S4cuRiTy EneMy
08-30-2014, 19:18
Merhaba forum ahalisi :karizmatik: artık 50 tl'ye bile bir web sitesi açabiliyoruz fakat açarken bir şeyi atliyoruz " Security " yani Türkçe anlamıyla güvenlik.. Bir günde milyonlarca web sitesi hacklenmekte peki neden, kimisi misyon kimisi boş zevk için ben hep şöyle düşünürüm kimi firmalar milyarlarca lira döküp tasarım yaptiriyor ve birisi düşünmeden üstüne indexini göüyor aslında üzücü bir durum :karasız:
Bende elimden geldigi kadar sizlere bu yolda yardımcı olmaya çalişacagım çünkü cok görüyorum özellikle AKPARTİ web sitelerini cok indexlemeye çalişan günümüzün hıyarları var :evet: hatta geçtigimiz gün bir millet vekilinin sitesinde açık bularak bildirmiştim en son ne yaptılar bilmiyorum :saygılar:
Öncellikle serverimizden başlıyalım server dedigimiz olay sunucudur web siteleriniz birer sunucu üzerinde barınmaktadır. Biraz daha açar isem belirli datacenter yani verimerkezlerinde birden fazla hosting firmasının makinelerini teslim ettikleri ve belirli özelliklerden oluşan bir topluluktur. Kısacası hosting firmaları kendi makinelerini verimerkezlerine teslim eder ve orada barındırırlar. Sunucular belirli bir özelliklerin altında çalişmaktadır. Günümüzün teknolojisinde sadece yazılımlar ile bildiginiz sıradan bir bilgisayar kasasını bile sanallaştırabilir hatta sunucu haline getirebilirsiniz
http://www.gridteknoloji.com/wp-content/uploads/2013/05/s1.png
Sunucu cok geniş kapsamlı bir olaydır bu konuya fazla girersek 2 saat sonra parmaklarımın ağrısından yerimde duramayacagım :güzel: Sunucularımızda belirli bir iş için bölünür örnegin bir dedicated serverimiz var belirli özellikleri örnegin virtual private system yani vps için ayrılır belirli bir yarısı web hosting işleri v.s v.s için ayrılır örnegin bir virtual private system makinemiz var eğer ki o makinenin sahibi sunucu güvenligi yapmadan direk satiş yapmaya kalkarsa hem kendine zarar verir hemde müşterilerine nasıl mı şöyle söyliyelim öncellikle bir makinemizden bir hesap açtiginiz takdirde gerekli engellemeler olmadıgı için o kişi hiçbir engele takilmadan sunucunuzda sizin yetkinize sahip olabilecektir. Fakat siz engeller koyarsanız o kişi sizin yetkinizi alamaz sadece kendi yetkisini kullanır eğer ki siz bir önlem engel koymazsanız sanki kendi serveriymiş gibi girip istedigi kişinin hesabına girebilir ki buda cok kötü bir durumdur. Tüm müşterilerinizi kaybetmenize yol açar ama biz burda bugün kendi web sitenizin güvenligini sağliyacagız olay biraz fazla uzadı :) kısacası genel toparlarsak öncellikle hizmet aldıgınız firmanın geneline bir bakın hatta mümkünse ücret yatırmadan önce test bir hesab isteyin yani deneme bir yer vermesini isteyin öyle alın
Peki makinelerde nelere dikkat etmeliyiz :karizmatik:
Öncellikle hangi verimerkezinde yer almakta bu aslında önemlidir eğer legal bir web site kuracaksanız özellikle Türkiye lokasyon olmasına dikkat edin Türkiyedeki en iyi verimerkezlerinden biriside SH Verimerkezidir. Neden verimerkezi derseniz şöyle açıklıyım sizin web sitenizinin hızı üzerinde ciddi bir önemi vardır diyelim ki datacenter'da bir problem cıktı yada başka birşey oldu şirketin büyüklügüne göre müşteri memnuniyeti vardır sıradan bir firma olsa önemsemez ama büyük şirketler müşteriye her daim açtır. Oyüzden sizi memnun etmek için elinden geleni yaparlar :güzel:
Sunucu bileşenler
Eğer ki bilginiz yok ise bu kısımı geçmenizi öneririm biraz karışık öncellikle web sunucusunu ögrenmeye çalışın benim tavsiyem kesinlikle litespeed'dir her alanda koruma sağlar eğer nginx ise onuda tavsiye edebilirim :V apache ise hiç bakmayın el sallayip gidin :w: Sunucu kontrol panelide önemlidir aslında zpanel, centos web panel, kloxo daha niceleri hepsinde bug vardır benim tavsiyem kesinlikle cpanel hem kolay kullanım yüzüne sahip hemde tertemiz ;1
Tüm bunlara sahip 4x4 bir firma bulursanız önce bir deneme host isteyin eğer bilginiz var ise kendiniz deneyin eğer yok ise lütfen profesyonel güvenlik destegi alınız sunucu test etsinler :güzel:
