[Owasp-turkey] Owasp-turkey Digest, Vol 7, Issue 4

Oguzhan YILMAZ aspsrc at gmail.com
Sat Oct 20 01:48:54 EDT 2007


Merhaba,
Bence kapatılması güzel bir hareket olmuş.

Benim merak ettiğim Türkiye de gerçekten iyi niyetle bile olsa yada test
amaçlı (gerçi amaç önemli değil burda eylem önemli ama) böyle bir teşebbüste
bulunan bir kişiye hangi kanun çerçevesinde nasıl bir ceza verilebiliyor?


2007/10/20, owasp-turkey-request at lists.owasp.org <
owasp-turkey-request at lists.owasp.org>:
>
> Send Owasp-turkey mailing list submissions to
>         owasp-turkey at lists.owasp.org
>
> To subscribe or unsubscribe via the World Wide Web, visit
>         https://lists.owasp.org/mailman/listinfo/owasp-turkey
> or, via email, send a message with subject or body 'help' to
>         owasp-turkey-request at lists.owasp.org
>
> You can reach the person managing the list at
>         owasp-turkey-owner at lists.owasp.org
>
> When replying, please edit your Subject line so it is more specific
> than "Re: Contents of Owasp-turkey digest..."
>
>
> Today's Topics:
>
>    1.  RE:  ADSL Modem (Yonetici Arayuzu) G?venli?i - TR [not]
>       (Bedirhan Urgun)
>    2. Re: ADSL Modem (Yonetici Arayuzu) G?venli?i - TR [not]
>       (Bunyamin DEMIR)
>    3. Re: ADSL Modem (Yonetici Arayuzu) G?venli?i - TR [not]
>       (Izzet Kerem Kusmezer)
>    4. Re: ADSL Modem (Yonetici Arayuzu) G?venli?i - TR [not]
>       (Izzet Kerem Kusmezer)
>
>
> ----------------------------------------------------------------------
>
> Message: 1
> Date: Fri, 19 Oct 2007 13:13:56 -0400
> From: Bedirhan Urgun <urgunb at hotmail.com>
> Subject: [Owasp-turkey]  RE:  ADSL Modem (Yonetici Arayuzu) G?venli?i
>         - TR [not]
> To: Izzet Kerem Kusmezer <keremskusmezer at gmail.com>
> Cc: owasp-turkey at lists.owasp.org
> Message-ID: <BAY104-W21A838094F20A0A6CBB185D69F0 at phx.gbl>
> Content-Type: text/plain; charset="windows-1254"
>
> merhaba,
> evet ingiltere'deki hadiseyi hatirliyorum, bize de ayni sey olursa benden
> fotografci da olmaz :). (gerci adam hakkindaki dava sonradan geri cekilmisti
> diye hatirliyorum)
> herneyse... kanun boyutunu her ne kadar gecen yaptigimiz etkinlikte (OWASP
> gunu) ogrensem de, konu hakkinda cok saglikli yorum yapamayacagim (zaten
> kanundan cok iyi anlamiyorsak biraz zor). O nedenle Adalet Bakanligi'nda
> calisan ?nternet ve Portal ?ube M?duru tanidigim bir hakim beye ilettim.
> Kendisi ayni zamanda 24 Kasim'da duzenleyecegimiz Ankara etkinligine de
> katilacaklar (simdiden ufak duyurusunu yapayim dedim). Hakim Beyin cevabina
> gore ve yaziyi beraber hazirladigimiz Gokhan ile konustuktan sonra notu
> simdilik kapatiyorum. (
> http://www.webguvenligi.org/wp-content/uploads/2007/09/modem/index.htm)
>
> ilginiz icin tesekkurler. Ama konuyu irdelemek acisindan, listedeki diger
> arkadaslar da fikirlerini soylerse cok iyi olurdu.
