PHP Tabanlı Web Sitelerindeki Olası Açık Tehlikeler ve Önemler | Sonsuz Teknoloji

PHP Tabanlı Web Sitelerindeki Olası Açık Tehlikeler ve Önemler

Yazan: Yayınlanma Zamanı: 26 Aralık 2019 14:18 Son Güncelleme: 25 Aralık 2019 16:26

php

 

Hazır web sitesi betikleri ( Scriptleri ) başta olmak üzere, özgün olarak oluşturulan birçok PHP tabanlı web sitelerinde yazılım aşamasında bazı farkında ya da bilgisi olmadan yapılan güvenlik açıkları olabilir. Bu güvenlik açıkları, art niyetli kişiler tarafından genelde ego tatmini ve maddi kayıplar yaşatacak tehditlere her zaman açık kapı bırakmak gibidir. Betik ( script ) üzerindeki kodlarda kullanılan metotlar, sitenin barındırıldığı PHP uyumlu sunucular ( Genellikle performans açısından Linux tipi sunucular tercih edilir. ) ve dışarıdan ekleme yapılan bazı hizmetler bu açıkların kaynakları arasında sayılabilir.

İşte bazıları ve çözümleri :

Register Global Ayarı

Sunucu tabanlı bir açık olan Register Global fonksiyonu. Bu fonksiyon, düşük seviyeli PHP versiyonlu sunucularda halen aktif durumda olsa da, artık yeni versiyonlarda default ( fabrika ayarlı ) olarak kapalı vaziyette gelmektedir. Buradaki amaç ve kullanımı,  web sitesinin url yapısına, tıpkı iç fonksiyonlarda verilmiş post ve get komutları gibi algılanmasıyla sitedeki verilerin ekrana yansıtılmasına olanak sağlamasıdır. Yani, tarayıcı üzerinden bazı denemeler yaparak, aslında sistemdeki komut butonları veya işlemlerin, dış müdahale ile yapılmasıdır.

Hizmet sağlayıcınız olan Hosting firmasından bu fonksiyonun kapalı olduğunu teyit etmek yada açıksa kapanmasını istemek yeterlidir. Ayrıca, uzman yardımı ile php.ini ( php yapılanlandırma dosyası ) aracılığı ile, betiğin barındırıldığı klasör içinden de yapılabilir.

XSS Açığı

Javascript kodları ile sıklıkla yapılan bir saldırı türüdür. Genel olarak, site bütününde dış dinamiklerdeki kontrol yetersizliği sebebiyle karşımıza çıkar. Yani, yorum özelliği olan bir sitede eğer yorum alanında kodların çalışmasına izin veren bir kontrol bulunmaz ise, dışarıdan herhangi bir art niyetli kullanıcı tarafından Javascript kodları ile veritabanından hedef kolon veya sütundaki veri ekrana yazdırılabilir.

Kullanıcılara açık olan her dinamik yapının, betik içindeki önleme ve kontrol etme kodları ile, kontrol altında tutulması ve bu tip saldırılarda veritabanından veri çekimini engelleme tedbirleri ile sorun giderilebilir. Sitenin dış dinamiklerinin tamamında ( yorum, iletişim formu, dosya yükleme vs… ) bu tip kontroller ile tedbirinizi almayı unutmayın.

SQL İnjenticon

Türkçe karşılığı ile SQL Enfeksiyonu. Yani, SQL dediğimiz veritabanı yapısına yapılan direkt saldırılardır. Burada amaç, hedefteki web sitesinin veritabanı yapısını keşfetmek, keşfedildi ise yönetici veya kullanıcı bilgilerine erişim ( genelde ekrana yazdırma şeklinde bilgi ifşası ile ) şeklinde uygulanmaktadır. Eski tip PHP versiyonlarında, MySQL formatlı veritabanı yapılarında sıklıkla işe yarayan bir açık olmakla beraber, kullanıcıların yine tarayıcı üzerinden uyguladıkları ya da direkt olarak aktif formlarda deneme yaptıkları bir saldırı tipidir.

PDO ve MySQLİ formatlı PHP yapılandırmalarında, bu tip açıkların tedbiri default olarak alınmıştır. Yine de gelişen saldırı türlerine karşı, her zaman uzman yardımı almakta fayda var. Birde, unutmamak gerekir ki, veritabanını hedef alan saldırılar, veritabanı formatını da bozabileceği için veri kayıpları, silinmeler, değişimlere de imkân sağlar. Veritabanı filtreleme fonksiyonlarını, betik ( script ) içerisinde kodlar sayesinde uyguladığınızda, bu tip saldırıların da bir bakıma önüne geçmiş olursunuz.

SQL Veri Tipleri İle Rastgele Veri Saldırısı ( Brute Force tarzında )

Yine veri tabanınızı hedef alan bu saldırı tipinde, SQL yapınızda izin verilen veri tipleri eğer verinin karakterine uygun olmayan ya da gereğinden fazla izinlerle tanımlanmışsa, bu alanlara rastgele ve çoklu saldırı tarzı olan Brute Force saldırısı ile hem veri şişmesi hemde, hedefteki kullanıcının veri bilgileri deneme – yanılma yöntemi ile çözülmesine neden olur.

Tekrarlanan veri girişleri ya da denemelerinde, sınır belirlemeniz ( Örn: 3 başarısız giriş denemesinden sonra, 1 dakika bloklama ) veya şişmelerini bertaraf edecek şekilde tam olarak istenilen veriye uygun veri tipini SQL içindeki tablo ve sütunlara uygulamanız şişmelere engel olabilir.

