PHP Tabanlı Web Sitelerindeki Olası Açık Tehlikeler ve Önemler | Sonsuz Teknoloji Sonsuz Teknoloji

PHP Tabanlı Web Sitelerindeki Olası Açık Tehlikeler ve Önemler

php

 

Hazır web sitesi betikleri ( Scriptleri ) başta olmak üzere, özgün olarak oluşturulan birçok PHP tabanlı web sitelerinde yazılım aşamasında bazı farkında ya da bilgisi olmadan yapılan güvenlik açıkları olabilir. Bu güvenlik açıkları, art niyetli kişiler tarafından genelde ego tatmini ve maddi kayıplar yaşatacak tehditlere her zaman açık kapı bırakmak gibidir. Betik ( script ) üzerindeki kodlarda kullanılan metotlar, sitenin barındırıldığı PHP uyumlu sunucular ( Genellikle performans açısından Linux tipi sunucular tercih edilir. ) ve dışarıdan ekleme yapılan bazı hizmetler bu açıkların kaynakları arasında sayılabilir.

İşte bazıları ve çözümleri :

Register Global Ayarı

Sunucu tabanlı bir açık olan Register Global fonksiyonu. Bu fonksiyon, düşük seviyeli PHP versiyonlu sunucularda halen aktif durumda olsa da, artık yeni versiyonlarda default ( fabrika ayarlı ) olarak kapalı vaziyette gelmektedir. Buradaki amaç ve kullanımı,  web sitesinin url yapısına, tıpkı iç fonksiyonlarda verilmiş post ve get komutları gibi algılanmasıyla sitedeki verilerin ekrana yansıtılmasına olanak sağlamasıdır. Yani, tarayıcı üzerinden bazı denemeler yaparak, aslında sistemdeki komut butonları veya işlemlerin, dış müdahale ile yapılmasıdır.

Hizmet sağlayıcınız olan Hosting firmasından bu fonksiyonun kapalı olduğunu teyit etmek yada açıksa kapanmasını istemek yeterlidir. Ayrıca, uzman yardımı ile php.ini ( php yapılanlandırma dosyası ) aracılığı ile, betiğin barındırıldığı klasör içinden de yapılabilir.

XSS Açığı

Javascript kodları ile sıklıkla yapılan bir saldırı türüdür. Genel olarak, site bütününde dış dinamiklerdeki kontrol yetersizliği sebebiyle karşımıza çıkar. Yani, yorum özelliği olan bir sitede eğer yorum alanında kodların çalışmasına izin veren bir kontrol bulunmaz ise, dışarıdan herhangi bir art niyetli kullanıcı tarafından Javascript kodları ile veritabanından hedef kolon veya sütundaki veri ekrana yazdırılabilir.

Kullanıcılara açık olan her dinamik yapının, betik içindeki önleme ve kontrol etme kodları ile, kontrol altında tutulması ve bu tip saldırılarda veritabanından veri çekimini engelleme tedbirleri ile sorun giderilebilir. Sitenin dış dinamiklerinin tamamında ( yorum, iletişim formu, dosya yükleme vs… ) bu tip kontroller ile tedbirinizi almayı unutmayın.

SQL İnjenticon

Türkçe karşılığı ile SQL Enfeksiyonu. Yani, SQL dediğimiz veritabanı yapısına yapılan direkt saldırılardır. Burada amaç, hedefteki web sitesinin veritabanı yapısını keşfetmek, keşfedildi ise yönetici veya kullanıcı bilgilerine erişim ( genelde ekrana yazdırma şeklinde bilgi ifşası ile ) şeklinde uygulanmaktadır. Eski tip PHP versiyonlarında, MySQL formatlı veritabanı yapılarında sıklıkla işe yarayan bir açık olmakla beraber, kullanıcıların yine tarayıcı üzerinden uyguladıkları ya da direkt olarak aktif formlarda deneme yaptıkları bir saldırı tipidir.

PDO ve MySQLİ formatlı PHP yapılandırmalarında, bu tip açıkların tedbiri default olarak alınmıştır. Yine de gelişen saldırı türlerine karşı, her zaman uzman yardımı almakta fayda var. Birde, unutmamak gerekir ki, veritabanını hedef alan saldırılar, veritabanı formatını da bozabileceği için veri kayıpları, silinmeler, değişimlere de imkân sağlar. Veritabanı filtreleme fonksiyonlarını, betik ( script ) içerisinde kodlar sayesinde uyguladığınızda, bu tip saldırıların da bir bakıma önüne geçmiş olursunuz.