Sunucu güvenligimizi böylece tamamladıgımızı farz edelim. Eğer mümkün ise mutlaka kendinize özel bir dc ip satın alın yararını cok görürsünüz, Şimdi gelelim web güvenligine zurnanın zıt dedigi yere ;D arkadaşlar günümüzde milyonlarca script mevcuttur. Eğerki bu script işlerinden anlamiyorsanız cuzi miktarda tasarım yapan benim gibi :D bir çok işletme var paraya kıyıp yaptirin ama iyi kötü anliyorsanız burayı dikkatlice okuyun öncellikle kuracagınız script belirli olsun hazır script - yada özel script v.s
Eğer wordpress kuracaksanız cok dikkatlı olucaksınız yüzlerce exploit'i açıgı mevcut aman derim. Mutlaka güvenlik yaptırmanız şart, xss,sql,csrf daha niceleri hele ki bir akp sitesini wp üzerine kuruyorsanız anında index yemeniz 10 dk sürmez :hihi2:
Wordpress aslında cok kolay bir kullanıma sahip fakat bir çok açıgı mevcut.. Eğer php bir script kuracaksanız öncellikle tavsiyem seo url'dir çünkü düz url mantıgında örnegin
platiniumserver.com?urunid=11 gibi bir mantık ile çalişiyor ise seo url yaptirin derim nasil mı örnegin
platiniumserver.com/urunler/katagori1
gibi çünkü oluşacak sql injection açıgı mevcut ise üstteki basit mantıktan her türlü hash çekilebilecek fakat bu biçimde seo url yaparsanız blind sql inj. kapsamına girecek ve hash çekmesini cok zorlayacak ???
PHP scriptlerde genelde sunucu php sürümü ile uyuşmaz ve www/host/var/public_html/phpscript/fff.php 113. error display gibi bir çok hata ile karşılaşırsınız bu aslında cok ciddi birşey değildir sadece php kendini yenilediginde scriptin fonksiyonunda hata verir bunu o sürümün fonksiyonu ile değişmeniz yeterli olabilir fakat iyi bir php diline sahip olmalısınız.
Eğer ki web sitenizin güvenligini iyice geliştirmek isterseniz mutlaka htaccess nedir bir araştırın derim web sitenizin %60 lık güvenlik kısmını tamamlayabilirsiniz.
Elimden geldigi kadar tek tek bu bölumde konulara değinecegim özellikle akp sitelerinin güvenligi için bu anlatımları yapicagım sql injection nedir, xss, csrf, sunucu server güvenligi v.s herşeyine değinecegim
Bu konu tamamen bana aittir bir kelimesi dahi alıntı değildir. Ne yaptıysam sizin için :saygılar:
Bende elimden geldigi kadar sizlere bu yolda yardımcı olmaya çalişacagım çünkü cok görüyorum özellikle AKPARTİ web sitelerini cok indexlemeye çalişan günümüzün hıyarları var :evet: hatta geçtigimiz gün bir millet vekilinin sitesinde açık bularak bildirmiştim en son ne yaptılar bilmiyorum :saygılar:
Öncellikle serverimizden başlıyalım server dedigimiz olay sunucudur web siteleriniz birer sunucu üzerinde barınmaktadır. Biraz daha açar isem belirli datacenter yani verimerkezlerinde birden fazla hosting firmasının makinelerini teslim ettikleri ve belirli özelliklerden oluşan bir topluluktur. Kısacası hosting firmaları kendi makinelerini verimerkezlerine teslim eder ve orada barındırırlar. Sunucular belirli bir özelliklerin altında çalişmaktadır. Günümüzün teknolojisinde sadece yazılımlar ile bildiginiz sıradan bir bilgisayar kasasını bile sanallaştırabilir hatta sunucu haline getirebilirsiniz
http://www.gridteknoloji.com/wp-content/uploads/2013/05/s1.png
Sunucu cok geniş kapsamlı bir olaydır bu konuya fazla girersek 2 saat sonra parmaklarımın ağrısından yerimde duramayacagım :güzel: Sunucularımızda belirli bir iş için bölünür örnegin bir dedicated serverimiz var belirli özellikleri örnegin virtual private system yani vps için ayrılır belirli bir yarısı web hosting işleri v.s v.s için ayrılır örnegin bir virtual private system makinemiz var eğer ki o makinenin sahibi sunucu güvenligi yapmadan direk satiş yapmaya kalkarsa hem kendine zarar verir hemde müşterilerine nasıl mı şöyle söyliyelim öncellikle bir makinemizden bir hesap açtiginiz takdirde gerekli engellemeler olmadıgı için o kişi hiçbir engele takilmadan sunucunuzda sizin yetkinize sahip olabilecektir. Fakat siz engeller koyarsanız o kişi sizin yetkinizi alamaz sadece kendi yetkisini kullanır eğer ki siz bir önlem engel koymazsanız sanki kendi serveriymiş gibi girip istedigi kişinin hesabına girebilir ki buda cok kötü bir durumdur. Tüm müşterilerinizi kaybetmenize yol açar ama biz burda bugün kendi web sitenizin güvenligini sağliyacagız olay biraz fazla uzadı :) kısacası genel toparlarsak öncellikle hizmet aldıgınız firmanın geneline bir bakın hatta mümkünse ücret yatırmadan önce test bir hesab isteyin yani deneme bir yer vermesini isteyin öyle alın