>
> bedirhan
>
>
> Date: Fri, 19 Oct 2007 17:49:26 +0300From: keremskusmezer at gmail.comTo:
> urgunb at hotmail.comSubject: Re: [Owasp-turkey] ADSL Modem (Yonetici
> Arayuzu) G?venli?i - TR [not]CC: owasp-turkey at lists.owasp.org
> Merhabalar,
>
> Tarama raporunuz hakk?nda ufak ayr?nt?lar:
>
> + Her ne kadar tarama g?venlik g?ncellemesi ??km?? olsa bile, ben su anda
> mesela kendimi basit bir script kiddie yerine koydugumda 3 satir kod
> kullanarak 300 tane zombie makina elde edip, cokta guzel bir DDOS ata??
> ger?ekle?tirebilirim.
>
> + 2 sene once OWASP mail grubunda Ingiltere'deki bir auditorun ba??na
> gelen bir olay geldi birde aklima, tek yaptigi bagis yapmadan once bir
> sitede non intrusive bir sekilde sql injection testi yapmas?yd?. Ingilterede
> meslekten men ve agir para cezas?na ?arpt?r?ld?.
>
> + Sonuc olarak yapilan tarama ve ayni zamanda bos sifre kullanimiyla
> yapilan karsi modeme giri? yap?lmas? Bili?im Kanununa gore bilisim
> sistemlerine yetkisiz erisim sucunun binlerce kez islenmis oldugunu
> gosteriyor ve bence OWASP adi alt?nda boyle bir girisimin gerceklesmesi
> organizasyonun adina zarar verebilecek derecede yanlis bir yaklasimdir.
>
> Bundan dolayi bence bu makalenin bir an once yayindan kaldirilmasi gerek
> OWASP Turkiye adina bir problem olusmasini, gerekse yapan arkadaslarin cezai
> bir yaptirima ugrama risklerini ortadan kaldiracaktir.Ferruh'unda bu
> konudaki yorumunu ayrica merak ediyorum.
> Saygilarimla
> Kerem Kusmezer
> 15.10.2007 tarihinde Bedirhan Urgun <urgunb at hotmail.com > yazm??:
>
> Merhaba, "?lkemizdeki ADSL modem y?netim aray?zlerinin g?venli?i hakk?nda
> spesifik bir ?al??ma ile ?nceden bilinen (?ubat 2007) ve baz? forumlarda yer
> bulan 'yetersiz yetkilendirme' a??kl???n?n ?a??rt?c? sonucunu ve ??z?m
> ..."  http://www.webguvenligi.org/?p=83 adresinden nota ulasabilirsiniz.
> bedirhan
>
>
> Windows Live Hotmail and Microsoft Office Outlook ? together at last. Get
> it now!_______________________________________________Owasp-turkey mailing
> listOwasp-turkey at lists.owasp
> .orghttps://lists.owasp.org/mailman/listinfo/owasp-turkey
> _________________________________________________________________
> Peek-a-boo FREE Tricks & Treats for You!
> http://www.reallivemoms.com?ocid=TXT_TAGHM&loc=us
> -------------- next part --------------
> An HTML attachment was scrubbed...
> URL:
> https://lists.owasp.org/pipermail/owasp-turkey/attachments/20071019/b184277d/attachment-0001.html
>
> ------------------------------
>
> Message: 2
> Date: Fri, 19 Oct 2007 23:19:47 +0300
> From: "Bunyamin DEMIR" <bunyamindemir at gmail.com>
> Subject: Re: [Owasp-turkey] ADSL Modem (Yonetici Arayuzu) G?venli?i -
>         TR [not]
> To: "Izzet Kerem Kusmezer" <keremskusmezer at gmail.com>
> Cc: owasp-turkey at lists.owasp.org
> Message-ID:
>         <5c4369570710191319t1601fe06w4662028ee3c63925 at mail.gmail.com>
> Content-Type: text/plain; charset="utf-8"
>
> Biri O-game e de haber etsinde bize dava a?s?nlar, onlar ge? kalm??.
