Arkadaşlar Türkiye'nin en ünlü web güvenlik açıklarını belirten sitelerde gezdim ve belli başlı açıklar gördüm bunları hemen önlemeliyiz
Şimdi size açık kodlarını burda veremiyorum biz warez sitesi değiliz ama emin olun ki bilinen 3 açığa cevabımdır bunlar benim :) öyle boş boş yazmıyorum
1 ) Prefix değiştirin
2 ) rc2 sürümü kullanın
3)Mesajlara flash çağırma özelliğini kapatın admin paneliden
4) Bilgisayardan avatar yüklemeyi kapatın
5) ..../Sources/admin.php yi açalım
<?php kodundan hemen sonra aşağıdaki satırları ekliyelim
Kendinize göre index.php?action=admin sayfası artık iki şifreli yani c o o k i e çalınsa bile ikinci şifre önleyebilir atağı
SMF'ye gerçekten bayıldım diyebilirim güvenliği açığı yok denecek kadar az yani en büyük hacker sitelerinde bile kapanması çok kolay olay 3 açık var yani lamerler elini uzatamıyor güle güle bbtonuke
En son aslanonur tarafından 2006-08-14, 23:26:57 tarihinde değiştirildi, toplam 1 kere değiştirildi
Kayıt: Oct 08, 2005 Mesajlar: 925 Konum: Kasımpaşa
Tarih: 2006-08-14, 23:28:42 Mesaj konusu:
HunTürk :
valla onur bu başlığı birde smfede yaz..
onur sanırım ne demek ıstedını ben anladım HunTürk kardeşimizin bende diğer arkadaşlarımız gibi joomla ve smf ye yenı atıldım ama gordum kı bukadar zamnda senın verdığın cevap kadar düzgün bir cevap bulamadım netopsiyona smf ve joomla başlığı açılsa eminim bir haftada onalrın yaptığının yüz katını yaparız buda netopsiyon farkı buarada senınde bildiğin üzere bende smf kurdum ve dediğin güvenlik önlemlerini aldım sayğılarla tşkler usta
En son sade_kahve tarafından 2006-09-27, 07:42:30 tarihinde değiştirildi, toplam 1 kere değiştirildi
NetOpsiyon yavaş yavaş tüm yazılımların destek sitesi olma yolunda zaten. Hemen hemen bütün yazılımlarla ilgili sorunlar paylaşılıyor, çözüm yolları aranıyor artık. Ali Osman' ın NetOpsiyon webmaster platformu olacak sözünü yavaş yavaş anlamaya başladım.
Bu arada hostan kaynaklanmadığı sürece smf de yazma izni verdiğiniz klasör ve dosyalar yüzünden hacklenmezsiniz.
Ama yinede özellikle ana dizinde ki settings.phpyi siz 644 yapın...
Ayrıca http://mods.simplemachines.org/ buarada yer alan modları kurun ve güvenli ise tercih edin.. Zaten burada test edilmedi gibi bi şeylerde yazar..
Şuan için smf de açık yok.. Hacklenen smf forumlar, host ya da şifrelerın çalınması/bulunması sonucunda oluyor.. Bazende güvensiz mod ya da başka bir scriptle birlerştirilmesinde de olabiliyor..
smf de güvenlik için birkaç bişey eklemek istedim.
Sources klasörünü adnı istediğiniz ve kimsenin aklına gelmeyecek şekilde değiştirin ve settings.php açın
Kod:
$sourcedir = dirname(__FILE__) . '/Sources';
bu kodu bulun ardından sources yazılı yere yine aynı ismi verin. yalnız buradaki isim değişikliğinini .../dosya1/.......DEĞİŞTİĞİNİZ İSİM olarak yazın.daha sonra şu kodu bulun
Kod:
$sourcedir = $boarddir . '/Sources';
Source yazan yere sadece değiştiğiniz klasör ismini yazın. hatta içerde admin.php yi tutmayabilirsiniz.
