lostyazilim
tr.link

SİTE GÜVENLİĞİ, php, js, css, html dosyaları içinde zararlı kod!

9 Mesajlar 1.678 Okunma
lstbozum
tr.link

BEYAZMASTER BEYAZMASTER YÜCE ALLAH'IN aciz 1 kulu Kullanıcı
  • Üyelik 04.02.2020
  • Yaş/Cinsiyet 43 / E
  • Meslek Yazılım...
  • Konum Diğer
  • Ad Soyad O** B**
  • Mesajlar 597
  • Beğeniler 154 / 153
  • Ticaret 0, (%0)
Merhabalar...

Güvenlik kavramına dair çok uzun zamandır sorgulamayı ertelediğim 3 adet konuyu sizlere danışmak isterim;



1) İndirdiğimiz herhangi bir script yada temada bulunan

* php dosyasının içerisine,

* js dosyasının içerisine,

* css dosyasının içerisine,

* html dosyasının içerisine,

* font, img gibi dosyaların içerisine

Birtakım ZARARLI KODLAR gömülebilir mi?




2) Notepad++ ile açtığımız bir php, js, css, html dosyası boşken bile göremediğimiz
(utf8-bom gibi)
GİZLENMİŞ ÖĞELER/KODLAR olabilir mi?




3) Harici sitelerden ÖZELLİKLE JS ve css dosyası çekilmesi durumunda (ben hemen hemen yapmıyorum bunu)
BUGÜN DÜZGÜN VE ZARARSIZ OLAN BİR DOSYA YARIN UZAKTAN ÇEKİLDİĞİ SİTEYE ZARAR VEREBİLECEK hale getirilebilir mi?




Aydınlatabilirseniz sevinirim...

Teşekkürler...
 

 

ÖNCE "İYİ,DOĞRU,GÜZEL BİR İNSAN" OLMAK (VEFA,TEVAZZU,NAİFLİK,SAYGI,...) GEREK!
Sonra wm oluruz.
wmaraci
reklam

VipTema VipTema Vip Tema Web Tasarım Kullanıcı
  • Üyelik 29.06.2011
  • Yaş/Cinsiyet 37 / E
  • Meslek Vip Tema Web Tasarım A.Ş.
  • Konum Tekirdağ
  • Ad Soyad Ö** I**
  • Mesajlar 1393
  • Beğeniler 704 / 703
  • Ticaret 21, (%100)
1-Eklenebilir :)
2-Bunun pek mümkün olacağını sanmıyorum ancak dosyanın bayt cinsinden boyutuna bakılarak anlaşılabilir.
3-Css dosyası görünüm dışında nasıl bir zarar verebilir ki. Js dosyaları için se guvenilir cdn kaynakları eklenmeli.
BEYAZMASTER

kişi bu mesajı beğendi.

BEYAZMASTER BEYAZMASTER YÜCE ALLAH'IN aciz 1 kulu Kullanıcı
  • Üyelik 04.02.2020
  • Yaş/Cinsiyet 43 / E
  • Meslek Yazılım...
  • Konum Diğer
  • Ad Soyad O** B**
  • Mesajlar 597
  • Beğeniler 154 / 153
  • Ticaret 0, (%0)

Okan_IŞIK adlı üyeden alıntı

1-Eklenebilir :)
2-Bunun pek mümkün olacağını sanmıyorum ancak dosyanın bayt cinsinden boyutuna bakılarak anlaşılabilir.
3-Css dosyası görünüm dışında nasıl bir zarar verebilir ki. Js dosyaları için se guvenilir cdn kaynakları eklenmeli.


Teşekkürler üstadım.

1) Öyle tahmin etmiştim ben de! :)
2) Umarım değildir...
3) Yazılım bu, ucu açık bir konu, herşey olabilir gibi geliyor bana...
(Boş ve 0kb gözüken her türlü dosyalar ve klasörler göründükleri gibi olmayabiliyor...)

&

Güvenilir cdn ile kendi dosyamızı kullanmak arasındaki sizin tercihiniz ne yönde olur?
(Performans ve varsa diğer açılardan...)
 

 

ÖNCE "İYİ,DOĞRU,GÜZEL BİR İNSAN" OLMAK (VEFA,TEVAZZU,NAİFLİK,SAYGI,...) GEREK!
Sonra wm oluruz.