>
>
>
> 19.10.2007 tarihinde Bedirhan Urgun <urgunb at hotmail.com> yazm??:
> >
> >
> >  merhaba,
> >  evet ingiltere'deki hadiseyi hatirliyorum, bize de ayni sey olursa
> benden
> > fotografci da olmaz :). (gerci adam hakkindaki dava sonradan geri
> cekilmisti
> > diye hatirliyorum)
> >
> >  herneyse... kanun boyutunu her ne kadar gecen yaptigimiz etkinlikte
> > (OWASP gunu) ogrensem de, konu hakkinda cok saglikli yorum yapamayacagim
> > (zaten kanundan cok iyi anlamiyorsak biraz zor). O nedenle Adalet
> > Bakanligi'nda calisan ?nternet ve Portal ?ube M?duru tanidigim bir hakim
> > beye ilettim. Kendisi ayni zamanda 24 Kasim'da duzenleyecegimiz Ankara
> > etkinligine de katilacaklar (simdiden ufak duyurusunu yapayim dedim).
> Hakim
> > Beyin cevabina gore ve yaziyi beraber hazirladigimiz Gokhan ile
> > konustuktan sonra notu simdilik kapatiyorum. (
> > http://www.webguvenligi.org/wp-content/uploads/2007/09/modem/index.htm)
> >
> >  ilginiz icin tesekkurler. Ama konuyu irdelemek acisindan, listedeki
> diger
> > arkadaslar da fikirlerini soylerse cok iyi olurdu.
> >
> >  bedirhan
> >
> >  ------------------------------
> > Date: Fri, 19 Oct 2007 17:49:26 +0300
> > From: keremskusmezer at gmail.com
> > To: urgunb at hotmail.com
> > Subject: Re: [Owasp-turkey] ADSL Modem (Yonetici Arayuzu) G?venli?i - TR
> > [not]
> > CC: owasp-turkey at lists.owasp.org
> >
> > Merhabalar,
> >
> > Tarama raporunuz hakk?nda ufak ayr?nt?lar:
> >
> > + Her ne kadar tarama g?venlik g?ncellemesi ??km?? olsa bile, ben su
> anda
> > mesela kendimi basit bir script kiddie yerine koydugumda 3 satir kod
> > kullanarak 300 tane zombie makina elde edip, cokta guzel bir DDOS ata??
> > ger?ekle?tirebilirim.
> >
> > + 2 sene once OWASP mail grubunda Ingiltere'deki bir auditorun ba??na
> > gelen bir olay geldi birde aklima, tek yaptigi bagis yapmadan once bir
> > sitede non intrusive bir sekilde sql injection testi yapmas?yd?.
> Ingilterede
> > meslekten men ve agir para cezas?na ?arpt?r?ld?.
> >
> > + Sonuc olarak yapilan tarama ve ayni zamanda bos sifre kullanimiyla
> > yapilan karsi modeme giri? yap?lmas? Bili?im Kanununa gore bilisim
> > sistemlerine yetkisiz erisim sucunun binlerce kez islenmis oldugunu
> > gosteriyor ve bence OWASP adi alt?nda boyle bir girisimin gerceklesmesi
> > organizasyonun adina zarar verebilecek derecede yanlis bir yaklasimdir.
> >
> > Bundan dolayi bence bu makalenin bir an once yayindan kaldirilmasi gerek
> > OWASP Turkiye adina bir problem olusmasini, gerekse yapan arkadaslarin
> cezai
> > bir yaptirima ugrama risklerini ortadan kaldiracaktir.
> >
> > Ferruh'unda bu konudaki yorumunu ayrica merak ediyorum.
> >
> > Saygilarimla
> > Kerem Kusmezer
> >
> >
> > 15.10.2007 tarihinde *Bedirhan Urgun* <urgunb at hotmail.com > yazm??:
> >
> >
> > Merhaba,
> >
> > "?lkemizdeki ADSL modem y?netim aray?zlerinin g?venli?i hakk?nda
> spesifik
> > bir ?al??ma ile ?nceden bilinen (?ubat 2007) ve baz? forumlarda yer
> bulan
> > 'yetersiz yetkilendirme' a??kl???n?n ?a??rt?c? sonucunu ve ??z?m ..."
> >
> > http://www.webguvenligi.org/?p=83
> >
> > adresinden nota ulasabilirsiniz.
> >
> > bedirhan
> >
> >
> >
> >
> >
> > ------------------------------
> > Windows Live Hotmail and Microsoft Office Outlook ? together at last.
> Get
> > it now!<
> http://office.microsoft.com/en-us/outlook/HA102225181033.aspx?pid=CL100626971033
> >
> >
> > _______________________________________________
> > Owasp-turkey mailing list
> > Owasp-turkey at lists.owasp.org
> > https://lists.owasp.org/mailman/listinfo/owasp-turkey
> >
> >
> >
> > ------------------------------
> > Peek-a-boo FREE Tricks & Treats for You! Get 'em!<
> http://www.reallivemoms.com?ocid=TXT_TAGHM&loc=us>
> >
> > _______________________________________________
> > Owasp-turkey mailing list
> > Owasp-turkey at lists.owasp.org
> > https://lists.owasp.org/mailman/listinfo/owasp-turkey
> >
> >
>
>
> --
> Bunyamin Demir
> OWASP-Turkey Chair
> http://www.webguvenligi.org
> -------------- next part --------------
> An HTML attachment was scrubbed...
> URL:
> https://lists.owasp.org/pipermail/owasp-turkey/attachments/20071019/69a0f774/attachment-0001.html
>
> ------------------------------
>
> Message: 3
> Date: Sat, 20 Oct 2007 00:41:28 +0300
> From: "Izzet Kerem Kusmezer" <keremskusmezer at gmail.com>
> Subject: Re: [Owasp-turkey] ADSL Modem (Yonetici Arayuzu) G?venli?i -
>         TR [not]
> To: "Bunyamin DEMIR" <bunyamindemir at gmail.com>
> Cc: owasp-turkey at lists.owasp.org
> Message-ID:
>         <f235628a0710191441q1c05ab40t6325f59dbd0afb06 at mail.gmail.com>
> Content-Type: text/plain; charset="utf-8"
>
> Ogam olayi o kadar problem olmaz belki, ama bunda isin icinde
> turktelekomun
> dagittigi modemler var,
> biri devlet kurulusu otekisi oyun sitesi ve sadece exploiti anlatiyor, bu
> direkt acigi exploit edip istatistik cikartmaya girmish oluyor.
>
> ondan bence farkli ;) benimde eski superonline webmail acigini anlatan bir
> yazim vardi, ama exploit edip raporunu sunmamishtim.
> Ayrica msil buffer overflowumda var , ama o da sadece bildiri. ;)
>
> TTNet ne yapsa yeridir, ondan tedbirli olmakta yarar var.
> Bu arada insallah Almanya'daki yasa bizdede cikarilmaz, exploit yayinlamak
> bile suc cunku ona gore :)
>
> bu arada 24 Kasim hafta ici, calisan bircok arkadas icin zor olacaktir,
> bende ankaraya gelmek istiyorum ama hafta ici imkansiz, daha onceki
> toplant?lardada yurtdisindaydim,  Istanbul meeting'i ne zaman olacak?
> Mutlaka kat?lmak istiyorum :)
>
> 19.10.2007 tarihinde Bunyamin DEMIR <bunyamindemir at gmail.com> yazm??:
> >
> > Biri O-game e de haber etsinde bize dava a?s?nlar, onlar ge? kalm??.
> >
> >
> >
> > 19.10.2007 tarihinde Bedirhan Urgun < urgunb at hotmail.com> yazm??:
> > >
> > >
> > >  merhaba,
> > >  evet ingiltere'deki hadiseyi hatirliyorum, bize de ayni sey olursa
> > > benden fotografci da olmaz :). (gerci adam hakkindaki dava sonradan
> geri
> > > cekilmisti diye hatirliyorum)
> > >
> > >  herneyse... kanun boyutunu her ne kadar gecen yaptigimiz etkinlikte
> > > (OWASP gunu) ogrensem de, konu hakkinda cok saglikli yorum
> yapamayacagim
> > > (zaten kanundan cok iyi anlamiyorsak biraz zor). O nedenle Adalet
> > > Bakanligi'nda calisan ?nternet ve Portal ?ube M?duru tanidigim bir
> hakim
> > > beye ilettim. Kendisi ayni zamanda 24 Kasim'da duzenleyecegimiz Ankara
> > > etkinligine de katilacaklar (simdiden ufak duyurusunu yapayim dedim).
> Hakim
> > > Beyin c evabina gore ve yaziyi beraber hazirladigimiz Gokhan ile
> > > konustuktan sonra notu simdilik kapatiyorum. (
> http://www.webguvenligi.org/wp-content/uploads/2007/09/modem/index.htm)
> > >
> > >
> > >  ilginiz icin tesekkurler. Ama konuyu irdelemek acisindan, listedeki
> > > diger arkadaslar da fikirlerini soylerse cok iyi olurdu.
> > >
> > >  bedirhan
> > >
> > >  ------------------------------
> > > Date: Fri, 19 Oct 2007 17:49:26 +0300
> > > From: keremskusmezer at gmail.com
> > > To: urgunb at hotmail.com
> > > Subject: Re: [Owasp-turkey] ADSL Modem (Yonetici Arayuzu) G?venli?i -
> TR
> > > [not]
> > > CC: owasp-turkey at lists.owasp.org
> > >
> > > Merhabalar,
> > >
> > > Tarama raporunuz hakk?nda ufak ayr?nt?lar:
> > >
> > > + Her ne kadar tarama g?venlik g?ncellemesi ??km?? olsa bile, ben su
> > > anda mesela kendimi basit bir script kiddie yerine koydugumda 3 satir
> kod
> > > kullanarak 300 tane zombie makina elde edip, cokta guzel bir DDOS
> ata??
> > > ger?ekle?tirebilirim.
> > >
> > > + 2 sene once OWASP mail grubunda Ingiltere'deki bir auditorun ba??na
> > > gelen bir olay geldi birde aklima, tek yaptigi bagis yapmadan once bir
> > > sitede non intrusive bir sekilde sql injection testi yapmas?yd?.
> Ingilterede
> > > meslekten men ve agir para cezas?na ?arpt?r?ld?.
> > >
> > > + Sonuc olarak yapilan tarama ve ayni zamanda bos sifre kullanimiyla
> > > yapilan karsi modeme giri? yap?lmas? Bili?im Kanununa gore bilisim
> > > sistemlerine yetkisiz erisim sucunun binlerce kez islenmis oldugunu
> > > gosteriyor ve bence OWASP adi alt?nda boyle bir girisimin
> gerceklesmesi
> > > organizasyonun adina zarar verebilecek derecede yanlis bir
> yaklasimdir.
> > >
> > > Bundan dolayi bence bu makalenin bir an once yayindan kaldirilmasi
> gerek
> > > OWASP Turkiye adina bir problem olusmasini, gerekse yapan arkadaslarin
> cezai
> > > bir yaptirima ugrama risklerini ortadan kaldiracaktir.
> > >
> > > Ferruh'unda bu konudaki yorumunu ayrica merak ediyorum.
> > >
> > >
> > > Saygilarimla
> > > Kerem Kusmezer
> > >
> > >
> > > 15.10.2007 tarihinde *Bedirhan Urgun* <urgunb at hotmail.com > yazm??:
> > >
> > >
> > > Merhaba,
> > >
> > > "?lkemizdeki ADSL modem y?netim aray?zlerinin g?venli?i hakk?nda
> > > spesifik bir ?al??ma ile ?nceden bilinen (?ubat 2007) ve baz?
> forumlarda yer
> > > bulan 'yetersiz yetkilendirme' a??kl???n?n ?a??rt?c? sonucunu ve ??z?m
> ..."
> > >
> > > http://www.webguvenligi.org/?p=83
> > >
> > > adresinden nota ulasabilirsiniz.
> > >
> > > bedirhan
> > >
> > >
> > >
> > >
> > >
> > > ------------------------------
> > > Windows Live Hotmail and Microsoft Office Outlook ? together at last.
