birader benden söylemesi köşe yazarları mod. hiç kurma çünkü açık var istrsen bakabirsin benm sitem bu yüzden bi kaç kez hacklendi ..
http://www.milw0rm.com/exploits/5186
Kayıt: Jun 02, 2003 Mesajlar: 1842 Konum: Istanbul
Tarih: 2008-09-11, 15:50:08 Mesaj konusu:
Off of. Yahu açık varsa çözüm de var. Kim diyor size gidin o modülün ilk yazıldığı yüz yıl önceki halini kurun diye.
Daha önce de kaç kere yazdım bu modülün açıklarının, sorunlarının nasıl giderileceğini.
But it is a good idea to validate/sanitaize variables
before to use them when it may come from user input.
sanitaize etmek şu demek, bir değişkenin sadece sayı olması geretiğini düşünüyorsunuz ama onu sayı olmaya zorlamıyor ya da sayıya çevirmiyorsanız o değişken farklı bir şekilde kullanılabilir.
sanitaize edilmemiş olur.
Bu tür modüllerde de temelde hep aynı şey var.
Kod:
function PrintSecPage($artid) {
global $site_logo, $nukeurl, $sitename, $datetime, $prefix, $db, $module_name, $theme;
kodunu ele alın.
$artid değişkeni yani makale id değişkeni fonksiyona gönderilmiş ve bir sayı olması yani fonksiyonun içinde mantıklı bir sayı olarak kullanılması bekleniyor.
Siz bunu;
fonksiyonun içine girer girmez,
$artid = intval($artid);
deyip sayıya olmaya zorlamaz ve,
Kod:
if ($artid <0> 10000) {
$artid = 1;
}
deyip kullanım aralığını da sınırlamazsanız isteyen dışarıdan bu değişkene acayip değerler verdirip işini görür.
Bu açık var denilen modüllerin çoğunda bu tür $artid, $secid, $firmid, vs vs sanitaize edilmemiş de o yüzden bütün bunlar.
Değişkenlerinizi sanitaize edin. Admin dışındakilerin DEBUG kodu görmesini engelleyin. Hata kodları sizden başkasına görünmesin.
Biraz da güvenlik başlıklarını okuyun.
Biz yazmaktan yorulduk, siz okumaya üşeniyorsunuz.
sen konuyu abc diye açarsın adam cab diye arar sonuçta site de konuyu adamın önüne çıkaramaz
geçin bu işleri artık ilerleyin yaaaavv
saçma sapan yorumlar yapma, neyin ilerlemesi
bırak cab'ı felan
arama kutusuna diyeceksinki "köşe yazıları güvenlik"
hiç bir şey bulamazsan gelip konu açacaksın
ararken bulamıyor diye herkeze ayrı ayrımı anlatılacak
arkadaşlar db den dolayıymış :) kusura bakmayın topic kirliliği yaptım isterseni silebilirsiniz.
Aynı problem bizde de var hala devam ediyor. .
Nasıl düzelteceğimizi de ayrıntılı biçimde yazarsanız seviniriz..
yahu açılan konu bloktaki sorun dyor güvenliğini konuşuyorsunuz. .
Açan arkadaşta çözdüm demiş nasıl çözdüğünü yazmamış..
E aynı sorun bizde de var ama çözüm yok..
Yardımcı olun lütfen
Bu forumda yeni başlıklar açamazsınız Bu forumdaki başlıklara cevap veremezsiniz Bu forumdaki mesajlarınızı değiştiremezsiniz Bu forumdaki mesajlarınızı silemezsiniz Bu forumdaki anketlerde oy kullanamazsınız