[NOT: eğer serverden kaynaklı veritabanına bağlanamama olursa ve içerde admin.php yoksa tarayıcıya yansıyan hata mesajında değiştiğiniz source klasörü ismi ve bu klasörün dizindeki yeri veriliyor]
ayrıca smf de index.php?action=recent sorgusu çalıştırıldığında üye olmayanlar kolaylıkla son yazılan mesajları görebilmektedir.bunu engellemek içinde index.php yi açın ve su kodu bulun
olarak değiştiriyoruz.
admin.php bu kalsör içinde olduğundan ve yeni klasör ismini bilemediklerinden admin.php ye erişimde zorlanıyorlar. onur arkadaşım umarım yardımcı olabilmişimdir ..
olarak değiştiriyoruz.
admin.php bu kalsör içinde olduğundan ve yeni klasör ismini bilemediklerinden admin.php ye erişimde zorlanıyorlar. onur arkadaşım umarım yardımcı olabilmişimdir ..
Tamam çok teşekkür ederim hallettim bu anlatımla :)
tşk ederim coldman onur gıbı bende geç anladım bunun yerıne settings.php de "sources" gordumuz yerlere klasorun yenı adını yazın dese daha basit olurdu tekrar tşklar
arkadaşlar aklıma sonradan geldi kusura bakmayın. üye olmayanlar mesajları index.php ye bazı sorgular ile görebilmekte bunuda engellemek için sources klasörü içindeki Display.php doyasını açın ve en alta ?> den önce
Kod:
is_not_guest();
kodunu ekleyin.daha sağlam olmasını istiyorsanız da kullandığınız tema klasörü içindeki Display.template.php ye , Printpage.template.php ve recent.template.php ye de uygulayın.
[Bilen arkaslar illaki vardır ancak hazır konu açılmışken bunları da vermek istedim ] ...
Asd.php diye bir sayfa yaptınız. Ancak bunun ziyaretçilerin görmesini istemiyorsunuz..SSI denilen olayla kendinize ait portal bile yapabilirsiniz..
Kod:
<?php
require("/sunucu yolu/SSI.php");
if ($context['user']['is_guest'])
{
echo
'<center<h5>Hata..! Bu bölüm sadece üyelere yönelik hazırlanmıştır.İçeriği görebilmek için üye girişi yapmanız gerekmektedir. Üye değilseniz aşağıda ki bağlantımızdan üye olabilirsiniz.</h5>
<p><a href="http://www.hunturk.org/index.php?action=register">
<img style="MARGIN: 2px 0px" alt="Kayıt" src="http://www.hunturk.org/Themes/Otag_Kirmizi/images/turkish/register.gif" border="0"></a></p></center>';
ssi_login();
}
else
{
echo
'<h5>Hoşgeldin, Bozkurt ', $context['user']['name'], '!</h5>';
echo
'<h5>Başlık.</h5>';// script kodlarını buraya yazabilirsiniz..
}
?>
Kayıt: Mar 18, 2005 Mesajlar: 2176 Konum: istanbul-tokat
Tarih: 2006-08-16, 11:32:58 Mesaj konusu:
aslanonur :
Ya arkadaşlar SMF muhteşem üstü eskiden nasıl bbtonuke kullanıyomuşuz şaşıyorum :)
Güvenlik için bence şart forumun SMF olması
yine aynı yere geliyoruz bbtonuke ve phpbb çok kullanılan ve açık kaynaklı bir sistem açıklarının olmasına şaşmamalı %100 güvenlik yoktur smf henüz yaygın değil yaygınlaştığında göreceksiniz açıkları
-::DATE -::DESCRIPTION -::HITS -::AUTHOR
2006-07-17 SMF Forum Mambo Component <= 1.3.1.3 Include Vulnerability 2331 R D ASIANEAGLE
2006-05-09 phpRaid <= 3.0.b3 (SMF) Remote File Inclusion Vulnerabilities 5608 R D Kurdish Security
ssi olayına gelirsek zaten db den elle de alabilirsiniz dosyaları onlar fonksiyonlar haline getirmişler include edip sayfanıza fonksiyonu çağırınca çıktı olarak basıyor smf yi pekte ahım şahım bir olay değil 8)
Tüm zamanlar GMT + 3 Saat Sayfaya git 1, 2, 3Sonraki
1. sayfa (Toplam 3 sayfa)
Bu forumda yeni başlıklar açamazsınız Bu forumdaki başlıklara cevap veremezsiniz Bu forumdaki mesajlarınızı değiştiremezsiniz Bu forumdaki mesajlarınızı silemezsiniz Bu forumdaki anketlerde oy kullanamazsınız
Arama
Rütbeliler
Profil
Giriş
valla onur bu başlığı birde smfede yaz..