> Get
> > > it now!<
> http://office.microsoft.com/en-us/outlook/HA102225181033.aspx?pid=CL100626971033
> >
> > >
> > > _______________________________________________
> > > Owasp-turkey mailing list
> > > Owasp-turkey at lists.owasp.org
> > > https://lists.owasp.org/mailman/listinfo/owasp-turkey
> > >
> > >
> > >
> > > ------------------------------
> > > Peek-a-boo FREE Tricks & Treats for You! Get 'em!<
> http://www.reallivemoms.com/?ocid=TXT_TAGHM&loc=us>
> > >
> > > _______________________________________________
> > > Owasp-turkey mailing list
> > > Owasp-turkey at lists.owasp.org
> > > https://lists.owasp.org/mailman/listinfo/owasp-turkey
> > >
> > >
> >
> >
> > --
> > Bunyamin Demir
> > OWASP-Turkey Chair
> > http://www.webguvenligi.org
> -------------- next part --------------
> An HTML attachment was scrubbed...
> URL:
> https://lists.owasp.org/pipermail/owasp-turkey/attachments/20071020/c3c9ee8f/attachment-0001.html
>
> ------------------------------
>
> Message: 4
> Date: Sat, 20 Oct 2007 00:58:04 +0300
> From: "Izzet Kerem Kusmezer" <keremskusmezer at gmail.com>
> Subject: Re: [Owasp-turkey] ADSL Modem (Yonetici Arayuzu) G?venli?i -
>         TR [not]
> To: "Ferruh Mavituna" <ferruh at mavituna.com>
> Cc: owasp-turkey at lists.owasp.org
> Message-ID:
>         <f235628a0710191458x687b3f2cma063b8c53052e7f3 at mail.gmail.com>
> Content-Type: text/plain; charset="utf-8"
>
> Merhabalar,
>
> Yorumlarin icin cok tesekkur ederim, benimde demek istedigim exploit'in
> kendisi kesinlikle degil,
> 0 day exploit yayinlanmasi kesinlikle dogru bir yaklasim, ama uygulamasi
> yapilarak istatistiginin alinmasiydi dedigim nokta.
> Bu arada gercekten Ankara'daki etkinlik cumartesi olursa, veya yakinda
> istanbulda bir tane olursa mutlaka kat?lmak isterim.
> Bu arada Sql Injection Tool portuyla ilgili teklifim halla gecerli ,
> sourcecodelari sabirsizlikla bekliyorum mono portu icin :)
>
>
>
> 19.10.2007 tarihinde Ferruh Mavituna <ferruh at mavituna.com> yazm??:
> >
> > Merhabalar,
> > + 2 sene once OWASP mail grubunda Ingiltere'deki bir auditorun ba??na
> > gelen bir olay geldi birde aklima, tek yaptigi bagis yapmadan once bir
> > sitede non intrusive bir sekilde sql injection testi yapmas?yd?.
> Ingilterede
> > meslekten men ve agir para cezas?na ?arpt?r?ld?.
> >
> > Artik oyle bir cagdayiz ki sla.ck.ers forumunda, yeni web bloglarda
> > birakin urunlerin aciklarini insanlar devlet sitelerindeki SQL
> > Injectionlari, XSSleri ve RFI acikarini yayinliyorlar.
> > GNUCitizen' da pdp router aciklarini ve her turlu explotin modellerini
> > yayinliyor ve gene ayni sekilde bilinen buyuk sitelerdeki aciklari
> > yayinliyorlar.
> >
> > Bunun yaninda buradaki makale bir urune ozel aciga ve bunun ulkedeki
> > durumuna deginmis. Ben makaleyi bir nevi wardriving yapip, onun da
> sonuclari
> > yayinlanmis gibi goruyorum. Ancak senin de degindigin gecerli bir nokta
> var
> > ki ayni ornekten gidersek wardriving yapilmis ama pasif degil aktif
> sekilde
> > yapilmis bu da kanuni acidan sorun olusturabilir.
