[Owasp-turkey] ADSL Modem (Yonetici Arayuzu) Güvenliği - TR [not]

Izzet Kerem Kusmezer keremskusmezer at gmail.com
Fri Oct 19 17:58:04 EDT 2007


Merhabalar,

Yorumlarin icin cok tesekkur ederim, benimde demek istedigim exploit'in
kendisi kesinlikle degil,
0 day exploit yayinlanmasi kesinlikle dogru bir yaklasim, ama uygulamasi
yapilarak istatistiginin alinmasiydi dedigim nokta.
Bu arada gercekten Ankara'daki etkinlik cumartesi olursa, veya yakinda
istanbulda bir tane olursa mutlaka katılmak isterim.
Bu arada Sql Injection Tool portuyla ilgili teklifim halla gecerli ,
sourcecodelari sabirsizlikla bekliyorum mono portu icin :)



19.10.2007 tarihinde Ferruh Mavituna <ferruh at mavituna.com> yazmış:
>
> Merhabalar,
> + 2 sene once OWASP mail grubunda Ingiltere'deki bir auditorun başına
> gelen bir olay geldi birde aklima, tek yaptigi bagis yapmadan once bir
> sitede non intrusive bir sekilde sql injection testi yapmasıydı. Ingilterede
> meslekten men ve agir para cezasına çarptırıldı.
>
> Artik oyle bir cagdayiz ki sla.ck.ers forumunda, yeni web bloglarda
> birakin urunlerin aciklarini insanlar devlet sitelerindeki SQL
> Injectionlari, XSSleri ve RFI acikarini yayinliyorlar.
> GNUCitizen' da pdp router aciklarini ve her turlu explotin modellerini
> yayinliyor ve gene ayni sekilde bilinen buyuk sitelerdeki aciklari
> yayinliyorlar.
>
> Bunun yaninda buradaki makale bir urune ozel aciga ve bunun ulkedeki
> durumuna deginmis. Ben makaleyi bir nevi wardriving yapip, onun da sonuclari
> yayinlanmis gibi goruyorum. Ancak senin de degindigin gecerli bir nokta var
> ki ayni ornekten gidersek wardriving yapilmis ama pasif degil aktif sekilde
> yapilmis bu da kanuni acidan sorun olusturabilir.
>
> Ben etik olarak ya da baska bir acidan bir sorun gormuyorum. Kanuni acidan
> belki de makaleden aktif sifre deneme bolumlerinin silinmesi daha saglikli
> olacaktir. Onun harici port scan / banner grabbing hala legal :)
>
> + Her ne kadar tarama güvenlik güncellemesi çıkmış olsa bile, ben su anda
> mesela kendimi basit bir script kiddie yerine koydugumda 3 satir kod
> kullanarak 300 tane zombie makina elde edip, cokta guzel bir DDOS atağı
> gerçekleştirebilirim.
>
> Bu onemli bir konu degil eger 3 satir kod ile 300 tane zombi almak
> istiyorsan yapman gereken tek sey Full-Disclosure daki bir sonraki acigi
> beklemek ya da arsivlerden dolasip sana uyan guzel bir acigi kullanmak.
>
> NGS, Eeye da aciklari yayinliyor hem de target + IP = root seklinde remote
> exploitleri. Ama biz onlara tutup siz script kiddielere yardimci oluyorsunuz
> diyemeyiz. Dolayisiyla bence bu genel guvenlik ar-ge sinin rutin bir
> parcasi. Yama yayinlandiysa ya da 3 ay gibi bir surec icerisinde uretici
> firma acigi yamamadiysa exploit yayinlanabilir.
>
> + Sonuc olarak yapilan tarama ve ayni zamanda bos sifre kullanimiyla
> yapilan karsi modeme giriş yapılması Bilişim Kanununa gore bilisim
> sistemlerine yetkisiz erisim sucunun binlerce kez islenmis oldugunu
> gosteriyor ve bence OWASP adi altında boyle bir girisimin gerceklesmesi
> organizasyonun adina zarar verebilecek derecede yanlis bir yaklasimdir.
>
> Yukarida kanuni acidan fikirlerimi belirttim, OWASP adi altinda yapma
> konusuna gelince burada ufak bir yanlis anlama var. Web Guvenlik Toplulugu
> yogun olarak OWASP Turkiye ile icice olsa da OWASP Turkiye degil.
>
> WGT' nin sitesinden alinti :
> • WGT; Ekibi, aktif kullanıcıları ve ziyaretçileri ile bir ailedir.
> • WGT Projeleri tüm ekip ve aktif üyelerinin katkısıyla ortaya çıkar .
> • WGT ekibi OWASP-Turkey Chapter yönetimini üstlenir ve bunun gereklerini
> yerine getirir.
>
