Web sitesi Yazılım Açıkları
Web siteniz güvenlik taramalarından geçirilir olası güvenlik açıkları ve oluşabilecek açıklar için önlem alınır. Güvenlik açıklarına örnek olarak:
Önce kategorize edersek
- 1- Sunucu tabanlı
- 2- Yazılım tabanlı
- 3- Kullanıcı tabanlı
Güvenlik bu 3 temel taşına bagımlı oldugu için %100 güvenlik diye bir kelime kullanamayız, ama yazılım tabanlı açıkları %99 oranında engelleyebiliriz.
Başlıca Web sitesi güvenlik açıkları
- 1- sql açıgı database dosyanızın uzaktan izinsiz görüntülenmesi indirilmesi.
- 2- RFİ açığı uzaktan dosya çağırma ile siteniz üzerinde istenilen dosya çalıştırılması sonucu upload ve download yapılabilmesi bununla birlikte tüm scriptiniz ve database iniz istenmeyen kişilerin eline geçebilir.
- 3-CRSF ile sistem üzerinde yetkisiz işlem yapılır sizin A sitesinde oturumunuz açıkken B sitesinde gezerken farkında olmadan A sitesine sizin session u nuzla komut gönderilir Bu sayede sisteme yeni admin eklenebilir şifre degiştirilebilir email adresiniz degiştirelebilir cookies lerinize erişebilirler. vb
- 4-XSS ise CRSF ile birlikle kullanılabilen bir açıktır. Genellikle cookies hırsızlığında kullanılır.
- 5-Ddos temelde ping saldırı olarak bilinir sitenin anlık istek sayısını aşarak cevap veremez duruma getirmede kullanılır.
- 6-Brutforce en çok şifre kırmak için kullanılır aynı zamanda dizin bulma ve sql tablo bulma vb amaçlar için kullanılır.
- 7-Session açıkları yanlış yada yetersiz sessionlar cookie editleme gibi basit yöntemler ile aşılabilir Günümüzde bu açık ile çok karşılasılmasada zamanında bu yontem ile bir çok forum çeşidi bu acıktan etkilenmiştir. Hazır sistemler bu açıgı tecrube edip kapadılar diyebilir ama özel yazılımlarda hala karşılasılıyor örnekse mefe emlak scriptinin v.1 ni gösterebilirim
- 8- Permission Dosya ve dizin erişim izinlerinin yanlış olması durumunda bu dosyalara erişim ve degiştirmek mümkün olabilir. izinsiz dosya uploadlarını mümkün kılar bununla birlikte Hack araçı olan shellerin çalışması ve sisteme girişini kolaylastır.
- 9-Flood saldırısı siteme zarar verme üzerinedir. sistemi yavaslatmak ve db sişirmede kullanılır. e-mail bomp ile benzerdir limitli db leri doldurarak yeni kayıtları engeller ve temizlemek ugraşlı olabilir.
- 10-LISTPATH & Upload yazılım ile sunucuya dosya yükleme alanlarında dosya türü ayarlanmadıgında listpath ler yüklenebilir shell adıyla bilinen bu dosyalar ile sitenize tam erişim kazanırlar.
- 11-Lisanssız, warez yazılım ve 3.parti wordpress eklentiler, wordpress temalar kullanma.