> >
> > Ben etik olarak ya da baska bir acidan bir sorun gormuyorum. Kanuni
> acidan
> > belki de makaleden aktif sifre deneme bolumlerinin silinmesi daha
> saglikli
> > olacaktir. Onun harici port scan / banner grabbing hala legal :)
> >
> > + Her ne kadar tarama g?venlik g?ncellemesi ??km?? olsa bile, ben su
> anda
> > mesela kendimi basit bir script kiddie yerine koydugumda 3 satir kod
> > kullanarak 300 tane zombie makina elde edip, cokta guzel bir DDOS ata??
> > ger?ekle?tirebilirim.
> >
> > Bu onemli bir konu degil eger 3 satir kod ile 300 tane zombi almak
> > istiyorsan yapman gereken tek sey Full-Disclosure daki bir sonraki acigi
> > beklemek ya da arsivlerden dolasip sana uyan guzel bir acigi kullanmak.
> >
> > NGS, Eeye da aciklari yayinliyor hem de target + IP = root seklinde
> remote
> > exploitleri. Ama biz onlara tutup siz script kiddielere yardimci
> oluyorsunuz
> > diyemeyiz. Dolayisiyla bence bu genel guvenlik ar-ge sinin rutin bir
> > parcasi. Yama yayinlandiysa ya da 3 ay gibi bir surec icerisinde uretici
> > firma acigi yamamadiysa exploit yayinlanabilir.
> >
> > + Sonuc olarak yapilan tarama ve ayni zamanda bos sifre kullanimiyla
> > yapilan karsi modeme giri? yap?lmas? Bili?im Kanununa gore bilisim
> > sistemlerine yetkisiz erisim sucunun binlerce kez islenmis oldugunu
> > gosteriyor ve bence OWASP adi alt?nda boyle bir girisimin gerceklesmesi
> > organizasyonun adina zarar verebilecek derecede yanlis bir yaklasimdir.
> >
> > Yukarida kanuni acidan fikirlerimi belirttim, OWASP adi altinda yapma
> > konusuna gelince burada ufak bir yanlis anlama var. Web Guvenlik
> Toplulugu
> > yogun olarak OWASP Turkiye ile icice olsa da OWASP Turkiye degil.
> >
> > WGT' nin sitesinden alinti :
> > ? WGT; Ekibi, aktif kullan?c?lar? ve ziyaret?ileri ile bir ailedir.
> > ? WGT Projeleri t?m ekip ve aktif ?yelerinin katk?s?yla ortaya ??kar .
> > ? WGT ekibi OWASP-Turkey Chapter y?netimini ?stlenir ve bunun
> gereklerini
> > yerine getirir.
> >
> > Dolayisiyla OWASP Turkiye yonetimi benim de icerisinde oldugum bu kadro
> > tarafindan idare ediliyor ancak Web Guvenlik Toplulugu OWASP Turkey den
> ve
> > OWASP dan bagimsiz bir yapidir. Icerigi de ziyaretciler, katilimcilar ve
> ana
> > kadro olarak gecen 3 kisinin emegidir. Dolayisiyla OWASP Turkey ye zarar
> > verecek bir sey yok.
> >
> > Ek olarak sanirim herkes kabul eder ki bu ornekteki sifre konusu kanunen
> > illegal olma ihtimali icerse de etik olarak kabul edilebilir durumdadir.
> >
> > Bakiniz benzer ama bence cok daha agresif bir ornek :
> >
> http://portal.spidynamics.com/blogs/msutton/archive/2006/09/26/How-Prevalent-Are-SQL-Injection-Vulnerabilities_3F00_.aspxhemdebu blog SPI Dynamics' deki gelistiricilerden biri ve blogda goruldugu
> > gibi SPI in resmi bloglarindan biri. Herseyden ote linkteki ornek bir
> > urunden degil ozel kodlardan bahsediyor dolayisiyla hepsi potansiyel bir
> > 0day.
> >
> >
> > Benim nacizane fikirlerim bu sekilde.
> >
> > Saygilar, sevgiler.
