Phpde Aldığınız Güvenlik Önlemleri ve.. |
10 Mesajlar | 1.200 Okunma | ||
- Üyelik 25.03.2012
- Yaş/Cinsiyet - / E
- Meslek Öğrenci
- Konum
- Ad Soyad ** **
- Mesajlar 375
- Beğeniler 3 / 36
- Ticaret 4, (%100)
Merhabalar merak ettiğim bir husus var ki banada yarıyacaktır.Sistemlerimde açıkları kapatmak için.Siz sistemlerinizde ne tür önlemler alıyorsunuz.Admin girişlerinde olsun Dosya yükeleme işlemlerinde olsun ne gibi önlemler alıyorsunuz.Bilirsiniz ki en büyük açıklar dosya yüklemeden gelir bi fikir alışverişi yapalım :)
- Üyelik 19.05.2012
- Yaş/Cinsiyet 28 / E
- Meslek Öğrenci
- Konum Konya
- Ad Soyad E** A**
- Mesajlar 328
- Beğeniler 113 / 63
- Ticaret 1, (%100)
Veritabanında sorgulama yaparken ve PHP de işlem yaparken kontrol edilir.
Kullanıcının girebildiği değerler sınırlı olmalı. Örneğin kullanıcı giriş ekranında kullanıcı adı yerine kötü niyetli bir kişi MySQL farklı bir kod girer. Yönetici olarak giriş yapabilir.
Addslashes gibi komutlarla biraz güvenlik sağlayabilirsin
Kullanıcının girebildiği değerler sınırlı olmalı. Örneğin kullanıcı giriş ekranında kullanıcı adı yerine kötü niyetli bir kişi MySQL farklı bir kod girer. Yönetici olarak giriş yapabilir.
Addslashes gibi komutlarla biraz güvenlik sağlayabilirsin
- Üyelik 21.10.2011
- Yaş/Cinsiyet 34 /
- Meslek Serbest Meslek
- Konum
- Ad Soyad E** B**
- Mesajlar 712
- Beğeniler 22 / 115
- Ticaret 9, (%100)
Sistem kodlayıp açığı varmı yokmu diye bakmadan piyasaya süren bir sürü yapımcı var , bunların bazıları wordpress gibi çok kullanılan sistemlerde olabiliyor.
Eğer bir php sistem kodlasaydım , açıklarını kodlarken yada kodladıktan sora test ederken kapardım.Web application security scanner denen şeylerle tarar buldukları açıkları kapamaya çalışırdım.Mesela rips ile kaynak kodlardan tarama yaparım.
Bu kadar uğraş bana gelmez diyorsanız preg_replace ile açıklarda uygulanacak kodları filtreleyebiliriz.Black list yapabiliriz.
Tabi açıkları kapamak için açıkların nasıl kullanıldığını bilmek gerekir.
Bunların dışında hem php sistem yapan ya da php bilgisi hiç olmayanlara küçük ama etkili bir kaç şey söyleyeyim.
@Ogzhn , seninde dediğin gibi admin panel ve upload işlemleri tehlikeli.Bunun için ;
Admin panelinize klasör şifresi koyun.Şifresi ne admin ile ne de cpanel ile aynı olmasın.
Eğer sisteminizde resim,dosya upload klasörü var ise upload dizinine şurdaki .htaccess'i atın.
Eklemeden geçemiyeceğim.Yüzde yüz güvenlik yoktur.Sonuçta el elden üstündür.
Eğer bir php sistem kodlasaydım , açıklarını kodlarken yada kodladıktan sora test ederken kapardım.Web application security scanner denen şeylerle tarar buldukları açıkları kapamaya çalışırdım.Mesela rips ile kaynak kodlardan tarama yaparım.
Bu kadar uğraş bana gelmez diyorsanız preg_replace ile açıklarda uygulanacak kodları filtreleyebiliriz.Black list yapabiliriz.
Tabi açıkları kapamak için açıkların nasıl kullanıldığını bilmek gerekir.
Bunların dışında hem php sistem yapan ya da php bilgisi hiç olmayanlara küçük ama etkili bir kaç şey söyleyeyim.
@Ogzhn , seninde dediğin gibi admin panel ve upload işlemleri tehlikeli.Bunun için ;
Admin panelinize klasör şifresi koyun.Şifresi ne admin ile ne de cpanel ile aynı olmasın.