SQL Veri Tipleri İle Rastgele Veri Saldırısı ( Brute Force tarzında )

Yine veri tabanınızı hedef alan bu saldırı tipinde, SQL yapınızda izin verilen veri tipleri eğer verinin karakterine uygun olmayan ya da gereğinden fazla izinlerle tanımlanmışsa, bu alanlara rastgele ve çoklu saldırı tarzı olan Brute Force saldırısı ile hem veri şişmesi hemde, hedefteki kullanıcının veri bilgileri deneme – yanılma yöntemi ile çözülmesine neden olur.

Tekrarlanan veri girişleri ya da denemelerinde, sınır belirlemeniz ( Örn: 3 başarısız giriş denemesinden sonra, 1 dakika bloklama ) veya şişmelerini bertaraf edecek şekilde tam olarak istenilen veriye uygun veri tipini SQL içindeki tablo ve sütunlara uygulamanız şişmelere engel olabilir.

DDOS Saldırısı

Aslında bu saldırı tipi sadece PHP tabanlı web siteleri için değil, varolan tüm kod yapılı web siteleri için bir tehdittir. Daha doğrusu siteyi tehdit etmekle kalmaz, tamamen barındırıldığı sunucu ve hattı tehdit eder. Zombi saldırısı olarakta bilinen DDOS saldırıları

, birçok bilgisayar ile aynı anda tek bir sunucu ziyaretinin saniyede binlerce, onbinlerce kez ziyaret edilme isteği ( sahte veya yapay ziyaretler ) ile sunucunun yanıt veremeyecek duruma gelmesi şeklinde uygulanır. Bandwich ( site trafiği ) veya veritabanı sorgusunun şişirilmesi, sunucu portlarının aşırı yüklenmesi sonrasında, site genellikle hata ekranı vererek devre dışı kalır. Sunucuya yapılan saldırının boyutlarına ve süresine bağlı olarak, tedbir alınmadığı takdirde site yayını kesintiye uğrar. Birçok saldırı türüne de sahip olan DDOS saldırı stili, devlet ve özel büyük şirketlerin web siteleri olmak üzere, hayati önem taşıyan birçok web sitesi için büyük tehdittir.

Saldırının tedbiri, daha teknik ve uzman bilgi birikimine sahip olan kişilerce ve donanım ve güvenlik tedbirleri ile sunucu üzerinden alınabilir. Onun dışında, maalesef etkili bir tedbiri yoktur.

Bir yorum bırakınız...

*

bilgisayar yedekleme

Bilgisayar Yedekleme Yöntemleri

Bilgisayar, üzerinden işlediğimiz bilgileri saklayan ve istediğimizde geri veren cihazdır. Bilgisayar, tablet, ...
footbal maneger 2021

Football Manager 2021 Tanıtıldı! İşte Çıkış Tarihi ve Fiyatı

Günümüzün en popüler oyun serilerinden biri olan Football Manager serisi, yeni oyunuyla ...
twitter sesli dm

Twitter Sesli DM Özelliğini Test Ediyor!

Geçtiğimiz günlerde bazı güncellemeler alarak gündeme gelmeyi başaran Twitter, şimdilerde sesli dm ...
altyazı

Yabancı Film için Türkçe Altyazı İndirme Siteleri

Altyazı, yabancı dilde çekilen dizi, film ve belgesellerin orijinal seslendirilmesi nedeniyle kendi ...
göz yorgunluğu

Göz Yorgunluğunu Azaltan Android Uygulamalar

Android, Google ve Open Handset Alliance tarafından mobil cihazlar için yazılmış, Linux ...
driectx

Bilgisayar DirectX Sürümü Öğrenme

Directx sürümü öğrenme her bilgisayar kullanıcısının merak ettiği oldukça kolay şekilde öğrenilebilen ...
Heatmap (Isı Haritası) Nedir

Heatmap (Isı Haritası) Nedir, Ne İşe Yarıyor?

Heatmap yani ‘Isı Haritası’ SEO uzmanları tarafından bilinen bir kavramdır. Website analizinde ...
bilgisayar dükkanı

Bilgisayarcı Dükkanı Nasıl Açılır, Ne Kadar Sermaye Gerekir, Ne Kadar Kazandırır?

İş fikirleri arasında, bilgisayarcı dükkanı açmak, en temiz ve kar getiren işlerden ...