> >
> > On 19/10/2007, Izzet Kerem Kusmezer < keremskusmezer at gmail.com> wrote:
> > >
> > > Merhabalar,
> > >
> > > Tarama raporunuz hakk?nda ufak ayr?nt?lar:
> > >
> > > + Her ne kadar tarama g?venlik g?ncellemesi ??km?? olsa bile, ben su
> > > anda mesela kendimi basit bir script kiddie yerine koydugumda 3 satir
> kod
> > > kullanarak 300 tane zombie makina elde edip, cokta guzel bir DDOS
> ata??
> > > ger?ekle?tirebilirim.
> > >
> > > + 2 sene once OWASP mail grubunda Ingiltere'deki bir auditorun ba??na
> > > gelen bir olay geldi birde aklima, tek yaptigi bagis yapmadan once bir
> > > sitede non intrusive bir sekilde sql injection testi yapmas?yd?.
> Ingilterede
> > > meslekten men ve agir para cezas?na ?arpt?r?ld?.
> > >
> > > + Sonuc olarak yapilan tarama ve ayni zamanda bos sifre kullanimiyla
> > > yapilan karsi modeme giri? yap?lmas? Bili?im Kanununa gore bilisim
> > > sistemlerine yetkisiz erisim sucunun binlerce kez islenmis oldugunu
> > > gosteriyor ve bence OWASP adi alt?nda boyle bir girisimin
> gerceklesmesi
> > > organizasyonun adina zarar verebilecek derecede yanlis bir
> yaklasimdir.
> > >
> > > Bundan dolayi bence bu makalenin bir an once yayindan kaldirilmasi
> gerek
> > > OWASP Turkiye adina bir problem olusmasini, gerekse yapan arkadaslarin
> cezai
> > > bir yaptirima ugrama risklerini ortadan kaldiracaktir.
> > >
> > > Ferruh'unda bu konudaki yorumunu ayrica merak ediyorum.
> > >
> > >
> > > Saygilarimla
> > > Kerem Kusmezer
> > >
> > >
> > > 15.10.2007 tarihinde Bedirhan Urgun <urgunb at hotmail.com > yazm??:
> > > >
> > > >
> > > > Merhaba,
> > > >
> > > > "?lkemizdeki ADSL modem y?netim aray?zlerinin g?venli?i hakk?nda
> > > > spesifik bir ?al??ma ile ?nceden bilinen (?ubat 2007) ve baz?
> forumlarda yer
> > > > bulan 'yetersiz yetkilendirme' a??kl???n?n ?a??rt?c? sonucunu ve
> ??z?m ..."
> > > >
> > > > http://www.webguvenligi.org/?p=83
> > > >
> > > > adresinden nota ulasabilirsiniz.
> > > >
> > > > bedirhan
> > > >
> > > >
> > > >
> > > >
> > > >
> > > > ------------------------------
> > > > Windows Live Hotmail and Microsoft Office Outlook ? together at
> last. Get
> > > > it now!<
> http://office.microsoft.com/en-us/outlook/HA102225181033.aspx?pid=CL100626971033
> >
> > > >
> > > > _______________________________________________
> > > > Owasp-turkey mailing list
> > > > Owasp-turkey at lists.owasp.org
> > > > https://lists.owasp.org/mailman/listinfo/owasp-turkey
> > > >
> > > >
> > >
> > > _______________________________________________
> > > Owasp-turkey mailing list
> > > Owasp-turkey at lists.owasp.org
> > > https://lists.owasp.org/mailman/listinfo/owasp-turkey
> > >
> > >
> >
> >
> > --
> > Ferruh Mavituna
> > http://ferruh.mavituna.com
> -------------- next part --------------
> An HTML attachment was scrubbed...
> URL:
> https://lists.owasp.org/pipermail/owasp-turkey/attachments/20071020/6544d434/attachment.html
>
> ------------------------------
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>
> End of Owasp-turkey Digest, Vol 7, Issue 4
> ******************************************
>



-- 
Oğuzhan
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20071020/bec86348/attachment-0001.html 


More information about the Owasp-turkey mailing list