> Dolayisiyla OWASP Turkiye yonetimi benim de icerisinde oldugum bu kadro
> tarafindan idare ediliyor ancak Web Guvenlik Toplulugu OWASP Turkey den ve
> OWASP dan bagimsiz bir yapidir. Icerigi de ziyaretciler, katilimcilar ve ana
> kadro olarak gecen 3 kisinin emegidir. Dolayisiyla OWASP Turkey ye zarar
> verecek bir sey yok.
>
> Ek olarak sanirim herkes kabul eder ki bu ornekteki sifre konusu kanunen
> illegal olma ihtimali icerse de etik olarak kabul edilebilir durumdadir.
>
> Bakiniz benzer ama bence cok daha agresif bir ornek :
> http://portal.spidynamics.com/blogs/msutton/archive/2006/09/26/How-Prevalent-Are-SQL-Injection-Vulnerabilities_3F00_.aspxhemde bu blog SPI Dynamics' deki gelistiricilerden biri ve blogda goruldugu
> gibi SPI in resmi bloglarindan biri. Herseyden ote linkteki ornek bir
> urunden degil ozel kodlardan bahsediyor dolayisiyla hepsi potansiyel bir
> 0day.
>
>
> Benim nacizane fikirlerim bu sekilde.
>
> Saygilar, sevgiler.
>
> On 19/10/2007, Izzet Kerem Kusmezer < keremskusmezer at gmail.com> wrote:
> >
> > Merhabalar,
> >
> > Tarama raporunuz hakkında ufak ayrıntılar:
> >
> > + Her ne kadar tarama güvenlik güncellemesi çıkmış olsa bile, ben su
> > anda mesela kendimi basit bir script kiddie yerine koydugumda 3 satir kod
> > kullanarak 300 tane zombie makina elde edip, cokta guzel bir DDOS atağı
> > gerçekleştirebilirim.
> >
> > + 2 sene once OWASP mail grubunda Ingiltere'deki bir auditorun başına
> > gelen bir olay geldi birde aklima, tek yaptigi bagis yapmadan once bir
> > sitede non intrusive bir sekilde sql injection testi yapmasıydı. Ingilterede
> > meslekten men ve agir para cezasına çarptırıldı.
> >
> > + Sonuc olarak yapilan tarama ve ayni zamanda bos sifre kullanimiyla
> > yapilan karsi modeme giriş yapılması Bilişim Kanununa gore bilisim
> > sistemlerine yetkisiz erisim sucunun binlerce kez islenmis oldugunu
> > gosteriyor ve bence OWASP adi altında boyle bir girisimin gerceklesmesi
> > organizasyonun adina zarar verebilecek derecede yanlis bir yaklasimdir.
> >
> > Bundan dolayi bence bu makalenin bir an once yayindan kaldirilmasi gerek
> > OWASP Turkiye adina bir problem olusmasini, gerekse yapan arkadaslarin cezai
> > bir yaptirima ugrama risklerini ortadan kaldiracaktir.
> >
> > Ferruh'unda bu konudaki yorumunu ayrica merak ediyorum.
> >
> >
> > Saygilarimla
> > Kerem Kusmezer
> >
> >
> > 15.10.2007 tarihinde Bedirhan Urgun <urgunb at hotmail.com > yazmış:
> > >
> > >
> > > Merhaba,
> > >
> > > "Ülkemizdeki ADSL modem yönetim arayüzlerinin güvenliği hakkında
> > > spesifik bir çalışma ile önceden bilinen (Şubat 2007) ve bazı forumlarda yer
> > > bulan 'yetersiz yetkilendirme' açıklığının şaşırtıcı sonucunu ve çözüm ..."
> > >
> > > http://www.webguvenligi.org/?p=83
> > >
> > > adresinden nota ulasabilirsiniz.
> > >
> > > bedirhan
> > >
> > >
> > >
> > >
> > >
> > > ------------------------------
> > > Windows Live Hotmail and Microsoft Office Outlook – together at last. Get
> > > it now!<http://office.microsoft.com/en-us/outlook/HA102225181033.aspx?pid=CL100626971033>
> > >
> > > _______________________________________________
> > > Owasp-turkey mailing list
> > > Owasp-turkey at lists.owasp.org
> > > https://lists.owasp.org/mailman/listinfo/owasp-turkey
> > >
> > >
> >
> > _______________________________________________
> > Owasp-turkey mailing list
> > Owasp-turkey at lists.owasp.org
> > https://lists.owasp.org/mailman/listinfo/owasp-turkey
> >
> >
>
>
> --
> Ferruh Mavituna
> http://ferruh.mavituna.com
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20071020/6544d434/attachment-0001.html 


More information about the Owasp-turkey mailing list