lostyazilim
tr.link

Phpde Aldığınız Güvenlik Önlemleri ve..

10 Mesajlar 1.283 Okunma
lstbozum
tr.link

Ogzhn Ogzhn Sms Onayı Gerekli Banlı Kullanıcı
  • Üyelik 25.03.2012
  • Yaş/Cinsiyet - / E
  • Meslek Öğrenci
  • Konum
  • Ad Soyad ** **
  • Mesajlar 375
  • Beğeniler 3 / 36
  • Ticaret 4, (%100)
Merhabalar merak ettiğim bir husus var ki banada yarıyacaktır.Sistemlerimde açıkları kapatmak için.Siz sistemlerinizde ne tür önlemler alıyorsunuz.Admin girişlerinde olsun Dosya yükeleme işlemlerinde olsun ne gibi önlemler alıyorsunuz.Bilirsiniz ki en büyük açıklar dosya yüklemeden gelir bi fikir alışverişi yapalım :)
 

 

wmaraci
reklam

Developers Developers Laravel Artisan Kullanıcı
  • Üyelik 19.05.2012
  • Yaş/Cinsiyet 28 / E
  • Meslek Öğrenci
  • Konum Konya
  • Ad Soyad E** A**
  • Mesajlar 328
  • Beğeniler 113 / 63
  • Ticaret 1, (%100)
Veritabanında sorgulama yaparken ve PHP de işlem yaparken kontrol edilir.

Kullanıcının girebildiği değerler sınırlı olmalı. Örneğin kullanıcı giriş ekranında kullanıcı adı yerine kötü niyetli bir kişi MySQL farklı bir kod girer. Yönetici olarak giriş yapabilir.

Addslashes gibi komutlarla biraz güvenlik sağlayabilirsin
 

 

cokbaska cokbaska WM Aracı Kullanıcı
  • Üyelik 21.10.2011
  • Yaş/Cinsiyet 34 /
  • Meslek Serbest Meslek
  • Konum
  • Ad Soyad E** B**
  • Mesajlar 712
  • Beğeniler 22 / 115
  • Ticaret 9, (%100)
Sistem kodlayıp açığı varmı yokmu diye bakmadan piyasaya süren bir sürü yapımcı var , bunların bazıları wordpress gibi çok kullanılan sistemlerde olabiliyor.

Eğer bir php sistem kodlasaydım , açıklarını kodlarken yada kodladıktan sora test ederken kapardım.Web application security scanner denen şeylerle tarar buldukları açıkları kapamaya çalışırdım.Mesela rips ile kaynak kodlardan tarama yaparım.

Bu kadar uğraş bana gelmez diyorsanız preg_replace ile açıklarda uygulanacak kodları filtreleyebiliriz.Black list yapabiliriz.

Tabi açıkları kapamak için açıkların nasıl kullanıldığını bilmek gerekir.

Bunların dışında hem php sistem yapan ya da php bilgisi hiç olmayanlara küçük ama etkili bir kaç şey söyleyeyim.
@Ogzhn , seninde dediğin gibi admin panel ve upload işlemleri tehlikeli.Bunun için ;
Admin panelinize klasör şifresi koyun.Şifresi ne admin ile ne de cpanel ile aynı olmasın.
Eğer sisteminizde resim,dosya upload klasörü var ise upload dizinine şurdaki .htaccess'i atın.

Eklemeden geçemiyeceğim.Yüzde yüz güvenlik yoktur.Sonuçta el elden üstündür.
Psycho

kişi bu mesajı beğendi.

Ogzhn Ogzhn Sms Onayı Gerekli Banlı Kullanıcı
  • Üyelik 25.03.2012
  • Yaş/Cinsiyet - / E
  • Meslek Öğrenci
  • Konum
  • Ad Soyad ** **
  • Mesajlar 375
  • Beğeniler 3 / 36
  • Ticaret 4, (%100)
@cokbaska çok teşekkürler nete bakıyorum hep aynı filtreleyin yazıyor herkes bu iş bundan ibaret değil ki :) @developers o tarz şeyleri yaptım zaten teşekkürler.
 

