lostyazilim
tr.link

Xampp Güvenliğini Sağlamak

7 Mesajlar 982 Okunma
acebozum
tr.link

mucosoft mucosoft Mucosoft Kullanıcı
  • Üyelik 07.10.2013
  • Yaş/Cinsiyet 26 / E
  • Meslek Bilgisayar Programcısı
  • Konum Giresun
  • Ad Soyad M** E**
  • Mesajlar 648
  • Beğeniler 181 / 81
  • Ticaret 5, (%100)
Merhaba saygıdeğer üyeler, bu konumuzda siz kaliteli üyelerimize güzel bir konudan bahsedeceğiz. Bu konu hem bilgi hem soru amaçlıdır.

Eğer VDS üzerine sunucu kurduysanız ve özellikle kendi projenizi kodluyorsanız web sunucusu işletmek sizin için daha zorlu bir süreç olabilir. Çünkü kendi projenizi kodlarken birçok güvenlik açığı ile karşılaşabilirsiniz. Bu da size rastlayan bir hacker grubunun sizin web sitenizde shell gibi çeşitli işlemler yapmasına sebep olur.

Bu konuda eğer shell açıklarına karşı dikkatli olmak istiyorsanız yani güvenli bir kod yazma konusunda profesyonel değilseniz yapmanız gereken Xampp yazılımını "Apache_start.bat" uygulaması ile standart bir kullanıcıdan başlatmaktır. Yönetici hesabı üzerinde ise FTP sunucusu kurup dosya sistemini güncelleyeceksiniz. Bunlarla birlikte shell önlemi amacıyla diğer dosyalar üzerinde kullanıcı için yetki kısıtlamalarını yapmalısınız.

Bunları yaptınız fakat bu seferde MySQL durumu var. SQL kodu enjekte eden hackerlar, sizi zor duruma düşürebilir. Bu konuda çalışmalarımız sürüyor.

Biliyorum, buradaki çoğu üye hazır web projesi kullanıyor. Benim gibi kendisi kodlamıyor belki, fakat kendi web projesini üreten ve kendi VDS sunucusunu kullanan üyeler nasıl güvenlik sağlıyor? Bunları diğer üyelerle paylaşabilirsiniz. :)
 

 

wmaraci
reklam

borderking borderking WM Aracı Kullanıcı
  • Üyelik 05.01.2020
  • Yaş/Cinsiyet 40 / E
  • Meslek özel sektör
  • Konum İstanbul Avrupa
  • Ad Soyad Z** K**
  • Mesajlar 122
  • Beğeniler 27 / 34
  • Ticaret 1, (%100)
Sorgularda pdo kullanıyorum, sql enjekte önlüyor(diye biliyorum),

admin panel içinde geri dön butonu dahi kullanmıyorum, indexten tekrar giriyorum, böylece dikkat etmem gereken tek kapı kalıyor.

root dosyalarını ufaktan gizledim.

root paneldeki tüm dosyalarımda
SESSION_START();
if (!$_SESSION["sinif"] == 2){
die();}?> şeklinde başlıyorum.

şifreleme için md5 yerine paswordhash kullanıyorum.

login ekrenında kullanıcının hangi bilgiyi yanlış girdiğini belirtmiyorum.
 

 

mucosoft mucosoft Mucosoft Kullanıcı
  • Üyelik 07.10.2013
  • Yaş/Cinsiyet 26 / E
  • Meslek Bilgisayar Programcısı
  • Konum Giresun
  • Ad Soyad M** E**
  • Mesajlar 648
  • Beğeniler 181 / 81
  • Ticaret 5, (%100)

borderking adlı üyeden alıntı

Sorgularda pdo kullanıyorum, sql enjekte önlüyor(diye biliyorum),

admin panel içinde geri dön butonu dahi kullanmıyorum, indexten tekrar giriyorum, böylece dikkat etmem gereken tek kapı kalıyor.

root dosyalarını ufaktan gizledim.

root paneldeki tüm dosyalarımda
SESSION_START();
if (!$_SESSION["sinif"] == 2){
die();}?> şeklinde başlıyorum.

