PHP Tabanlı Web Sitelerindeki Olası Açık Tehlikeler ve Önemler ∞

PHP Tabanlı Web Sitelerindeki Olası Açık Tehlikeler ve Önemler

php

 

Hazır web sitesi betikleri ( Scriptleri ) başta olmak üzere, özgün olarak oluşturulan birçok PHP tabanlı web sitelerinde yazılım aşamasında bazı farkında ya da bilgisi olmadan yapılan güvenlik açıkları olabilir. Bu güvenlik açıkları, art niyetli kişiler tarafından genelde ego tatmini ve maddi kayıplar yaşatacak tehditlere her zaman açık kapı bırakmak gibidir. Betik ( script ) üzerindeki kodlarda kullanılan metotlar, sitenin barındırıldığı PHP uyumlu sunucular ( Genellikle performans açısından Linux tipi sunucular tercih edilir. ) ve dışarıdan ekleme yapılan bazı hizmetler bu açıkların kaynakları arasında sayılabilir.

İşte bazıları ve çözümleri :

Register Global Ayarı

Sunucu tabanlı bir açık olan Register Global fonksiyonu. Bu fonksiyon, düşük seviyeli PHP versiyonlu sunucularda halen aktif durumda olsa da, artık yeni versiyonlarda default ( fabrika ayarlı ) olarak kapalı vaziyette gelmektedir. Buradaki amaç ve kullanımı,  web sitesinin url yapısına, tıpkı iç fonksiyonlarda verilmiş post ve get komutları gibi algılanmasıyla sitedeki verilerin ekrana yansıtılmasına olanak sağlamasıdır. Yani, tarayıcı üzerinden bazı denemeler yaparak, aslında sistemdeki komut butonları veya işlemlerin, dış müdahale ile yapılmasıdır.

Hizmet sağlayıcınız olan Hosting firmasından bu fonksiyonun kapalı olduğunu teyit etmek yada açıksa kapanmasını istemek yeterlidir. Ayrıca, uzman yardımı ile php.ini ( php yapılanlandırma dosyası ) aracılığı ile, betiğin barındırıldığı klasör içinden de yapılabilir.

XSS Açığı

Javascript kodları ile sıklıkla yapılan bir saldırı türüdür. Genel olarak, site bütününde dış dinamiklerdeki kontrol yetersizliği sebebiyle karşımıza çıkar. Yani, yorum özelliği olan bir sitede eğer yorum alanında kodların çalışmasına izin veren bir kontrol bulunmaz ise, dışarıdan herhangi bir art niyetli kullanıcı tarafından Javascript kodları ile veritabanından hedef kolon veya sütundaki veri ekrana yazdırılabilir.

Kullanıcılara açık olan her dinamik yapının, betik içindeki önleme ve kontrol etme kodları ile, kontrol altında tutulması ve bu tip saldırılarda veritabanından veri çekimini engelleme tedbirleri ile sorun giderilebilir. Sitenin dış dinamiklerinin tamamında ( yorum, iletişim formu, dosya yükleme vs… ) bu tip kontroller ile tedbirinizi almayı unutmayın.

SQL İnjenticon

Türkçe karşılığı ile SQL Enfeksiyonu. Yani, SQL dediğimiz veritabanı yapısına yapılan direkt saldırılardır. Burada amaç, hedefteki web sitesinin veritabanı yapısını keşfetmek, keşfedildi ise yönetici veya kullanıcı bilgilerine erişim ( genelde ekrana yazdırma şeklinde bilgi ifşası ile ) şeklinde uygulanmaktadır. Eski tip PHP versiyonlarında, MySQL formatlı veritabanı yapılarında sıklıkla işe yarayan bir açık olmakla beraber, kullanıcıların yine tarayıcı üzerinden uyguladıkları ya da direkt olarak aktif formlarda deneme yaptıkları bir saldırı tipidir.

PDO ve MySQLİ formatlı PHP yapılandırmalarında, bu tip açıkların tedbiri default olarak alınmıştır. Yine de gelişen saldırı türlerine karşı, her zaman uzman yardımı almakta fayda var. Birde, unutmamak gerekir ki, veritabanını hedef alan saldırılar, veritabanı formatını da bozabileceği için veri kayıpları, silinmeler, değişimlere de imkân sağlar. Veritabanı filtreleme fonksiyonlarını, betik ( script ) içerisinde kodlar sayesinde uyguladığınızda, bu tip saldırıların da bir bakıma önüne geçmiş olursunuz.

SQL Veri Tipleri İle Rastgele Veri Saldırısı ( Brute Force tarzında )

Yine veri tabanınızı hedef alan bu saldırı tipinde, SQL yapınızda izin verilen veri tipleri eğer verinin karakterine uygun olmayan ya da gereğinden fazla izinlerle tanımlanmışsa, bu alanlara rastgele ve çoklu saldırı tarzı olan Brute Force saldırısı ile hem veri şişmesi hemde, hedefteki kullanıcının veri bilgileri deneme – yanılma yöntemi ile çözülmesine neden olur.