 

wmaraci
wmaraci

Cafer Cafer Üyeliği Durdurulmuş Banlı Kullanıcı
  • Üyelik 22.02.2012
  • Yaş/Cinsiyet 30 / E
  • Meslek PHP Developper
  • Konum İstanbul Avrupa
  • Ad Soyad ** **
  • Mesajlar 250
  • Beğeniler 65 / 71
  • Ticaret 2, (%100)
Yani olay şu aslında. Belli başlı programlarla açık var yada yok diyemezsin.
Çünkü çok gelişmiş injection ve hack çeşitleri mevcut.
Bak şu iki üç dediğimi yap. Botnet yemediğin taktirde, sistemde sıkıntı çıkmaz.
1-) htaccess 'den union select komutu engelle.
2-) Tüm veri girişlerinde(GET POST) değişkeni strip_tags parantezine al.
3-) Resim yüklerken uzantı kısıtla mesela sadece jpeg png gibi. Yada sadece jpeg yap.
İyi forumlar.
Psycho

kişi bu mesajı beğendi.

Ogzhn Ogzhn Sms Onayı Gerekli Banlı Kullanıcı
  • Üyelik 25.03.2012
  • Yaş/Cinsiyet - / E
  • Meslek Öğrenci
  • Konum
  • Ad Soyad ** **
  • Mesajlar 375
  • Beğeniler 3 / 36
  • Ticaret 4, (%100)
Teşekkürler upload edilen dosyayı açıp belli taglar var mı onuda kontrol ettirmeyi düşünüyorum.
 

 

Cafer Cafer Üyeliği Durdurulmuş Banlı Kullanıcı
  • Üyelik 22.02.2012
  • Yaş/Cinsiyet 30 / E
  • Meslek PHP Developper
  • Konum İstanbul Avrupa
  • Ad Soyad ** **
  • Mesajlar 250
  • Beğeniler 65 / 71
  • Ticaret 2, (%100)
Evet var.
imagecreatefromjpeg fonksiyonu ile resmin jpeg olup olmadığını kontrol edebiliyorsun.
Örneğin herhangi birisi shell.php yi, shell.php;.jpeg yaparsa normalde bu jpeg sayılır ve
içeri girer. Ama imagecreatefromjpeg fonksiyonu bunun jpeg olup olmadığını
uzantısına bakarak değil, içini okuyarak anlar.
Hostunda GD kütüphanesi yüklü değilse bu fonksiyonu kullanamazsın.
Psycho

kişi bu mesajı beğendi.

Ogzhn Ogzhn Sms Onayı Gerekli Banlı Kullanıcı
  • Üyelik 25.03.2012
  • Yaş/Cinsiyet - / E
  • Meslek Öğrenci
  • Konum
  • Ad Soyad ** **
  • Mesajlar 375
  • Beğeniler 3 / 36
  • Ticaret 4, (%100)
Teşekkürler.Hocam
 

 

BiyonikCoder BiyonikCoder WM Aracı Kullanıcı
  • Üyelik 01.08.2012
  • Yaş/Cinsiyet - / E
  • Meslek Arayüz geliştiricisi
  • Konum Ankara
  • Ad Soyad ** **
  • Mesajlar 5
  • Beğeniler 0 / 0
  • Ticaret 0, (%0)
Sadece get-post değil, cookie gibi kullanıcının müdahale edebileceği şeyleride kontrol ettirmeyi unutmayın.
 

 

Ogzhn Ogzhn Sms Onayı Gerekli Banlı Kullanıcı
  • Üyelik 25.03.2012
  • Yaş/Cinsiyet - / E
  • Meslek Öğrenci
  • Konum
  • Ad Soyad ** **
  • Mesajlar 375
  • Beğeniler 3 / 36
  • Ticaret 4, (%100)
Haklısınız. Ben pek cookie kullanmam.
 

 

wmaraci
wmaraci
Konuyu toplam 1 kişi okuyor. (0 kullanıcı ve 1 misafir)
Site Ayarları
  • Tema Seçeneği
  • Site Sesleri
  • Bildirimler
  • Özel Mesaj Al