Merhabalar...
Güvenlik kavramına dair çok uzun zamandır sorgulamayı ertelediğim 3 adet konuyu sizlere danışmak isterim;
1) İndirdiğimiz herhangi bir script yada temada bulunan
* php dosyasının içerisine,
* js dosyasının içerisine,
* css dosyasının içerisine,
* html dosyasının içerisine,
* font, img gibi dosyaların içerisine
Birtakım ZARARLI KODLAR gömülebilir mi?
2) Notepad++ ile açtığımız bir php, js, css, html dosyası boşken bile göremediğimiz
(utf8-bom gibi)
GİZLENMİŞ ÖĞELER/KODLAR olabilir mi?
3) Harici sitelerden ÖZELLİKLE JS ve css dosyası çekilmesi durumunda (ben hemen hemen yapmıyorum bunu)
BUGÜN DÜZGÜN VE ZARARSIZ OLAN BİR DOSYA YARIN UZAKTAN ÇEKİLDİĞİ SİTEYE ZARAR VEREBİLECEK hale getirilebilir mi?
Aydınlatabilirseniz sevinirim...
Teşekkürler...
SİTE GÜVENLİĞİ, php, js, css, html dosyaları içinde zararlı kod! |
9 Mesajlar | 1.608 Okunma | ||
- Üyelik 04.02.2020
- Yaş/Cinsiyet 43 / E
- Meslek Yazılım...
- Konum Diğer
- Ad Soyad O** B**
- Mesajlar 597
- Beğeniler 154 / 153
- Ticaret 0, (%0)
ÖNCE "İYİ,DOĞRU,GÜZEL BİR İNSAN" OLMAK (VEFA,TEVAZZU,NAİFLİK,SAYGI,...) GEREK!
Sonra wm oluruz.
Sonra wm oluruz.
- Üyelik 29.06.2011
- Yaş/Cinsiyet 37 / E
- Meslek Vip Tema Web Tasarım A.Ş.
- Konum Tekirdağ
- Ad Soyad Ö** I**
- Mesajlar 1393
- Beğeniler 704 / 703
- Ticaret 21, (%100)
1-Eklenebilir :)
2-Bunun pek mümkün olacağını sanmıyorum ancak dosyanın bayt cinsinden boyutuna bakılarak anlaşılabilir.
3-Css dosyası görünüm dışında nasıl bir zarar verebilir ki. Js dosyaları için se guvenilir cdn kaynakları eklenmeli.
2-Bunun pek mümkün olacağını sanmıyorum ancak dosyanın bayt cinsinden boyutuna bakılarak anlaşılabilir.
3-Css dosyası görünüm dışında nasıl bir zarar verebilir ki. Js dosyaları için se guvenilir cdn kaynakları eklenmeli.
- Üyelik 04.02.2020
- Yaş/Cinsiyet 43 / E
- Meslek Yazılım...
- Konum Diğer
- Ad Soyad O** B**
- Mesajlar 597
- Beğeniler 154 / 153
- Ticaret 0, (%0)
1-Eklenebilir :)
2-Bunun pek mümkün olacağını sanmıyorum ancak dosyanın bayt cinsinden boyutuna bakılarak anlaşılabilir.
3-Css dosyası görünüm dışında nasıl bir zarar verebilir ki. Js dosyaları için se guvenilir cdn kaynakları eklenmeli.
2-Bunun pek mümkün olacağını sanmıyorum ancak dosyanın bayt cinsinden boyutuna bakılarak anlaşılabilir.
3-Css dosyası görünüm dışında nasıl bir zarar verebilir ki. Js dosyaları için se guvenilir cdn kaynakları eklenmeli.
Teşekkürler üstadım.
1) Öyle tahmin etmiştim ben de! :)
2) Umarım değildir...
3) Yazılım bu, ucu açık bir konu, herşey olabilir gibi geliyor bana...
(Boş ve 0kb gözüken her türlü dosyalar ve klasörler göründükleri gibi olmayabiliyor...)
&
Güvenilir cdn ile kendi dosyamızı kullanmak arasındaki sizin tercihiniz ne yönde olur?
(Performans ve varsa diğer açılardan...)
ÖNCE "İYİ,DOĞRU,GÜZEL BİR İNSAN" OLMAK (VEFA,TEVAZZU,NAİFLİK,SAYGI,...) GEREK!
Sonra wm oluruz.
Sonra wm oluruz.
- Üyelik 29.06.2011
- Yaş/Cinsiyet 37 / E
- Meslek Vip Tema Web Tasarım A.Ş.
- Konum Tekirdağ
- Ad Soyad Ö** I**
- Mesajlar 1393
- Beğeniler 704 / 703
- Ticaret 21, (%100)
Güvenilir cdn ile kendi dosyamızı kullanmak arasındaki sizin tercihiniz ne yönde olur?
