S.a. Arkadaşlar Vbulletin Ne Kadar Güvenlik Bir Scriptte Olsa Güvenliğinizi Ön Planda Tutmanız Gerekir...İşe İnsan Eli Değince Biraz Değişebiliyor Durum Şimdi Sizlere Bir Kaç Güvenlik Aşamasından Bahsedeceğim
NELER YAPMAM LAZIM ?
* Vbulletin Dosyalarını Resmi Web Sitesinden TEmin edin...
Bu Büyük Bir Yer Kaplar "NULL" Adı Altında Yer Alınan (Bazı) Scriptler
Shell EnCODe Edilerek Script’inize Yerleştiriliyor...
Eğer Muhtaç Olsanız Bile Dosyalarınızı Kontrol ediniz..
* Siteme **** Atıldı...
Bu Birçok Forumda Meydana gelen Bir Durum Bu Durumu Engellemek İçin Kelime Sansürleyiniz.
neden derseniz Yetki Verdiğiniz Kişiler Veya Kişilerin Şifreleri Çalınarak Panellerinden
Örneğin ; "Forumumuz Hakkında" Bölümüne **** Atılabilir.Ayrıca Yetki Verdiğiniz Kişilere Dikkat Edin
Bir Çok Hack Forumunda Genellikle Bu Tür Olaylar Gerçekleşir Verilen Yetki O Kişi İçin Yanlış Veya Gereksizdir...
* Kodların Orjinal Kalmasına dikkat Edin.
Editleme " Düzenleme " Olarak Tabir Ettiğimiz biR Durumdur PHP Kodlarında 1 Kodun Değişikliği Güvenlik Açısından
Kötü Durumlara Sebep olabilir.Kodların Orjinal Olmasına Dikkat Edilmelidir.Ve Bilinmeye Kod eklenmemelidir.
Örneğin ; <?php include($_GET["TurkWarrior"]); ?> Kodu Bir RFİ Açığıdır
bunu index.phpye yerleştirirseniz bir RFİ AÇığı Oluşturusunuz bu yüzden bilmediğiniz
kodları göz önünde bulundurmamaya dikkat edin
"index.php?TurkWarrior=Shell?"
* AdminCP Ve ModCP
Admin Panelleriniz Standart Olarak AdminCP olarak Görülür Şifreniz Çalındığında Adminpaneli Bir Anlık Sitenizi Cehenneme
Çevirebilir Peki Ne Yapabiliriz ??
Admin Panelinizin Yolunu Değiştirmek Geçerli Bir Yoldur... AdminPaneliniz Standart Olarak"Admincp" olduğunu Biliyoruz
Nasıl Değiştireceğiz Diye Sorarsanız includes/config.php Dosyamızı Açıyoruz...
$config[’Misc’][’admincpdir’] = ’admincp’;
$config[’Misc’][’modcpdir’] = ’modcp’;
’admincp’ ve ’modcp’ Yerlerinizi Değiştiriyoruz Ve daha Sonra Admincp Ve Modcp Klasorlerinizin ADını Değiştiriyoruz...
Peki Başka ?
diyelimki adminpaneli bulundu Peki Ya Bağımsız Şifreniz ? kullanıcı adınızdan harici bir şifreleme işlemeniz gerekmektedir...
bunu bir php kodu ilede yapabilirsiniz... peki ne işe yarıyacak ?
Güzel Soru Ve Güzel CEvap şifreniz çalındı peki ya 2. şifreniz ? göz ardı edilecek bir durum değildir gerekli olan bir durumdur
peki nasıl yaparım dıyorsanız admincp/index.phpyi açıyoruz...
<?pjp
# Konfigurasyon
$sayfaSifreleme =’1’; # 1 acik , 0 kapali
$kullaniciAdi = ’test’;
$sifre = ’test’;
# yetki kontrol fonksiyonu
function yetkiKontrol($kullaniciAdi,$sifre) {
if(empty($_SERVER[’PHP_AUTH_USER’]) || empty($_SERVER[’PHP_AUTH_PW’]) || $_SERVER[’PHP_AUTH_USER’] != "$kullaniciAdi" || $_SERVER[’PHP_AUTH_PW’] != "$sifre") {
header(’WWW-Authenticate: Basic realm="Sifre ?"’);
die(header(’HTTP/1.0 401 Unauthorized’));
}
}
# Sayfa Sifreleme aciksa
if($sayfaSifreleme ==’1’) {
# Veri ve sifre kontrolu
yetkiKontrol($kullaniciAdi,$sifre);
}
?>
bu sizin sitenizde admincp girişte bağımsız bir şifre isteme gereği duyacaktır...
$kullaniciAdi = ’test’;
$sifre = ’test’;
Editlemeyi Unutmayın...
* Yüklenilen Plugin Ve Eklentiler...
Gereksiz Eklentilerden Uzak durmalısınız ve pluginlerden bunlar bir tehtit oluşturlabilir orneğin bir pluginden rfi açığı oluşturulabilir
panelden plugin oluşturularak <?php include($_GET["turkwarrior"]); ?> kod yazıldıktan sonra kullanılabilir bu yuzden içeriğini tam bilmediğiniz
bir eklentiyi kullanma gereği duymayınız bunlar sizin için güvenlik tehtididir...