DDOS Saldırısı

Aslında bu saldırı tipi sadece PHP tabanlı web siteleri için değil, varolan tüm kod yapılı web siteleri için bir tehdittir. Daha doğrusu siteyi tehdit etmekle kalmaz, tamamen barındırıldığı sunucu ve hattı tehdit eder. Zombi saldırısı olarakta bilinen DDOS saldırıları, birçok bilgisayar ile aynı anda tek bir sunucu ziyaretinin saniyede binlerce, onbinlerce kez ziyaret edilme isteği ( sahte veya yapay ziyaretler ) ile sunucunun yanıt veremeyecek duruma gelmesi şeklinde uygulanır. Bandwich ( site trafiği ) veya veritabanı sorgusunun şişirilmesi, sunucu portlarının aşırı yüklenmesi sonrasında, site genellikle hata ekranı vererek devre dışı kalır. Sunucuya yapılan saldırının boyutlarına ve süresine bağlı olarak, tedbir alınmadığı takdirde site yayını kesintiye uğrar. Birçok saldırı türüne de sahip olan DDOS saldırı stili, devlet ve özel büyük şirketlerin web siteleri olmak üzere, hayati önem taşıyan birçok web sitesi için büyük tehdittir.

Saldırının tedbiri, daha teknik ve uzman bilgi birikimine sahip olan kişilerce ve donanım ve güvenlik tedbirleri ile sunucu üzerinden alınabilir. Onun dışında, maalesef etkili bir tedbiri yoktur.

ETİKETLER

Bir yorum bırakınız...

*

Yapay Zeka Destekli Asistanlar

Yapay Zeka Asistanlar Hayatımızı Nasıl Değiştiriyor?

Teknoloji dünyasında yapay zeka (AI) destekli asistanlar, son yıllarda hızla popülerlik kazandı. Siri, Google Asistan, Alexa ve daha birçok platform, kullanıcıların hayatlarını kolaylaştırmak ve ...
Daha Fazlasını Oku
github

GitHub Nedir ve Neden Önemlidir?

GitHub, yazılım geliştiricilerin kodlarını depolamak, yönetmek ve diğer geliştiricilerle işbirliği yapmak için kullandıkları popüler bir platformdur. Bu platform, sadece kod deposundan çok daha fazlasını ...
Daha Fazlasını Oku
World Wide Web

World Wide Web Nedir? WWW Hakkında Her Şey

World Wide Web (WWW), genellikle kısaca Web olarak adlandırılan, internet üzerindeki birbirine bağlı sayfaların oluşturduğu devasa bir bilgi sistemidir. Basitçe söylemek gerekirse, her gün ...
Daha Fazlasını Oku
teamseak

TeamSpeak Sunucusu Kurma Rehberi: Kapsamlı Bir Anlatım

TeamSpeak, özellikle oyuncular ve ekipler arasında sesli iletişimi sağlayan popüler bir platformdur. Kendi sunucunuzun olması, size daha fazla özelleştirme ve kontrol imkanı sunar. Bu ...
Daha Fazlasını Oku
discord

Discord’a DNS ile Nasıl Girilir? Kapsamlı Rehber

Discord'a DNS ile Giriş Yapmak: Adım Adım Anlatım Discord, oyuncular ve topluluklar için popüler bir iletişim platformudur. Ancak, bazı durumlarda erişim engelleriyle karşılaşabilirsiniz. Bu ...
Daha Fazlasını Oku
win11

Windows 11 Sistem Gereksinimleri: Bilgisayarınız Hazır mı?

Windows 11, Microsoft'un en yeni işletim sistemi olarak büyük bir heyecanla karşılandı. Ancak bu yeni işletim sistemine geçebilmek için bilgisayarınızın belirli özelliklere sahip olması ...
Daha Fazlasını Oku
mendix nedir

Mendix: Hızlı ve Verimli Uygulama Geliştirmenin Anahtarı

Mendix nedir? Mendix, kuruluşların görsel bir arayüz kullanarak, karmaşık kod yazmaya gerek kalmadan web ve mobil uygulamalar geliştirebilmelerini sağlayan bir düşük kod geliştirme platformudur ...
Daha Fazlasını Oku
mavi dil hastalığı

Mavi Dil Hastalığı: Hayvanları Tehdit Eden Sessiz Katil

Mavi Dil Hastalığı Nedir? Mavi dil hastalığı, özellikle sığır, koyun, keçi gibi geviş getiren hayvanlarda görülen ciddi bir viral enfeksiyondur. Hastalık, adını hayvanların dilinde ...
Daha Fazlasını Oku
kuantum bilgisayar

Kuantum Bilgisayarlar: Geleceğin Bilgisayarları

Kuantum bilgisayarlar, klasik bilgisayarların işlem gücünü aşan, yeni nesil bilgi işlem cihazlarıdır. Kuantum mekaniğinin ilginç özelliklerini kullanarak, karmaşık problemleri çok daha hızlı çözebilirler. Klasik ...
Daha Fazlasını Oku
keyword

Anahtar Kelime Analizi Nedir, Nasıl Yapılır?

İnternet kullanıcılarının internet üzerinde arattıkları terimleri bulmak ve bunları SEO stratejilerinde kullanmak için gerçekleştirilen çalışmaya anahtar kelime analizi denir. Web sitesi oluşturmak isteyenlerin anahtar ...
Daha Fazlasını Oku