Tekrarlanan veri girişleri ya da denemelerinde, sınır belirlemeniz ( Örn: 3 başarısız giriş denemesinden sonra, 1 dakika bloklama ) veya şişmelerini bertaraf edecek şekilde tam olarak istenilen veriye uygun veri tipini SQL içindeki tablo ve sütunlara uygulamanız şişmelere engel olabilir.

DDOS Saldırısı

Aslında bu saldırı tipi sadece PHP tabanlı web siteleri için değil, varolan tüm kod yapılı web siteleri için bir tehdittir. Daha doğrusu siteyi tehdit etmekle kalmaz, tamamen barındırıldığı sunucu ve hattı tehdit eder. Zombi saldırısı olarakta bilinen DDOS saldırıları, birçok bilgisayar ile aynı anda tek bir sunucu ziyaretinin saniyede binlerce, onbinlerce kez ziyaret edilme isteği ( sahte veya yapay ziyaretler ) ile sunucunun yanıt veremeyecek duruma gelmesi şeklinde uygulanır. Bandwich ( site trafiği ) veya veritabanı sorgusunun şişirilmesi, sunucu portlarının aşırı yüklenmesi sonrasında, site genellikle hata ekranı vererek devre dışı kalır. Sunucuya yapılan saldırının boyutlarına ve süresine bağlı olarak, tedbir alınmadığı takdirde site yayını kesintiye uğrar. Birçok saldırı türüne de sahip olan DDOS saldırı stili, devlet ve özel büyük şirketlerin web siteleri olmak üzere, hayati önem taşıyan birçok web sitesi için büyük tehdittir.

Saldırının tedbiri, daha teknik ve uzman bilgi birikimine sahip olan kişilerce ve donanım ve güvenlik tedbirleri ile sunucu üzerinden alınabilir. Onun dışında, maalesef etkili bir tedbiri yoktur.

Bir yorum bırakınız...

*

keyword

Anahtar Kelime Analizi Nedir, Nasıl Yapılır?

İnternet kullanıcılarının internet üzerinde arattıkları terimleri bulmak ve bunları SEO stratejilerinde kullanmak için gerçekleştirilen çalışmaya anahtar kelime analizi denir. Web sitesi oluşturmak isteyenlerin anahtar ...
Python ile Basit Reactive AI Geliştirme

Python ile Basit Reactive AI Geliştirme

Günümüzde gittikçe daha çok ivme kazanan yapay zeka uygulamaları, şirketler kadar kendi yapay zeka uygulamalarını yazmak isteyenlerin de ilgi odağı haline geliyor. Python hakkında ...
pyhton flask

Python Flask Nedir ve Python Flask ile Web Geliştirme

Python ile uygulama geliştirme dendiğinde akla genellikle konsol uygulamaları, veri uygulamaları ve yapay zeka gelir, ancak Python dilinin yoğun olarak kullanıldığı alanlardan birisi de ...

Microsoft Copilot Nedir ve Nasıl Kullanılır?

Microsoft Copilot, Microsoft'un Windows, Edge, mobil ve Office 365 için yapay zeka aracıdır. Yapay zekanın gelişmesi ve OpenAI GPT'nin popüler olması ile birlikte teknoloji ...
Gmail akıllı yazma

G-mail Akıllı Yazma Özelliğini Açma Kapatma

Akıllı yazma aracı, e-mailler için otomatik tamamlama gibi çalışır. E-maillerin nasıl yazılacağını öğrenir ve cümlelerin tamamlanmasını sağlar. E-mail metinlerinin hızlıca oluşmasını sağlar. Yazarken öneriler ...
IMAP

İmap Nedir? İmap Kullanımının Faydaları

Birçok insan imap nedir bilmemektedir. Gerek günlük hayatta gerekse iş hayatında e-mail kullanımı çok önemlidir. E-mail protokolü sayesinde kişiler her cihazdan e-mailerini kontrol edebilir, ...
mac windows

Mac vs Windows Bilgisayar Özet Karşılaştırma

Bilgisayar teknolojisi, günümüzde büyük ölçüde Windows ve Mac işletim sistemleri üzerine odaklanmış durumda. Her iki işletim sistemi de benzersiz özelliklere ve kullanıcı deneyimine sahiptir ...
Gmail görev oluşturma

G-mail Görev Oluşturma G-mail Alanlar Düzenleme

G-Mail’den görev oluşumu çok basittir. Öncelikle, G-Mail hesabına giriş yaparak, sağ üstteki alan "Görevler"e tıklanmalıdır. Açılacak pencerede, yeni görevin eklenebilmesi için "Görev Ekle"ye tıklanmalıdır ...
MAPI EWS

MAPI EWS Nedir Ne İşe Yarar Ne Amaçla Kullanılır?

Teknolojinin gelişim göstermesi ile birlikte MAPI EWS nedir ne amaçla kullanılır pek çok kişi tarafından merak edilmektedir. İnternet önemli iletişim kaynaklarındandır. Gere iş alanlarında ...
Shopify

Shopify DNS Yönlendirmesini Yapmak Adım Adım

Sahip olduğunuz alan adını Shopify’e yönlendirmek istediğinizde hangi işlemleri gerçekleştirmeniz gerektiğini merak ediyor olabilirsiniz. Shopify DNS Yönlendirmesini Yapmak Adım Adım aktaracağımız bu yazımız sizler ...