(Performans ve varsa diğer açılardan...)
yerel bir site yapmıyorsanız, dünya genelinde bir trafik söz konusuysa cdn den dosya çağırmak daha mantıklı. İstek yapılan lokasyona en yakın sunucudan servis ediliyor dosya. Haliyle daha hızlı bir websitesi demek.
- Üyelik 13.06.2019
- Yaş/Cinsiyet 42 / E
- Meslek Serbest
- Konum İstanbul Anadolu
- Ad Soyad C** E**
- Mesajlar 367
- Beğeniler 69 / 147
- Ticaret 0, (%0)
Gençlik yıllarımda bir kriptolama vardı. Resim dosyasının içine istediğiniz bilgileri girebiliyordunuz. Uzantısı jpg açtığınızda fotoğraf. Programı ile açtığınızda resim soluklaşıyor ve size şifreli bilgiyi veriyordu. Günümüzde daha gelişmişleri vardır diye tahmin ediyorum. Örneğin fotoğraf dosyasının içine php kodları gömüp çalıştırma gibi. Ama bunun için sizinde sunucuya decode edecek bileşeni eklemeniz gerekir. Eklemediğiniz sürece sorun olmaz. En azından şimdilik :)
Bunu ioncube gibi düşünün. Nasılki sunucuya kurmadığınoz sürece çalıştıramıyorsanız o şekilde.
Css ne kadar zararlı olabilir diye düşündümde görünüm sonuçta. En azından ben olmayacağını sanıyorum.
Genelde zararlı kodları dosya uzantısı kontrolü yapıp bıraktığımız için yiyoruz. Mime kontrolüde yapmakta fayda var.
Bunu ioncube gibi düşünün. Nasılki sunucuya kurmadığınoz sürece çalıştıramıyorsanız o şekilde.
Css ne kadar zararlı olabilir diye düşündümde görünüm sonuçta. En azından ben olmayacağını sanıyorum.
Genelde zararlı kodları dosya uzantısı kontrolü yapıp bıraktığımız için yiyoruz. Mime kontrolüde yapmakta fayda var.
İmkansız olduğunu düşünürsen hiç birşey başaramazsın.
- Üyelik 04.02.2020
- Yaş/Cinsiyet 43 / E
- Meslek Yazılım...
- Konum Diğer
- Ad Soyad O** B**
- Mesajlar 597
- Beğeniler 154 / 153
- Ticaret 0, (%0)
yerel bir site yapmıyorsanız, dünya genelinde bir trafik söz konusuysa cdn den dosya çağırmak daha mantıklı. İstek yapılan lokasyona en yakın sunucudan servis ediliyor dosya. Haliyle daha hızlı bir websitesi demek.
Çok güzel bir cevap, teşekkür ederim.
ÖNCE "İYİ,DOĞRU,GÜZEL BİR İNSAN" OLMAK (VEFA,TEVAZZU,NAİFLİK,SAYGI,...) GEREK!
Sonra wm oluruz.
Sonra wm oluruz.
- Üyelik 04.02.2020
- Yaş/Cinsiyet 43 / E
- Meslek Yazılım...
- Konum Diğer
- Ad Soyad O** B**
- Mesajlar 597
- Beğeniler 154 / 153
- Ticaret 0, (%0)
Gençlik yıllarımda bir kriptolama vardı. Resim dosyasının içine istediğiniz bilgileri girebiliyordunuz. Uzantısı jpg açtığınızda fotoğraf. Programı ile açtığınızda resim soluklaşıyor ve size şifreli bilgiyi veriyordu. Günümüzde daha gelişmişleri vardır diye tahmin ediyorum. Örneğin fotoğraf dosyasının içine php kodları gömüp çalıştırma gibi. Ama bunun için sizinde sunucuya decode edecek bileşeni eklemeniz gerekir. Eklemediğiniz sürece sorun olmaz. En azından şimdilik :)
Bunu ioncube gibi düşünün. Nasılki sunucuya kurmadığınoz sürece çalıştıramıyorsanız o şekilde.
Css ne kadar zararlı olabilir diye düşündümde görünüm sonuçta. En azından ben olmayacağını sanıyorum.
Genelde zararlı kodları dosya uzantısı kontrolü yapıp bıraktığımız için yiyoruz. Mime kontrolüde yapmakta fayda var.
Bunu ioncube gibi düşünün. Nasılki sunucuya kurmadığınoz sürece çalıştıramıyorsanız o şekilde.
Css ne kadar zararlı olabilir diye düşündümde görünüm sonuçta. En azından ben olmayacağını sanıyorum.
Genelde zararlı kodları dosya uzantısı kontrolü yapıp bıraktığımız için yiyoruz. Mime kontrolüde yapmakta fayda var.
Çok komplike cevaplarınızdan biri daha...
Elinize sağlık üstadım...
Güvenlik konularında izinizdeyiz... :)
Mime kontrolü tam olarak nasıl yapılır, ne/ler yapmalıyız?