Eğer sisteminizde resim,dosya upload klasörü var ise upload dizinine şurdaki .htaccess'i atın.
Eklemeden geçemiyeceğim.Yüzde yüz güvenlik yoktur.Sonuçta el elden üstündür.
- Üyelik 25.03.2012
- Yaş/Cinsiyet - / E
- Meslek Öğrenci
- Konum
- Ad Soyad ** **
- Mesajlar 375
- Beğeniler 3 / 36
- Ticaret 4, (%100)
@cokbaska çok teşekkürler nete bakıyorum hep aynı filtreleyin yazıyor herkes bu iş bundan ibaret değil ki :) @developers o tarz şeyleri yaptım zaten teşekkürler.
- Üyelik 22.02.2012
- Yaş/Cinsiyet 30 / E
- Meslek PHP Developper
- Konum İstanbul Avrupa
- Ad Soyad ** **
- Mesajlar 250
- Beğeniler 65 / 71
- Ticaret 2, (%100)
Yani olay şu aslında. Belli başlı programlarla açık var yada yok diyemezsin.
Çünkü çok gelişmiş injection ve hack çeşitleri mevcut.
Bak şu iki üç dediğimi yap. Botnet yemediğin taktirde, sistemde sıkıntı çıkmaz.
1-) htaccess 'den union select komutu engelle.
2-) Tüm veri girişlerinde(GET POST) değişkeni strip_tags parantezine al.
3-) Resim yüklerken uzantı kısıtla mesela sadece jpeg png gibi. Yada sadece jpeg yap.
İyi forumlar.
Çünkü çok gelişmiş injection ve hack çeşitleri mevcut.
Bak şu iki üç dediğimi yap. Botnet yemediğin taktirde, sistemde sıkıntı çıkmaz.
1-) htaccess 'den union select komutu engelle.
2-) Tüm veri girişlerinde(GET POST) değişkeni strip_tags parantezine al.
3-) Resim yüklerken uzantı kısıtla mesela sadece jpeg png gibi. Yada sadece jpeg yap.
İyi forumlar.
- Üyelik 25.03.2012
- Yaş/Cinsiyet - / E
- Meslek Öğrenci
- Konum
- Ad Soyad ** **
- Mesajlar 375
- Beğeniler 3 / 36
- Ticaret 4, (%100)
Teşekkürler upload edilen dosyayı açıp belli taglar var mı onuda kontrol ettirmeyi düşünüyorum.
- Üyelik 22.02.2012
- Yaş/Cinsiyet 30 / E
- Meslek PHP Developper
- Konum İstanbul Avrupa
- Ad Soyad ** **
- Mesajlar 250
- Beğeniler 65 / 71
- Ticaret 2, (%100)
Evet var.
imagecreatefromjpeg fonksiyonu ile resmin jpeg olup olmadığını kontrol edebiliyorsun.
Örneğin herhangi birisi shell.php yi, shell.php;.jpeg yaparsa normalde bu jpeg sayılır ve
içeri girer. Ama imagecreatefromjpeg fonksiyonu bunun jpeg olup olmadığını
uzantısına bakarak değil, içini okuyarak anlar.
Hostunda GD kütüphanesi yüklü değilse bu fonksiyonu kullanamazsın.
imagecreatefromjpeg fonksiyonu ile resmin jpeg olup olmadığını kontrol edebiliyorsun.
Örneğin herhangi birisi shell.php yi, shell.php;.jpeg yaparsa normalde bu jpeg sayılır ve
içeri girer. Ama imagecreatefromjpeg fonksiyonu bunun jpeg olup olmadığını
uzantısına bakarak değil, içini okuyarak anlar.
Hostunda GD kütüphanesi yüklü değilse bu fonksiyonu kullanamazsın.
- Üyelik 25.03.2012
- Yaş/Cinsiyet - / E
- Meslek Öğrenci
- Konum
- Ad Soyad ** **
- Mesajlar 375
- Beğeniler 3 / 36
- Ticaret 4, (%100)
Teşekkürler.Hocam
- Üyelik 01.08.2012
- Yaş/Cinsiyet - / E
- Meslek Arayüz geliştiricisi
- Konum Ankara
- Ad Soyad ** **
- Mesajlar 5
- Beğeniler 0 / 0
- Ticaret 0, (%0)
Sadece get-post değil, cookie gibi kullanıcının müdahale edebileceği şeyleride kontrol ettirmeyi unutmayın.