VipTema VipTema Vip Tema Web Tasarım Kullanıcı
  • Üyelik 29.06.2011
  • Yaş/Cinsiyet 37 / E
  • Meslek Vip Tema Web Tasarım A.Ş.
  • Konum Tekirdağ
  • Ad Soyad Ö** I**
  • Mesajlar 1393
  • Beğeniler 704 / 703
  • Ticaret 21, (%100)

Güvenilir cdn ile kendi dosyamızı kullanmak arasındaki sizin tercihiniz ne yönde olur?
(Performans ve varsa diğer açılardan...)

yerel bir site yapmıyorsanız, dünya genelinde bir trafik söz konusuysa cdn den dosya çağırmak daha mantıklı. İstek yapılan lokasyona en yakın sunucudan servis ediliyor dosya. Haliyle daha hızlı bir websitesi demek.
BEYAZMASTER

kişi bu mesajı beğendi.

wmaraci
wmaraci

AzveNet AzveNet WM Aracı Kullanıcı
  • Üyelik 13.06.2019
  • Yaş/Cinsiyet 42 / E
  • Meslek Serbest
  • Konum İstanbul Anadolu
  • Ad Soyad C** E**
  • Mesajlar 367
  • Beğeniler 69 / 147
  • Ticaret 0, (%0)
Gençlik yıllarımda bir kriptolama vardı. Resim dosyasının içine istediğiniz bilgileri girebiliyordunuz. Uzantısı jpg açtığınızda fotoğraf. Programı ile açtığınızda resim soluklaşıyor ve size şifreli bilgiyi veriyordu. Günümüzde daha gelişmişleri vardır diye tahmin ediyorum. Örneğin fotoğraf dosyasının içine php kodları gömüp çalıştırma gibi. Ama bunun için sizinde sunucuya decode edecek bileşeni eklemeniz gerekir. Eklemediğiniz sürece sorun olmaz. En azından şimdilik :)

Bunu ioncube gibi düşünün. Nasılki sunucuya kurmadığınoz sürece çalıştıramıyorsanız o şekilde.

Css ne kadar zararlı olabilir diye düşündümde görünüm sonuçta. En azından ben olmayacağını sanıyorum.

Genelde zararlı kodları dosya uzantısı kontrolü yapıp bıraktığımız için yiyoruz. Mime kontrolüde yapmakta fayda var.
BEYAZMASTER

kişi bu mesajı beğendi.

İmkansız olduğunu düşünürsen hiç birşey başaramazsın.

BEYAZMASTER BEYAZMASTER YÜCE ALLAH'IN aciz 1 kulu Kullanıcı
  • Üyelik 04.02.2020
  • Yaş/Cinsiyet 43 / E
  • Meslek Yazılım...
  • Konum Diğer
  • Ad Soyad O** B**
  • Mesajlar 597
  • Beğeniler 154 / 153
  • Ticaret 0, (%0)

Okan_IŞIK adlı üyeden alıntı

yerel bir site yapmıyorsanız, dünya genelinde bir trafik söz konusuysa cdn den dosya çağırmak daha mantıklı. İstek yapılan lokasyona en yakın sunucudan servis ediliyor dosya. Haliyle daha hızlı bir websitesi demek.


Çok güzel bir cevap, teşekkür ederim.
 

 

ÖNCE "İYİ,DOĞRU,GÜZEL BİR İNSAN" OLMAK (VEFA,TEVAZZU,NAİFLİK,SAYGI,...) GEREK!
Sonra wm oluruz.

BEYAZMASTER BEYAZMASTER YÜCE ALLAH'IN aciz 1 kulu Kullanıcı
  • Üyelik 04.02.2020
  • Yaş/Cinsiyet 43 / E
  • Meslek Yazılım...
  • Konum Diğer
  • Ad Soyad O** B**
  • Mesajlar 597
  • Beğeniler 154 / 153
  • Ticaret 0, (%0)

AzveNet adlı üyeden alıntı

Gençlik yıllarımda bir kriptolama vardı. Resim dosyasının içine istediğiniz bilgileri girebiliyordunuz. Uzantısı jpg açtığınızda fotoğraf. Programı ile açtığınızda resim soluklaşıyor ve size şifreli bilgiyi veriyordu. Günümüzde daha gelişmişleri vardır diye tahmin ediyorum. Örneğin fotoğraf dosyasının içine php kodları gömüp çalıştırma gibi. Ama bunun için sizinde sunucuya decode edecek bileşeni eklemeniz gerekir. Eklemediğiniz sürece sorun olmaz. En azından şimdilik :)

Bunu ioncube gibi düşünün. Nasılki sunucuya kurmadığınoz sürece çalıştıramıyorsanız o şekilde.

