Popüler İnternet Kültürü

İçindekiler:

0.Önsöz 1. Oracle”ın Bulunduğu İşletim Sisteminin Güvenliği 1.1 Sisteme Erişimi Kısıtlama 1.2 Sisteme Güvenli Erişimi Sağlama 2. Oracle Veritabanı ve Verilerin Güvenliği 2.1 Veritabanı Dosyaları Güvenliği 2.2 Ya veritabanı Çökerse? Yedek Almalı mıydım? 2.3 Online Redo Log Dosyalarını Archive Mode İçin Hazırlama 2.4 Archive Mode”a Geçiş 3. Oracle”ı Daha Güvenli Hale Getirme 3.1 Kurulumla Gelen Kullanıcılar 3.2 Oracle Araçlarını Çalıştırırken Şifreleri Kullanma, Şifreleri Dosyadan Okutma 3.3 Kurulumla Gelen Servislerin Çalışma Portları 3.4 Listener”a Şifre Koyma 4. Güvenliği Sağladım mı?

0. Önsöz
Yıllarca aradığım kaynakların Türkçelerine ulaşamamak ve yurtdışından getirmek zorunda kalınan kitapların da pahalılığı nedeniyle hep neden Türkçe içerikli bir kitabı/belgeyi üstelik herkesin ya parasız ya da çok ucuz biçimde edinebilecekleri bir ortamda sunmayayım diye düşündüm.

1998″den beri Oracle ve Informix Veritabanı Yöneticiliği yapıyorum. Aynı zamanda mySQL, Visual FoxPro, FoxBase gibi ürünleri de kullandım/kullanıyorum.

Read more…

Son yıllarda, bilgi sistemlerinde ortaya çıkarılan güvenlik zafiyetlerinde görülen artışa paralel olarak, veritabanı sistemlerinde de birçok açıklık saptanmıştır. SQL Slammer [1] ve SQL Snake [2] gibi bazı solucanlarla bu açıklıkların daha fazla saldırgan tarafından bilinmeye başlaması, Listener gibi ağ üzerinden direk olarak erişilen servislerde bazı kritik açıklıkların ortaya çıkarılması [3][4] veritabanı sistemlerine erişim kontrolü uygulanmasını zorunlu kılmıştır.

Bir bilgi sistemi varlığına erişim kontrolü uygulamanın en etkin yöntemi güvenlik duvarı kullanılmasıdır. Günümüzde güvenlik duvarları erişimlerin port veya IP bazlı engellenmesini sağlarken, uygulama katmanında ağ trafiğini inceleyerek anahtar ifadelerin yer aldığı bağlantıların düşürülmesine imkan tanımaktadır. Bu sebeple veritabanı gibi kritik ağ servislerini veren sunucular host veya ağ tabanlı güvenlik duvarları ile korunmalıdır. Bu şekilde, veritabanı servisleri üzerinde oluşabilecek açıklıklarının saldırı yüzeyi daraltılmalıdır.

Read more…

(+), Birleştirme yapılan tablolardan ikinci tabloda birinci tablodaki her kaydın karşılığı olmazsa, karşılığı olmayan kayıtlar sql sonucunda sadece olmayan alanlar değil bilakis kayıt hiç gelmez. Bunun önlemi dış birleştirmedir. Dış birleştirme işlemi, kayıtları eksik olan tablonun şart tarafına “(+)” işareti konularak yapılır.

SELECT * FROM PERSONEL, UNVAN WHERE PERSONEL.UNVANKEY(+) = UNVAN.UN_KEY

Bu örnekte, 3 tane kayıt gelmektedir, yani UNVAN tablosunda sadece UN_KEY=1 olan sadece bir kayıt var.

Diğer tablo da ise (PERSONEL) UNVANKEY’i birinci tabloda ki UN_KEY=1’ e eşit olan kayıtlar sorgu sonucu gelir. Not: Biz null değere sahip olanları da birleştirmek istersek eksik olan tablonun yanına (+) işareti eklenir.

PERSONEL.PR_KEY PERSONEL.SICIL PERSONEL.UNVANKEY UNVAN.UN_AD UNVAN.SERVISKEY
1 XI 1    6
50 1 1     1
54 1212541 1    1

Read more…

Bilgi sistemi varlıklarında son yıllarda rastlanan en ciddi güvenlik sorunlarından birisi de yazılım ya da donanım seviyesinde tespit edilen güvenlik açıklıklarının düzenli takip edilmemesidir. Özellikle üretici firmalar tarafından ilgili yamalar yayınlandıktan sonra saldırganların iletişim kurduğu form, e-posta listesi gibi ortamlarda açıklıklar ve örnek saldırı kodlarının hızla yayılması, yama güncellemesi yapılmayan bilgi sistemleri üzerindeki tehdidin artmasına sebep olmaktadır.

Read more…

Günümüzde web uygulamalarının karşı karşıya kaldığı en önemli web saldırı tekniklerinden birisi SQL enjeksiyonudur. Güvenli yazılım geliştirme bilgisi yeterli olmayan web geliştiriciler tarafından oluşturulan web siteleri/uygulamaları bu saldırı ile karşı karşıya kalacak ve normal bir kullanıcının ulaşamayacağı bilgiler, kolaylıkla ele geçirilebilecektir. Bu yazıda, SQL enjeksiyonuna açıklığı bulunan ve oracle veritabanını kullanan bir siteden, sadece veritabanındaki bir tablonun isminin bilinmesiyle neler yapılabileceği anlatılmaya çalışılmıştır.

Read more…