ÖNCE "İYİ,DOĞRU,GÜZEL BİR İNSAN" OLMAK (VEFA,TEVAZZU,NAİFLİK,SAYGI,...) GEREK!
Sonra wm oluruz.
Sonra wm oluruz.
- Üyelik 10.10.2016
- Yaş/Cinsiyet 34 / E
- Meslek Yazılım Mühendisi
- Konum İstanbul Anadolu
- Ad Soyad A** K**
- Mesajlar 293
- Beğeniler 25 / 94
- Ticaret 1, (%100)
1- Yapılabilir ve yapılıyorda. W*rez diye tabir ettiğimiz yazılımların kırılmış halinin hemen hepsinde bu şekilde bir güvenlik zafiyetine rastlamanız olası. Burada anahtar kelimemiz; Backdoor.
2- Eğer dosya sizin değilse her şekilde temkinli yaklaşmak lazım. Her ne kadar görünmüyor kısmı geçersiz olsa da (en azından ben rastlamadım), boş olmayan dosyalar içerisinde enfekte kod mümkün.
3- Mümkün hatta dosyanın orijinal sitesi üzerinde bile mümkün. Yukarıda örneklerde CDN'den bahsedilmiş, burada sorulan soru aslında biraz farklı geldi bana. Örneğin; Bir JS kütüphanesi yazdım ve bunu kendi websitem üzerinden sunuyorum. Eğer bir zafiyet ile websitesi üzerinden sunduğum bu JS kütüphanesi manipüle edilirse bu durumda sizin sitenizde kullandığınız ve benim websitem üzerinden kaynak aldığınız dosya enfekte olacaktır. Bunu engellemek için HTTP header'ları üzerinde oynayabilirsiniz ancak bu durumda web tarayıcısının CORPS sistemi devreye girecek ve uzaktan dosya çalıştırmasını engelleyecektir. Peki harici bir kütüphane kullanmak isterseniz ne olacak? Bu durumda açık kaynak ve güvenilir olan kütüphaneleri tercih etmelisiniz. İşte CDN kısmı burada devreye girecektir. Ve mümkünse CSRF token'ı barındıran kütüphaneleri tercih etmelisiniz. Bunun en güzel örneğini Bootstrap'de görebilirsiniz.
2- Eğer dosya sizin değilse her şekilde temkinli yaklaşmak lazım. Her ne kadar görünmüyor kısmı geçersiz olsa da (en azından ben rastlamadım), boş olmayan dosyalar içerisinde enfekte kod mümkün.
3- Mümkün hatta dosyanın orijinal sitesi üzerinde bile mümkün. Yukarıda örneklerde CDN'den bahsedilmiş, burada sorulan soru aslında biraz farklı geldi bana. Örneğin; Bir JS kütüphanesi yazdım ve bunu kendi websitem üzerinden sunuyorum. Eğer bir zafiyet ile websitesi üzerinden sunduğum bu JS kütüphanesi manipüle edilirse bu durumda sizin sitenizde kullandığınız ve benim websitem üzerinden kaynak aldığınız dosya enfekte olacaktır. Bunu engellemek için HTTP header'ları üzerinde oynayabilirsiniz ancak bu durumda web tarayıcısının CORPS sistemi devreye girecek ve uzaktan dosya çalıştırmasını engelleyecektir. Peki harici bir kütüphane kullanmak isterseniz ne olacak? Bu durumda açık kaynak ve güvenilir olan kütüphaneleri tercih etmelisiniz. İşte CDN kısmı burada devreye girecektir. Ve mümkünse CSRF token'ı barındıran kütüphaneleri tercih etmelisiniz. Bunun en güzel örneğini Bootstrap'de görebilirsiniz.
Web -> https://alikarahisar.com
- Üyelik 04.02.2020
- Yaş/Cinsiyet 43 / E
- Meslek Yazılım...
- Konum Diğer
- Ad Soyad O** B**
- Mesajlar 597
- Beğeniler 154 / 153
- Ticaret 0, (%0)
everyCode Her 3 soruya verdiğiniz cevap da çok net ve aydınlatıcı oldu üstadım.
3. soruya verdiğiniz donanımlı cevap yeni kavramları içerdiği için tam olarak anlamam şu an için mümkün olmadı...
(HTTP header'ları... CORPS... CSRF token'ı...)
Çok teşekkürler...
3. soruya verdiğiniz donanımlı cevap yeni kavramları içerdiği için tam olarak anlamam şu an için mümkün olmadı...
(HTTP header'ları... CORPS... CSRF token'ı...)
Çok teşekkürler...
ÖNCE "İYİ,DOĞRU,GÜZEL BİR İNSAN" OLMAK (VEFA,TEVAZZU,NAİFLİK,SAYGI,...) GEREK!
Sonra wm oluruz.
Sonra wm oluruz.
Konuyu toplam 1 kişi okuyor. (0 kullanıcı ve 1 misafir)