Css ne kadar zararlı olabilir diye düşündümde görünüm sonuçta. En azından ben olmayacağını sanıyorum.

Genelde zararlı kodları dosya uzantısı kontrolü yapıp bıraktığımız için yiyoruz. Mime kontrolüde yapmakta fayda var.


Çok komplike cevaplarınızdan biri daha...

Elinize sağlık üstadım...

Güvenlik konularında izinizdeyiz... :)

Mime kontrolü tam olarak nasıl yapılır, ne/ler yapmalıyız?
 

 

ÖNCE "İYİ,DOĞRU,GÜZEL BİR İNSAN" OLMAK (VEFA,TEVAZZU,NAİFLİK,SAYGI,...) GEREK!
Sonra wm oluruz.

everyCode everyCode https://alikarahisar.com Kullanıcı
  • Üyelik 10.10.2016
  • Yaş/Cinsiyet 35 / E
  • Meslek Yazılım Mühendisi
  • Konum İstanbul Anadolu
  • Ad Soyad A** K**
  • Mesajlar 292
  • Beğeniler 25 / 94
  • Ticaret 1, (%100)
1- Yapılabilir ve yapılıyorda. W*rez diye tabir ettiğimiz yazılımların kırılmış halinin hemen hepsinde bu şekilde bir güvenlik zafiyetine rastlamanız olası. Burada anahtar kelimemiz; Backdoor.

2- Eğer dosya sizin değilse her şekilde temkinli yaklaşmak lazım. Her ne kadar görünmüyor kısmı geçersiz olsa da (en azından ben rastlamadım), boş olmayan dosyalar içerisinde enfekte kod mümkün.

3- Mümkün hatta dosyanın orijinal sitesi üzerinde bile mümkün. Yukarıda örneklerde CDN'den bahsedilmiş, burada sorulan soru aslında biraz farklı geldi bana. Örneğin; Bir JS kütüphanesi yazdım ve bunu kendi websitem üzerinden sunuyorum. Eğer bir zafiyet ile websitesi üzerinden sunduğum bu JS kütüphanesi manipüle edilirse bu durumda sizin sitenizde kullandığınız ve benim websitem üzerinden kaynak aldığınız dosya enfekte olacaktır. Bunu engellemek için HTTP header'ları üzerinde oynayabilirsiniz ancak bu durumda web tarayıcısının CORPS sistemi devreye girecek ve uzaktan dosya çalıştırmasını engelleyecektir. Peki harici bir kütüphane kullanmak isterseniz ne olacak? Bu durumda açık kaynak ve güvenilir olan kütüphaneleri tercih etmelisiniz. İşte CDN kısmı burada devreye girecektir. Ve mümkünse CSRF token'ı barındıran kütüphaneleri tercih etmelisiniz. Bunun en güzel örneğini Bootstrap'de görebilirsiniz.
BEYAZMASTER

kişi bu mesajı beğendi.

Web -> https://alikarahisar.com

BEYAZMASTER BEYAZMASTER YÜCE ALLAH'IN aciz 1 kulu Kullanıcı
  • Üyelik 04.02.2020
  • Yaş/Cinsiyet 43 / E
  • Meslek Yazılım...
  • Konum Diğer
  • Ad Soyad O** B**
  • Mesajlar 597
  • Beğeniler 154 / 153
  • Ticaret 0, (%0)
everyCode Her 3 soruya verdiğiniz cevap da çok net ve aydınlatıcı oldu üstadım.

3. soruya verdiğiniz donanımlı cevap yeni kavramları içerdiği için tam olarak anlamam şu an için mümkün olmadı...
(HTTP header'ları... CORPS... CSRF token'ı...)

Çok teşekkürler...
 

 

ÖNCE "İYİ,DOĞRU,GÜZEL BİR İNSAN" OLMAK (VEFA,TEVAZZU,NAİFLİK,SAYGI,...) GEREK!
Sonra wm oluruz.
Site Ayarları
  • Tema Seçeneği
  • Site Sesleri
  • Bildirimler
  • Özel Mesaj Al