lostyazilim
tr.link

PHP'de Nasıl Güvenlik Açığı Olmayan Script Yazarız.

16 Mesajlar 2.913 Okunma
acebozum
tr.link

ismail03 ismail03 WM Aracı Kullanıcı
  • Üyelik 28.11.2013
  • Yaş/Cinsiyet 30 / E
  • Meslek Ameliyathane Hemşiresi
  • Konum Afyon
  • Ad Soyad I** Ç**
  • Mesajlar 2633
  • Beğeniler 344 / 487
  • Ticaret 12, (%100)

Smokie adlı üyeden alıntı

Piyasada bulunan en önemli açıklar sqlinjection ( PDO kullanarak bu sorundan kurtulabilirsin ), SESSION ve COOKIE açıkları bunlar kendi belirlemiş olduğun bir şifreleme yöntemi ile yazıp okursan bunlarıda atlatmış olursun, Dosya izinlerine dikkat et, Kullanıcıları kendin gibi düşünme mümkün olduğunca veri gönderdiğin sayfaların kontrollerini sağla, Framework gibi herkesin açık ulaşabildiğin şeylerden uzak dur. Nesne yönelimli programlama yap. Upload işlemlerinde anti virüslerin bununla ilgili apileri mevcut. PHP ile çalıştırabilirsin. Cloudflare kullan ücretsiz firewall hizmeti mevcut. Bunulada float, belirsiz browserlar v.s gibi işlemlerin önüne geçmiş olursun. Mümkün olduğunca da loglama yapmaya özen göster.


SESSION açığı nasıl oluyor hocam ?
erdemegin

kişi bu mesajı beğendi.

elektronikssl
webimgo

erdemegin erdemegin Üyeliği Durdurulmuş Banlı Kullanıcı
  • Üyelik 27.12.2016
  • Yaş/Cinsiyet 25 / E
  • Meslek home office
  • Konum Bursa
  • Ad Soyad E** E**
  • Mesajlar 168
  • Beğeniler 113 / 45
  • Ticaret 3, (%100)
@all diye komut olaydı konudaki tüm yorum yapanları çeken :D

neyse Hepinize teşekkür ediyorum tavsiyelerinizi okudum uygulayacağım.
 

 

Smokie Smokie WM Aracı Kullanıcı
  • Üyelik 30.03.2017
  • Yaş/Cinsiyet 42 / E
  • Meslek PHP Senior Developer
  • Konum İzmir
  • Ad Soyad Ö** K**
  • Mesajlar 73
  • Beğeniler 0 / 14
  • Ticaret 0, (%0)
ismail03 mesela örnek verdim admin değeri 1 olan bir oturum oluşturdun. Bunu bazı programlar aracılığı ile görebilir ve yetkisiz biri aynı oturumdan oluşturup panele ulaşabilir. Aynı şekilde çerezler içinde geçerli. Ama şifreleme ile yaparsan 1 yerine 15123416asd141 gibi birşey olacak. Tabi md5 sha1 gibi şeylerden uzak dur bunlar zaten kolay çözülebilen şeyler. PHP encrypt diye arattırırsanız başka şifreleme yöntemlerinide öğrenebilirsiniz. Tabi admin oturumunu sadece 1 ve 0 olarak yapmayın bunu geliştirin.
ismail03

kişi bu mesajı beğendi.

Allah iyidir tatlım.

ismail03 ismail03 WM Aracı Kullanıcı
  • Üyelik 28.11.2013
  • Yaş/Cinsiyet 30 / E
  • Meslek Ameliyathane Hemşiresi
  • Konum Afyon
  • Ad Soyad I** Ç**
  • Mesajlar 2633
  • Beğeniler 344 / 487
  • Ticaret 12, (%100)
onu çok karıştırdım hocam
şöyle anlatayım.
şimdi 2 session değerim var
dogrulama ve kullanıcı adı
dogrulama 15 karakterden rastgele oluşan bir kod
uye giriş yapmak istedi bilgileri girdi bilgiler doğru bir doğrulama kodu oluşturuyoruz sonra bu kodu uyenin dogrulama kodu alanına ekliyoruz.
kullanıcı kontrol fonksiyonumuzda session kontrolü yaptırıyoruz
örnek dogrulama kodu var ancak kullanıcı adı yoksa burada panele yeniden giriş sağlaması için dogrulamakodu sessionunu siliyoruz ve veritabanında uyuşan doğrulama kodunu sıfırlıyoruz kullanıcı panel giriş sayfasına yönlendiriliyor işe yarar mı bilmem ancak burada bir yerde küçük bir hatam var sayfa bazen çöküyor :D onu düzeltmeye uğraşıyorum :)
Şifreleme metotlarını araştırıyorum ancak genelde anlatılan hash base64 md5 gibi fonksiyonlr
 

 

wmaraci
wmaraci

Smokie Smokie WM Aracı Kullanıcı
  • Üyelik 30.03.2017
  • Yaş/Cinsiyet 42 / E
  • Meslek PHP Senior Developer
  • Konum İzmir
  • Ad Soyad Ö** K**
  • Mesajlar 73
  • Beğeniler 0 / 14
  • Ticaret 0, (%0)
https://3v4l.org/jl7qR

burada aes-256 şifreleme var.
tabi bunuda sha1 ve md5 le şifrleyerekde çözülmez halede getirebilirsin
 

 

Allah iyidir tatlım.

sovetski sovetski ♛ PHP ♛ Kimlik Onayı
  • Üyelik 03.08.2015
  • Yaş/Cinsiyet 27 / E
  • Meslek Yazılımcı
  • Konum Fransa
  • Ad Soyad A** H**
  • Mesajlar 1205
  • Beğeniler 437 / 458
  • Ticaret 2, (%100)
framework ve s. hepsi senin benim gibi insanlar tarafından yazıldı, kendi ihtiyaçlarını kendin karşıla.

kendi sistemindeki açıkları bulman için bir saldırgan gözü ile bak, nasıl açık bulunduğuna dair araştırmalar yap sonra projende dene.

projeni saldırılardan korumanın en iyi yolu, bir saldırgan gözü ile bakmaktır, yazılımcı arkadaşlarında açık bulma konusunda yardımcı ola bilirler
 

 

Site Ayarları
  • Tema Seçeneği
  • Site Sesleri
  • Bildirimler
  • Özel Mesaj Al