* TEST amaçlı kullanıcılar...
bu genellikle arkadaşlarımızın yaptığı birşey... admin admin deneme deneme test test gibi kullanıcı adı ve şifrelere
yetki denemesi yapılarak unutulması bir çok buyuk forumun sonunun gelmesine yol açmıştır bunlara dikkat ediniz.
NELER YAPMAM LAZIM ?
* Vbulletin Dosyalarını Resmi Web Sitesinden TEmin edin...
Bu Büyük Bir Yer Kaplar "NULL" Adı Altında Yer Alınan (Bazı) Scriptler
Shell EnCODe Edilerek Script’inize Yerleştiriliyor...
Eğer Muhtaç Olsanız Bile Dosyalarınızı Kontrol ediniz..
* Siteme **** Atıldı...
Bu Birçok Forumda Meydana gelen Bir Durum Bu Durumu Engellemek İçin Kelime Sansürleyiniz.
neden derseniz Yetki Verdiğiniz Kişiler Veya Kişilerin Şifreleri Çalınarak Panellerinden
Örneğin ; "Forumumuz Hakkında" Bölümüne **** Atılabilir.Ayrıca Yetki Verdiğiniz Kişilere Dikkat Edin
Bir Çok Hack Forumunda Genellikle Bu Tür Olaylar Gerçekleşir Verilen Yetki O Kişi İçin Yanlış Veya Gereksizdir...
* Kodların Orjinal Kalmasına dikkat Edin.
Editleme " Düzenleme " Olarak Tabir Ettiğimiz biR Durumdur PHP Kodlarında 1 Kodun Değişikliği Güvenlik Açısından
Kötü Durumlara Sebep olabilir.Kodların Orjinal Olmasına Dikkat Edilmelidir.Ve Bilinmeye Kod eklenmemelidir.
Örneğin ; <?php include($_GET["TurkWarrior"]); ?> Kodu Bir RFİ Açığıdır
bunu index.phpye yerleştirirseniz bir RFİ AÇığı Oluşturusunuz bu yüzden bilmediğiniz
kodları göz önünde bulundurmamaya dikkat edin
"index.php?TurkWarrior=Shell?"
* AdminCP Ve ModCP
Admin Panelleriniz Standart Olarak AdminCP olarak Görülür Şifreniz Çalındığında Adminpaneli Bir Anlık Sitenizi Cehenneme
Çevirebilir Peki Ne Yapabiliriz ??
Admin Panelinizin Yolunu Değiştirmek Geçerli Bir Yoldur... AdminPaneliniz Standart Olarak"Admincp" olduğunu Biliyoruz
Nasıl Değiştireceğiz Diye Sorarsanız includes/config.php Dosyamızı Açıyoruz...
$config[’Misc’][’admincpdir’] = ’admincp’;
$config[’Misc’][’modcpdir’] = ’modcp’;
’admincp’ ve ’modcp’ Yerlerinizi Değiştiriyoruz Ve daha Sonra Admincp Ve Modcp Klasorlerinizin ADını Değiştiriyoruz...
Peki Başka ?
diyelimki adminpaneli bulundu Peki Ya Bağımsız Şifreniz ? kullanıcı adınızdan harici bir şifreleme işlemeniz gerekmektedir...
bunu bir php kodu ilede yapabilirsiniz... peki ne işe yarıyacak ?
Güzel Soru Ve Güzel CEvap şifreniz çalındı peki ya 2. şifreniz ? göz ardı edilecek bir durum değildir gerekli olan bir durumdur
peki nasıl yaparım dıyorsanız admincp/index.phpyi açıyoruz...
<?pjp
# Konfigurasyon
$sayfaSifreleme =’1’; # 1 acik , 0 kapali
$kullaniciAdi = ’test’;
$sifre = ’test’;
# yetki kontrol fonksiyonu
function yetkiKontrol($kullaniciAdi,$sifre) {
if(empty($_SERVER[’PHP_AUTH_USER’]) || empty($_SERVER[’PHP_AUTH_PW’]) || $_SERVER[’PHP_AUTH_USER’] != "$kullaniciAdi" || $_SERVER[’PHP_AUTH_PW’] != "$sifre") {
header(’WWW-Authenticate: Basic realm="Sifre ?"’);
die(header(’HTTP/1.0 401 Unauthorized’));
}
}
# Sayfa Sifreleme aciksa
if($sayfaSifreleme ==’1’) {
# Veri ve sifre kontrolu
yetkiKontrol($kullaniciAdi,$sifre);
}
?>
bu sizin sitenizde admincp girişte bağımsız bir şifre isteme gereği duyacaktır...
$kullaniciAdi = ’test’;
$sifre = ’test’;
Editlemeyi Unutmayın...
* Yüklenilen Plugin Ve Eklentiler...
Gereksiz Eklentilerden Uzak durmalısınız ve pluginlerden bunlar bir tehtit oluşturlabilir orneğin bir pluginden rfi açığı oluşturulabilir
panelden plugin oluşturularak <?php include($_GET["turkwarrior"]); ?> kod yazıldıktan sonra kullanılabilir bu yuzden içeriğini tam bilmediğiniz
bir eklentiyi kullanma gereği duymayınız bunlar sizin için güvenlik tehtididir...
* TEST amaçlı kullanıcılar...
bu genellikle arkadaşlarımızın yaptığı birşey... admin admin deneme deneme test test gibi kullanıcı adı ve şifrelere
yetki denemesi yapılarak unutulması bir çok buyuk forumun sonunun gelmesine yol açmıştır bunlara dikkat ediniz.