şifreleme için md5 yerine paswordhash kullanıyorum.

login ekrenında kullanıcının hangi bilgiyi yanlış girdiğini belirtmiyorum.


Bende PDO kullanıyorum. Güvenli olduğunu düşünüyordum ama PDO'nun bile güvenlik açığı olduğunu öğrendim. Şu anda en güncel PHP sürümünü kullanıyorum fakat PDO ile SQL enjekte edilebiliyor.
 

 

borderking borderking WM Aracı Kullanıcı
  • Üyelik 05.01.2020
  • Yaş/Cinsiyet 40 / E
  • Meslek özel sektör
  • Konum İstanbul Avrupa
  • Ad Soyad Z** K**
  • Mesajlar 122
  • Beğeniler 27 / 34
  • Ticaret 1, (%100)
Açık nedir?
Belki bir çözüm buluruz..
 

 

wmaraci
wmaraci

mucosoft mucosoft Mucosoft Kullanıcı
  • Üyelik 07.10.2013
  • Yaş/Cinsiyet 26 / E
  • Meslek Bilgisayar Programcısı
  • Konum Giresun
  • Ad Soyad M** E**
  • Mesajlar 648
  • Beğeniler 181 / 81
  • Ticaret 5, (%100)

borderking adlı üyeden alıntı

Açık nedir?
Belki bir çözüm buluruz..


[ALAN ADI]/View%20Thread.php?id=4%27

GET methodu ile shell yolluyor.

Kod olarak ise şu yazılı:
$query = $db->query("SELECT * FROM Threads WHERE id = '$Threadid'")->fetch(PDO::FETCH_ASSOC);

Devamında ise veriler okunuyor.
 

 

borderking borderking WM Aracı Kullanıcı
  • Üyelik 05.01.2020
  • Yaş/Cinsiyet 40 / E
  • Meslek özel sektör
  • Konum İstanbul Avrupa
  • Ad Soyad Z** K**
  • Mesajlar 122
  • Beğeniler 27 / 34
  • Ticaret 1, (%100)
Hep bi adım öndeler :D

Eğer sadece okumak için kullanılıyorsa tüm databaseyi okusalar bile ulaşabilecekleri en önemli bilgi root id ve kullanıcı mailleri olur.

Bununla yaşayabilirim sanırım, diğer yandan bir çözümü de olması lazım.
Mailler alınırsa önemli değil ama artık eskisi gibi güncellenmeyen bir web sitesinin kullanıcılarına direk hedef kitle muamelesi yapılabilir.

çözümü için takipteyim.
 

 

mucosoft mucosoft Mucosoft Kullanıcı
  • Üyelik 07.10.2013
  • Yaş/Cinsiyet 26 / E
  • Meslek Bilgisayar Programcısı
  • Konum Giresun
  • Ad Soyad M** E**
  • Mesajlar 648
  • Beğeniler 181 / 81
  • Ticaret 5, (%100)

borderking adlı üyeden alıntı

Hep bi adım öndeler :D

Eğer sadece okumak için kullanılıyorsa tüm databaseyi okusalar bile ulaşabilecekleri en önemli bilgi root id ve kullanıcı mailleri olur.

Bununla yaşayabilirim sanırım, diğer yandan bir çözümü de olması lazım.
Mailler alınırsa önemli değil ama artık eskisi gibi güncellenmeyen bir web sitesinin kullanıcılarına direk hedef kitle muamelesi yapılabilir.

çözümü için takipteyim.


Sadece okuma olsa yine iyi, çünkü şifreleme kullanıyoruz. Fakat asıl sorun hacker bazı yazıları değiştirebiliyor. Bunu nasıl yapmış henüz bilmiyorum.
 

 

wmaraci
wmaraci
Konuyu toplam 1 kişi okuyor. (0 kullanıcı ve 1 misafir)
Site Ayarları
  • Tema Seçeneği
  • Site Sesleri
  • Bildirimler
  • Özel Mesaj Al