lostyazilim
tr.link

YÖNETİM PANELİNİ + SİTEYİ korumaya yönelik tüm yöntemler!

9 Mesajlar 1.423 Okunma
acebozum
tr.link

BEYAZMASTER BEYAZMASTER YÜCE ALLAH'IN aciz 1 kulu Kullanıcı
  • Üyelik 04.02.2020
  • Yaş/Cinsiyet 43 / E
  • Meslek Yazılım...
  • Konum Diğer
  • Ad Soyad O** B**
  • Mesajlar 597
  • Beğeniler 154 / 153
  • Ticaret 0, (%0)
Hayırlı sabahlar,

Hepimiz için önemli olduğunu düşündüğüm bu konudaki görüşlerinizi öğrenmek isterim...



YÖNETİM PANELİ GÜVENLİĞİ:

1) Site yöneticilerine ve site üyelerine özel olan yönetim panellerini korumak için genel anlamda neler yapmalıyız?


2) Panel linkini gizlemek ve sadece üyelerin bilmesi hatta üyelerin bile bilmemesi,anlayamaması için neler yapabiliriz?
(Arama motorlarında indexlenmemesini sağlamak şart elbette.)

Diyelim ki gerçek panel adresimiz ve dosyaların bulunduğu klasör şu;
[COLOR="Sienna"]panel.siteismi.com/gercek_klasor/


Biz bunu htaccess ile istediğimiz zaman (sık sık) çeşitli sahte adlar vererek kamufle edebilir miyiz?
(Tabiki işleyişi bozmadan...)

Panel adresini/klasörünü ayda bir şu isimlere dönüştürüp login olanların kendilerini olmayan bir klasörde zannetmelerini sağlayabilir miyiz?
Örneğin;

panel.siteismi.com/qwer12345u/
panel.siteismi.com/panelll_1/
panel.siteismi.com/islemlerrr/
panel.siteismi.com/yetkili_alani_2022/

...


3) Panelin root sayfasına htaceess ile şifre koyup (üyelere bunu iletmek kaydı ile) iki aşamalı giriş sistemi konusunda ne düşünüyorsunuz?

(Önce htaccess şifresi + sonra da standart giriş prosesi...)
[/COLOR]




SİTE GÜVENLİĞİ;

* Sizce SSL kullanmak tek başına yeterli olur mu yoksa cloudflare ve benzerlerini de ilaveten kurmalı mıyız?

* PDO kullanıyorsak injection riski sıfır mıdır, yoksa bunun için ek önlem almak ve kod & fonksiyon yazmak gerekli midir?

* ...




+ Siteye yapılabilecek çeşitli saldırılara karşı koruma yapacak PHP KODLARINI TEK SAYFADA toplayıp paylaşacak bir üstad var mıdır aramızda?



Liste çok uzatılabilir, sizlere de pay bırakmak istedim...

Sizler de kendi sorularınızı ve varsa bildiğiniz cevapları eklerseniz sevinirim...

Zaman içerisinde bu ilk mesajı (özellikle de sizlerden gelenler doğrultusunda) güncelleyebilirim...


Teşekkürler...
HandLes

kişi bu mesajı beğendi.

ÖNCE "İYİ,DOĞRU,GÜZEL BİR İNSAN" OLMAK (VEFA,TEVAZZU,NAİFLİK,SAYGI,...) GEREK!
Sonra wm oluruz.
elektronikssl
webimgo

VipTema VipTema Vip Tema Web Tasarım Kullanıcı
  • Üyelik 29.06.2011
  • Yaş/Cinsiyet 37 / E
  • Meslek Vip Tema Web Tasarım A.Ş.
  • Konum Tekirdağ
  • Ad Soyad Ö** I**
  • Mesajlar 1393
  • Beğeniler 704 / 703
  • Ticaret 21, (%100)

* Site yöneticilerine ve site üyelerine ozel olan yönetim panellerini korumak için neler yapmalıyız?



Site yöneticileri ile üye giriş alanlarını birbirinden ayırmak daha mantıklı olur, üye giriş panelini gizlemek saçma olacağından sadece yönetim paneli giriş alanını gizlersin. Ancak giriş formunda tüm güvenlik önlemlerini aldıysan, buna gerek yok hatta yönetim paneline giriş linkini bilselerde sorun teşkil etmez.


* Panel linkini gizlemek ve sadece üyelerin bilmesi için neler yapabiliriz?


Yönetim panelini üye panelinden ayırmakta karar kıldıysan ve yinede gizlemek istiyorsan, htaccess parola korumalı yapabilirsin. Bana bu biraz paronoyakça geliyor onu da belirteyim. Yönetim paneli linkini en azından(yonetim,admin,panel,administrator) gibi isimler vermekten kaçınmalısın. Ekstra olarak sadece yönetici için çift parola önlemi koyabilirsin. Burada önemli olan harf,rakam,karakter içeren parolalar kullanmaya özen göstermek. Eğer bu formda da yazılım tarafında gerekli güvenlik önlemlerini almadıysan saydıklarımı yapmanın pek bir anlamı yok.


* Panelin root sayfasına htaceess ile şifre koyup (üyelere bunu iletmek kaydı ile) iki aşamalı giriş sistemi konusunda ne düşünüyorsunuz?


Bunun çok amatörce bir işlem olacağını düşünüyorum :)


Site güvenliği konusu yazmakla bitmez, hack işlemi sadece yazılım kaynaklı olmuyor. Sizin ile aynı sunucuda barınan bir başka sitenin güvenlik zaafiyeti de sizin hacklenmenize neden olabiliyor. Çok kapsamlı bir sorun.

Yazılım tarafında neler yapılabilir veya bizler neler yapıyoruz. PDO tek başına injection riskini sıfıra indirger mi? PDO'da prepare kullanıldığında modifiye edilmiş amacı değiştirilmiş karakterlerin filtrelendiği söyleniyor. Bu doğru ama, PDO yu prepare kullanmadan da kullananlar var. Bunu bir tarafa bırakalım prepare kullandığınızda da sql injection yeme ihtimalin var. Bununla ilgili geniş kapsamlı bir makale okumuştum linkini bulamadım. Orada anlatılan, kullanılan dünya dillerinden birinde ki karakterler modifiye edilerek girildiğinde başarılı sonuç veren hack senaryosu anlatılıyordu.

Burada php ye iş düşüyor. İd get yada post ediyorsanız int mi diye kontrol etmek gerek misal, bu da hacklenmenize neden olabiliyor. prepare daha güvenli kılmak adına var olsa da tek başına yeterli değil.

post edilen tek tırnakları ben hala filtreliyorum. Post işlemlerin de almış olduğum diğer önlemleri kod üzerinde görmek istersen;

function filterUrl($str){

$str = trim($str);
$str = strip_tags($str,"&");
$str = str_replace("'", "", $str);

return $str;
}

function get($name){
if(isset($_GET[$name])){

if (is_array($_GET[$name])){
return array_map(function($item){
return filterUrl($item);
}, $_GET[$name]);
}

return filterUrl($_GET[$name]);

}
return false;
}

function post($name){
if(isset($_POST[$name])){

if (is_array($_POST[$name])){
return array_map(function($item){
return filterUrl($item);
}, $_POST[$name]);
}

return filterUrl($_POST[$name]);

}
return false;
}


Bu şekilde artık $_POST['deger'] olan bir veriyi post('deger') olarak filtrelenmiş şekilde alabilirsin. Aynı şekilde $_GET['deger'] olan bir veriyi get('deger') şeklinde.

Daha önceki sorularında da yazmıştım. reCaptcha v3 çıktı mutlaka kullanmalısın tüm formlarında.

Mail veya sms ile 2FA doğrulamalı giriş yaptırma yöntemini kullanıyorum ekstradan. Üyelerime de kullandırtıyorum.

Form post edildikten sonra eğer ki bu form bir giriş alanıysa bildiğin üzere, bilgiler doğruysa görmesini istediği sayfaya yönlendiririz. Değilse bir şey yapmayız. Bu da yapılan en büyük yanlışlardan noredirect açığı oluşturur. exit() ile sonlandırmalısınız değilse kısmında. noredirect açığı çok tehlikeli panelinize şifresiz dahi girebilirim her işlemi yapabilirim.

Kullanıcı etkileşimi olan her yerde loglama yapmalısın, yarın bir gün birşeyler ters giderse loglara yoğunlaşarak anlayabilirsin. Bu işlemler hangi ip ile yapılmış vs. Sitemden örnek log sayfası. son satır şüpheli bir işlem.