Peki makinelerde nelere dikkat etmeliyiz :karizmatik:
Öncellikle hangi verimerkezinde yer almakta bu aslında önemlidir eğer legal bir web site kuracaksanız özellikle Türkiye lokasyon olmasına dikkat edin Türkiyedeki en iyi verimerkezlerinden biriside SH Verimerkezidir. Neden verimerkezi derseniz şöyle açıklıyım sizin web sitenizinin hızı üzerinde ciddi bir önemi vardır diyelim ki datacenter'da bir problem cıktı yada başka birşey oldu şirketin büyüklügüne göre müşteri memnuniyeti vardır sıradan bir firma olsa önemsemez ama büyük şirketler müşteriye her daim açtır. Oyüzden sizi memnun etmek için elinden geleni yaparlar :güzel:
Sunucu bileşenler
Eğer ki bilginiz yok ise bu kısımı geçmenizi öneririm biraz karışık öncellikle web sunucusunu ögrenmeye çalışın benim tavsiyem kesinlikle litespeed'dir her alanda koruma sağlar eğer nginx ise onuda tavsiye edebilirim :V apache ise hiç bakmayın el sallayip gidin :w: Sunucu kontrol panelide önemlidir aslında zpanel, centos web panel, kloxo daha niceleri hepsinde bug vardır benim tavsiyem kesinlikle cpanel hem kolay kullanım yüzüne sahip hemde tertemiz ;1
Tüm bunlara sahip 4x4 bir firma bulursanız önce bir deneme host isteyin eğer bilginiz var ise kendiniz deneyin eğer yok ise lütfen profesyonel güvenlik destegi alınız sunucu test etsinler :güzel:
Sunucu güvenligimizi böylece tamamladıgımızı farz edelim. Eğer mümkün ise mutlaka kendinize özel bir dc ip satın alın yararını cok görürsünüz, Şimdi gelelim web güvenligine zurnanın zıt dedigi yere ;D arkadaşlar günümüzde milyonlarca script mevcuttur. Eğerki bu script işlerinden anlamiyorsanız cuzi miktarda tasarım yapan benim gibi :D bir çok işletme var paraya kıyıp yaptirin ama iyi kötü anliyorsanız burayı dikkatlice okuyun öncellikle kuracagınız script belirli olsun hazır script - yada özel script v.s
Eğer wordpress kuracaksanız cok dikkatlı olucaksınız yüzlerce exploit'i açıgı mevcut aman derim. Mutlaka güvenlik yaptırmanız şart, xss,sql,csrf daha niceleri hele ki bir akp sitesini wp üzerine kuruyorsanız anında index yemeniz 10 dk sürmez :hihi2:
Wordpress aslında cok kolay bir kullanıma sahip fakat bir çok açıgı mevcut.. Eğer php bir script kuracaksanız öncellikle tavsiyem seo url'dir çünkü düz url mantıgında örnegin
platiniumserver.com?urunid=11 gibi bir mantık ile çalişiyor ise seo url yaptirin derim nasil mı örnegin
platiniumserver.com/urunler/katagori1
gibi çünkü oluşacak sql injection açıgı mevcut ise üstteki basit mantıktan her türlü hash çekilebilecek fakat bu biçimde seo url yaparsanız blind sql inj. kapsamına girecek ve hash çekmesini cok zorlayacak ???
PHP scriptlerde genelde sunucu php sürümü ile uyuşmaz ve www/host/var/public_html/phpscript/fff.php 113. error display gibi bir çok hata ile karşılaşırsınız bu aslında cok ciddi birşey değildir sadece php kendini yenilediginde scriptin fonksiyonunda hata verir bunu o sürümün fonksiyonu ile değişmeniz yeterli olabilir fakat iyi bir php diline sahip olmalısınız.
Eğer ki web sitenizin güvenligini iyice geliştirmek isterseniz mutlaka htaccess nedir bir araştırın derim web sitenizin %60 lık güvenlik kısmını tamamlayabilirsiniz.
Elimden geldigi kadar tek tek bu bölumde konulara değinecegim özellikle akp sitelerinin güvenligi için bu anlatımları yapicagım sql injection nedir, xss, csrf, sunucu server güvenligi v.s herşeyine değinecegim
Bu konu tamamen bana aittir bir kelimesi dahi alıntı değildir. Ne yaptıysam sizin için :saygılar: