanoğlunu tehdit eden farklı saldırı türleri de ortaya çıkabilir.Hackerlığın tarihçesinden günümüze kadar geçen sürede teknolojik imkanların verimliliğinden yararlanıp insanların özel bilgilerine ulaşmayı hedefleyip başarılı olabilen yöntemler arasındaki en iyi yöntemin vishing olduğunu söyleyebiliriz.

Bizi Nasıl Tehlikeler Bekliyor ?

Vishing saldırıları için çeşitli senaryolar mevcut ve bunlar henuz ülkemizde gerçekleşmemiş olsa da gerçekleşmesi için uygun ortamlar ve imkanlar bulunuyor.

E-posta adresinize girdiğinizde müşterisi olduğunuz bankadan size gönderilmiş bir e-posta dikkatinizi çekecek ve sizde bu e-postayı açacaksınız.E-posta içeriğinde ;

Gibi bir e-posta içeriğyle karşılabilirsiniz.Belirtilen telefon numarasını aradıktan sonra önceden kiralanmış bir yurtiçi voip hizmeti için kiralanmış bir pbx hat ile karşılaşacaksınız.Arama işleminizde karşınıza bir bayan kullanıcı sesiyle hazırlanmış otomatik kayıt özelliği olan bir ses sistemiyle karşılacaksınız.Sizden kredi kartı numaranızın 16 hanesini ,3 haneli güvenlik kodunu,son kullanma tarihini ve diğer kişisel bilgilerinizi isteyeceklerdir.Sizde herhangi bir art niyet düşünmeden buraya bilgilerinizi gireceksiniz.Çünkü e-posta ve pbx hat o kadar inandırıcıdır ki kendini profesyonel sanan kişiler bile kolayca aldanmaktadır.Girdiğiniz bilgiler karşı sistem tarafından kaydedilecektir ve sizin gibi binlerce kişinin bilgileri kayıt olacak ve bir süre sonra sistem kiralama süresi sona erince otomatik olarak iptal olacaktır.Tabi bu arada sizin tüm bilgileriniz kötü niyetli kişilerin eline geçmiş olacaktır.Elegeçirdikleri kredi kartlarıyla harcamalar yapacaklar ve size yüklü miktarda bir kredi kartı borcu bırakacaklardır.Siz bu durumun farkına hesap ekstranızı alınca göreceksiniz.Tabi bu süre içinde kötü niyetli kişiler ortadan kaybolmuş olacaktır.Sizde yüklü miktardaki kredi kartı borcuyla ve nasıl olduğunu düşünmekle başbaşa kalacaksınız.

İşte bu tehlikenin boyutunun ne kadar büyük boyutlarda olduğunu gösteriyor.İnandırıcılığı yüksek,sosyal mühendislik sınırılarını zorlayan vishing yöntemi milyonlarca kişiyi mağdur etmek için hazırlanabilecek en iyi düzeneklerden biri olarak karşımıza çıkıyor.

Bir diğer senaryo ise man in the middle saldırılarına örnek olacak türden.E-posta yoluyla size ulaşan bir mesajda yine inandırıcı bir içerik yer alır ve belirtilen telefon numarasını aradığınızda kurulmuş düzenek ile karşılaşırsınız ,kişisel bilgilerinizi girdikten sonra sizi gerçek bankanın müşteri temsilcisine bağlar ve siz durumun doğruluğuna bir kat daha inanırsınız.Bu saldırı türünün anlaşılması daha zor ve geniş kitlelerce inanma olasılığı daha yüksektir.Banka ile sizin aranızda duran bir köprü vaziyeti görerek,elde etmek istedikleri bilgileri elde edip otomatik yönlendirme işlemiyle iletişim devamlılığını sağlıyorlar.


Geçtiğimiz yıl yaklaşık olarak 20.000 phishing vakası güvenlik firmalarına bildirildi.Anti-phishing güvenlik grubuna ulaşan bu bilgilerde çoğunluğu e-posta ile yayılan phishing saldırıları ilk sırayı çekiyor.

Anti Phishing working group tarafından hazırlanan tabloda aylık phishing istatistikleri yer alıyor.




Eğer phishing mağduru olduğunuzu düşünüyorsanız http://www.anti-phishing.org/report_phishing.html adresiyle iletişime geçip durumu işin uzmanlarına bildirip başınıza gelen olayın doğruluğunu öğrenebilirsiniz.


Nasıl Korunurum ?

Bu tür saldırılardan korunmak için gelebilecek saldırı çeşitlerinden haberdar olmanız gerekir.Vishing saldırıları sadece e-posta yoluyla değil,cep telefonlarınıza bir mesaj ile de ulaşabilir.Cep telefonu numaralarını “ücretsiz sms gönderin” tarzında faaliyet gösteren bir site gibi kayıt sırasında kullanıcı bilgileriyle birlikte cep telefonu numaralarınızı toplayıp daha sonra kiraladık bir hat üzerinden toplu sms ile size gönderebilirler.Cep telefonunuza ulaşan mesajın içeriği gönderilen e-posta içeriğine benzer olacak ve yine aynı senaryolar gerçekleşerek bilgilerinizi kötü niyetli kişilere kaptıracaksınız.Bu tür yöntemlerden haberdar iseniz korunmanız daha kolay olacak.




Korunmak için yapılması gerekenler:


1-E-posta,sms gibi çeşitli yollardan size ulaşan telefon numaralarını aramayınız.
2-Banka gibi özel işlerinizin geçerli olacağı yerlerde aradığınız numaranın doğruluğunu yetkili kişilere kontrol ettiriniz.
3-Banka gibi yerlerle iletişime geçeceğiniz zaman kartınızın arkasındaki telefon numarasını kullanınız.
4-Özel bilgi girişi isteyen konuşmaları toplum içinde ve yüksek sesle gerçekleştirmeyiniz.
5-Bu yöntemin uygulandığını şüphelendiğinizde yetkili kişilere durumu bildiriniz.

 

Olcay Kük

PC MAGAZINE 

Tasarımlarımızda en can alıcı ve sıkıcı nokta genelde tarayıcı uyumsuzlukları oluyor.Bir süre önce bu sorunu biraz hammallık yaparak farklı tarayıcılar için css kodlarını ayrı olarak düzenlemekle gerçekleştiriyorduk.Bazen de uyumlu tarayıcı belirtip kod hammallığı bile yapmıyorduk.

Bir süre önce ihtiyaçtan dolayı karşılaştığım css elementlerini resetleme işlemi tasarımların tarayıcı uyumluluk düzeylerini eşitlediğini farkettim.Tasarımlarımda yer vermeye çalışıyorum ve pozitif sonuçlar aldığımı görüyorum.

Firefox,internet explorer,opera gibi farklı tarayıcılarda tasarımlarımızı kontrol ettiğimizde css elementlerinin resetlenerek tüm tarayıcılarda uyumlu hale geldiğini sizler de görebilirsiniz.CSS kodlarına aşağıdan ulaşıp sayfalarınıza uygun biçimde kullanabilirsiniz.

body,div,dl,dt,dd,ul,ol,li,h1,h2,h3,h4,h5,h6,pre,form,fieldset,input,textarea,p,blockquote,th,td {
margin:0;
padding:0;
}
table {
border-collapse:collapse;
border-spacing:0;
}
fieldset,img {
border:0;
}
address,caption,cite,code,dfn,em,strong,th,var {
font-style:normal;
font-weight:normal;
}
ol,ul {
list-style:none;
}
caption,th {
text-align:left;
}
h1,h2,h3,h4,h5,h6 {
font-size:100%;
font-weight:normal;
}
q:before,q:after {
content:'';
}
abbr,acronym { border:0;
}

Geçtiğimiz günlerde AJAX tabanlı forum scriptinin paylaşımını yapmıştım.Bu kez ise yine AJAX tabanlı olan bloxpress blog scriptini sizlerle paylaşıyorum.

AJAX uygulamaları son zamanlarda her ne kadar çoğu forum ve blog scriptinde yer alsada başlı başına kendi kütüphanelerinin birleşiminden ortaya çıkan uygulamalar bizlerin daha çok hoşuna gittiği şüphesiz ortadadır.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Yazılım güvenliği konusu ile ilgili tavsiyelerin ötesinde pozitif makaleler ve örnek kodlar bulmak özellikle .NET ortamı için çok zor bir durum olarak sıkça karşılaşıyoruz.

Kod güvenliği için hazırlanmış birçok yazılım mevcut.Bu programlar ile kodlarınızdaki güvenlik tehditlerini görebilir ve yazılım geliştirme aşamasında ileride sıkıntı oluşturabilecek güvenlik zaafiyetlerinin önüne geçebilirsiniz.

ASTRÉE	C
BOON	C
C Code Analyzer	C
C++test	C++
.TEST	C#, VB.NET, MC++
Jtest	Java
CodeCenter	C
CodeScan	.ASP PHP
CodeSecure	PHP, Java (ASP.NET soon)
CodeSonar	C, C++
CQual	C
Csur	C
DevInspect	C#, Visual Basic, JavaScript, VB Script
DevPartner SecurityChecker	C#, Visual Basic
DoubleCheck	C, C++
Flawfinder	C/C++
Fluid	Java
ITS4	C, C++
Jlint	Java
K7	C, C++, and Java
LAPSE	Java
Ounce	C, C++, Java, JSP, ASP.NET, VB.NET, C#
Qualitychecker	VB6
PHP-Sat	PHP
Pixy	PHP
PMD	Java
PolySpace	Ada, C, C++
PREfix and PREfast	C, C++
Prevent	C, C++
QA-C, QA-C++, QA-J	C, C++, Java, FORTRAN
RATS	C
Resource Standard Metrics	C, C++, C#, and Java
Smatch	C
SCA	ASP.NET, C, C++, C# and other .NET languages, Java, JSP, PL/SQL, T-SQL, VB.NET, XML
SPARK tool set	SPARK (Ada subset)
Splint	C
SWAAT	PHP,ASP.NET,JSP
UNO	C
Viva64	C++
xg++	C