Aklıma gelenler bunlar şimdilik, olursa yazarım.
furkan021 birsevda BEYAZMASTER

kişi bu mesajı beğendi.

BEYAZMASTER BEYAZMASTER YÜCE ALLAH'IN aciz 1 kulu Kullanıcı
  • Üyelik 04.02.2020
  • Yaş/Cinsiyet 43 / E
  • Meslek Yazılım...
  • Konum Diğer
  • Ad Soyad O** B**
  • Mesajlar 597
  • Beğeniler 154 / 153
  • Ticaret 0, (%0)
Oldukça kapsamlı bir cevap vermişsiniz üstad, çok teşekkürler...

Okan_IŞIK adlı üyeden alıntı

Site yöneticileri ile üye giriş alanlarını birbirinden ayırmak daha mantıklı olur

Haklısınız, işin en başında öyle yapmıştım.

Okan_IŞIK adlı üyeden alıntı

Ekstra olarak sadece yönetici için çift parola önlemi

Hemfikiriz.

Okan_IŞIK adlı üyeden alıntı

Bana bu biraz paronoyakça geliyor onu da belirteyim.


REEL YADA UNREEL HAYATTA "GÜVENLİK" CİDDİYE ALDIĞIM BİR KONUDUR...
Bana hiç paranoyakça gelmiyor önlem almak, SAHİP OLDUKLARIMIZA MUKAYYET OLMANIN BİR GEREĞİ...

Dünya denen kirli mekanda bu kadar çok karaktersiz - ş.siz varken YAPMAM/IZ GEREKEN DE BUDUR...
Fazlası olsun, noksanı olmasın...


Okan_IŞIK adlı üyeden alıntı

prepare daha güvenli kılmak adına var olsa da tek başına yeterli değil.

Aradığım cevap bu!

Okan_IŞIK adlı üyeden alıntı

post edilen tek tırnakları ben hala filtreliyorum. Post işlemlerin de almış olduğum diğer önlemleri kod üzerinde ...

Bunu paranoyakça bulmadığımı belirteyim...


Şart!

Okan_IŞIK adlı üyeden alıntı

Aklıma gelenler bunlar şimdilik, olursa yazarım.

Değerli bilgiler paylaştınız... ALLAH razı olsun...
 

 

ÖNCE "İYİ,DOĞRU,GÜZEL BİR İNSAN" OLMAK (VEFA,TEVAZZU,NAİFLİK,SAYGI,...) GEREK!
Sonra wm oluruz.

everyCode everyCode https://alikarahisar.com Kullanıcı
  • Üyelik 10.10.2016
  • Yaş/Cinsiyet 35 / E
  • Meslek Yazılım Mühendisi
  • Konum İstanbul Anadolu
  • Ad Soyad A** K**
  • Mesajlar 292
  • Beğeniler 25 / 94
  • Ticaret 1, (%100)
Merhaba,
Bu konuda master yapan ve tez döneminde olan biri olarak buraya bir çok şey yazabilirim. Ancak bunu yapmak yerine, çok önemsediğinizi söylediğiniz için bu konuda O'REILLY tarafından yayınlanmış ve NGINX tarafından ücretsiz olarak PDF hali paylaşılan Web Application Security kitabını buraya bırakıyorum. Not: Kitap İngilizce'dir.

Sağlıcakla.

Kitabın indirme linki; https://www.nginx.com/resources/library/web-application-security/
BEYAZMASTER

kişi bu mesajı beğendi.

Web -> https://alikarahisar.com
wmaraci
wmaraci

BEYAZMASTER BEYAZMASTER YÜCE ALLAH'IN aciz 1 kulu Kullanıcı
  • Üyelik 04.02.2020
  • Yaş/Cinsiyet 43 / E
  • Meslek Yazılım...
  • Konum Diğer
  • Ad Soyad O** B**
  • Mesajlar 597
  • Beğeniler 154 / 153
  • Ticaret 0, (%0)
everyCode Teşekkürler, sağlıcakla.
 

 

ÖNCE "İYİ,DOĞRU,GÜZEL BİR İNSAN" OLMAK (VEFA,TEVAZZU,NAİFLİK,SAYGI,...) GEREK!
Sonra wm oluruz.

asimavi asimavi Kpss Mağduru Kullanıcı
  • Üyelik 10.07.2013
  • Yaş/Cinsiyet 36 / E
  • Meslek Kpss Mağduru
  • Konum Nevşehir
  • Ad Soyad S** K**
  • Mesajlar 121
  • Beğeniler 8 / 19
  • Ticaret 2, (%100)
kullanıcı giriş yaptıktan sonra ona yönetim paneli linkini görünür hale getirebilirsin bu linkide kişiye göre oluşturulan bir link olabilir örnek vermek gerekirse yapıkredi bankasının giriş paneline tıkladığınızda farklı bir dosya adı veriyor kullanabilirsiniz... buna bir algoritma oluşturup ona göre çözümleyebilirsiniz... mantık tamamen size kalmış
BEYAZMASTER

kişi bu mesajı beğendi.

@simavi www.asimavi.net

BEYAZMASTER BEYAZMASTER YÜCE ALLAH'IN aciz 1 kulu Kullanıcı
  • Üyelik 04.02.2020
  • Yaş/Cinsiyet 43 / E
  • Meslek Yazılım...
  • Konum Diğer
  • Ad Soyad O** B**
  • Mesajlar 597
  • Beğeniler 154 / 153
  • Ticaret 0, (%0)
asimavi Cevabınız için teşekkür ediyorum öncelikle...
Kullanıcın giriş yapması için önce yönetim paneline gitmesi gerekiyor...
Sizin kasdettiğinizi tam anlayamış olabilirim !?
Önerinizin arkasında iseniz biraz daha somutlaştırabilir misiniz mümkünse...

"Kişiye göre oluşturulan bir link olabilir..."
İŞTE BU ÇOK GÜZEL BİR ÖNERİ, KESİNLİKLE PEŞİNE DÜŞECEĞİM...

Aklınızda bir algoritma canlandıysa öğrenmek isterim üstad...

Tekrar teşekkürler...
 

 

ÖNCE "İYİ,DOĞRU,GÜZEL BİR İNSAN" OLMAK (VEFA,TEVAZZU,NAİFLİK,SAYGI,...) GEREK!
Sonra wm oluruz.

asimavi asimavi Kpss Mağduru Kullanıcı
  • Üyelik 10.07.2013
  • Yaş/Cinsiyet 36 / E
  • Meslek Kpss Mağduru
  • Konum Nevşehir
  • Ad Soyad S** K**
  • Mesajlar 121
  • Beğeniler 8 / 19
  • Ticaret 2, (%100)
kullanıcıların giriş yaptığı sayfa örneğin login.php sayfanız olur buraya giriş yapıldığında ana sayfada kullanıcı bilgisi altında yönetim paneli linki eklersiniz admin_benzersiz key gibi bir link eklersiniz burdan yönetim paneline gider kullanıcı olmayan bu sayfayı göremez...
BEYAZMASTER

kişi bu mesajı beğendi.

@simavi www.asimavi.net

BEYAZMASTER BEYAZMASTER YÜCE ALLAH'IN aciz 1 kulu Kullanıcı
  • Üyelik 04.02.2020
  • Yaş/Cinsiyet 43 / E
  • Meslek Yazılım...
  • Konum Diğer
  • Ad Soyad O** B**
  • Mesajlar 597
  • Beğeniler 154 / 153
  • Ticaret 0, (%0)

asimavi adlı üyeden alıntı

kullanıcıların giriş yaptığı sayfa örneğin login.php sayfanız olur buraya giriş yapıldığında ana sayfada kullanıcı bilgisi altında yönetim paneli linki eklersiniz admin_benzersiz key gibi bir link eklersiniz burdan yönetim paneline gider kullanıcı olmayan bu sayfayı göremez...


Üstadım şimdi anladım ne demek istediğinizi...

TEK KELİMEYLE MÜKEMMEL PLAN...

Çok teşekkür ediyorum...
 

 

ÖNCE "İYİ,DOĞRU,GÜZEL BİR İNSAN" OLMAK (VEFA,TEVAZZU,NAİFLİK,SAYGI,...) GEREK!
Sonra wm oluruz.
Site Ayarları
  • Tema Seçeneği
  • Site Sesleri
  • Bildirimler
  • Özel Mesaj Al