İPUCU

Web & Server Güvenliği Doğru web ve veritabanı sunucusu güvenliği sağlanmadan, bilgisayar korsanları hassas verilerinize erişebilir. Web, Sunucu ve veritabanı güvenliğini nasıl sağlayacağınızı buradan öğrenebilirsiniz.

Seçenekler

Güvenlik Zafiyetleri

31-01-2014 12:20
#1
Üyelik tarihi:
06/2013
Nereden:
Nereye...
Mesajlar:
1.059
Teşekkür (Etti):
63
Teşekkür (Aldı):
182
Konular:
175
Ticaret:
(0) %
Güvenlik açıkları yerel ve dolaylı olmak üzere iki türdür;

Yerel Güvenlik Açıkları: Bunlar yerel sunucunun kendisinde bulunan güvenlik açıklarıdır. Kullanılmayan servis portunun açık bırakılması bu türden güvenlik açıklarına örnek olarak verilebilir. Bu tür açıkların kullanılabilmesi için yerel sunucuya erişim gereklidir.

Dolaylı Güvenlik Açıkları: Bunlar sunucu ile iletişim içerisinde olan uygulamalarda bulunan açıklardır. Bu açıklarla uygulamalar üzerinden dolaylı yoldan sunucuya yetkisiz erişim sağlanabilir. Web sayfalarında bulunan güvenlik açıkları bu türe örnek olarak verilebilir. Bu açıkların kullanılabilmesi için açığın bulunduğu uygulamaya erişimin olması yeterlidir.

Bir hacker siteye saldırırken genellikle dolaylı yoldan açıkları kullanarak sunucuya yerel erişimi sağlar daha sonra yerel açıklardan faydalanıp sunucuda tam yetki alarak sistemi sahiplenir. O yüzden ilk olarak dolaylı güvenlik açıklarından bahsedeceğim..

Dolaylı Güvenlik Açıkları(Remote Vulnerabilities)

Bu tür açıklar 3 gruba ayrılır;

1- Remote Code Execution (Uzaktan kod çalıştırma)
2- Remote File Inclusion (Uzaktan dosya dahil etme)
3- Remote File Upload (Uzaktan dosya yükleme)

a) Uzaktan kod çalıştıran açıklar:
Uygulamalarda kullanıcıdan gelen verinin filtrelenmemesi veya yetersiz filtrelenmesi sonucunda bu zafiyetler oluşur.
Hacker bu açıkları kullanarak uzaktan kod çalıştırma yetkisine sahip olur. Çalıştırılan kodlar o servisin kullandığı dile göre değişir.

* Sql Injection
* LDAP Injection
* XPath Injection
* Shell Code Execution

Bu açıklara örnek olarak verilebilirler..

NOT: XSS ’de bu türden bir zafiyettir ancak çalıştırılan kodlar sunucu taraflı değil kullanıcı taraflıdır.

b) Uzaktan dosya dahil eden açıklar:
Bu zafiyette PHP dilinde bulunan include() fonksiyonunun yanlış kullanımı sonucunda oluşur. Normalde include() fonksiyonu sayfa dahil etmeye yarayan yararlı bir fonksiyondur. Ancak bu fonksiyonun yanlış kullanılması ile hacker web sayfasına istediği dosyayı dahil edebilmektedir. Buna uzaktan çağırılan shell dosyalarıda dahil!

* Remote File Inclusion
* Local File Inclusion

Bu türden açıklardır..

c) Uzaktan dosya yükleyen açıklar:
Dosya upload edilen kısımlarda uzantının kontrolü, dosyanın boyutu gibi gerekli kontrollerin yapılmaması bu tür açıklara neden olur. Bu açıkları kullanan hacker sunucuya kendi zararlı dosyalarını yükleyip çalıştırabilir!
Bu açıkların özel adları yoktur bu türden olan bütün açıklar Upload açıkları olarak adlandırılır.

ALINTIDIR!
Kullanıcı İmzası
11/02/2014
Hack ile işimiz bu tarihte bitmiştir!


31-01-2014 19:53
#2
yangs - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
05/2009
Mesajlar:
41
Teşekkür (Etti):
7
Teşekkür (Aldı):
4
Konular:
17
Ticaret:
(0) %
http://www.cyber-warrior.org/Forum/p...profile=195689 tarafından alıntıdır
31-01-2014 20:03
#3
Üyelik tarihi:
06/2013
Nereden:
Nereye...
Mesajlar:
1.059
Teşekkür (Etti):
63
Teşekkür (Aldı):
182
Konular:
175
Ticaret:
(0) %
Alıntı:
yangs´isimli üyeden Alıntı Mesajı göster
Alt taraftaki notu görmedin herhalde?
Kullanıcı İmzası
11/02/2014
Hack ile işimiz bu tarihte bitmiştir!

31-01-2014 20:07
#4
yangs - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
05/2009
Mesajlar:
41
Teşekkür (Etti):
7
Teşekkür (Aldı):
4
Konular:
17
Ticaret:
(0) %
gördüm

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı