AK Parti |AKParti Forum |AK Gençlik |Recep Tayyip Erdoğan |AKPARTİ Gençlik Forumu|

[S4cuRiTy EneMy]

Merhaba forum ahalisi artık 50 tl'ye bile bir web sitesi açabiliyoruz fakat açarken bir şeyi atliyoruz " Security " yani Türkçe anlamıyla güvenlik.. Bir günde milyonlarca web sitesi hacklenmekte peki neden, kimisi misyon kimisi boş zevk için ben hep şöyle düşünürüm kimi firmalar milyarlarca lira döküp tasarım yaptiriyor ve birisi düşünmeden üstüne indexini göüyor aslında üzücü bir durum

Bende elimden geldigi kadar sizlere bu yolda yardımcı olmaya çalişacagım çünkü cok görüyorum özellikle AKPARTİ web sitelerini cok indexlemeye çalişan günümüzün hıyarları var hatta geçtigimiz gün bir millet vekilinin sitesinde açık bularak bildirmiştim en son ne yaptılar bilmiyorum


Öncellikle serverimizden başlıyalım server dedigimiz olay sunucudur web siteleriniz birer sunucu üzerinde barınmaktadır. Biraz daha açar isem belirli datacenter yani verimerkezlerinde birden fazla hosting firmasının makinelerini teslim ettikleri ve belirli özelliklerden oluşan bir topluluktur. Kısacası hosting firmaları kendi makinelerini verimerkezlerine teslim eder ve orada barındırırlar. Sunucular belirli bir özelliklerin altında çalişmaktadır. Günümüzün teknolojisinde sadece yazılımlar ile bildiginiz sıradan bir bilgisayar kasasını bile sanallaştırabilir hatta sunucu haline getirebilirsiniz



Sunucu cok geniş kapsamlı bir olaydır bu konuya fazla girersek 2 saat sonra parmaklarımın ağrısından yerimde duramayacagım Sunucularımızda belirli bir iş için bölünür örnegin bir dedicated serverimiz var belirli özellikleri örnegin virtual private system yani vps için ayrılır belirli bir yarısı web hosting işleri v.s v.s için ayrılır örnegin bir virtual private system makinemiz var eğer ki o makinenin sahibi sunucu güvenligi yapmadan direk satiş yapmaya kalkarsa hem kendine zarar verir hemde müşterilerine nasıl mı şöyle söyliyelim öncellikle bir makinemizden bir hesap açtiginiz takdirde gerekli engellemeler olmadıgı için o kişi hiçbir engele takilmadan sunucunuzda sizin yetkinize sahip olabilecektir. Fakat siz engeller koyarsanız o kişi sizin yetkinizi alamaz sadece kendi yetkisini kullanır eğer ki siz bir önlem engel koymazsanız sanki kendi serveriymiş gibi girip istedigi kişinin hesabına girebilir ki buda cok kötü bir durumdur. Tüm müşterilerinizi kaybetmenize yol açar ama biz burda bugün kendi web sitenizin güvenligini sağliyacagız olay biraz fazla uzadı kısacası genel toparlarsak öncellikle hizmet aldıgınız firmanın geneline bir bakın hatta mümkünse ücret yatırmadan önce test bir hesab isteyin yani deneme bir yer vermesini isteyin öyle alın

Peki makinelerde nelere dikkat etmeliyiz

Öncellikle hangi verimerkezinde yer almakta bu aslında önemlidir eğer legal bir web site kuracaksanız özellikle Türkiye lokasyon olmasına dikkat edin Türkiyedeki en iyi verimerkezlerinden biriside SH Verimerkezidir. Neden verimerkezi derseniz şöyle açıklıyım sizin web sitenizinin hızı üzerinde ciddi bir önemi vardır diyelim ki datacenter'da bir problem cıktı yada başka birşey oldu şirketin büyüklügüne göre müşteri memnuniyeti vardır sıradan bir firma olsa önemsemez ama büyük şirketler müşteriye her daim açtır. Oyüzden sizi memnun etmek için elinden geleni yaparlar

Sunucu bileşenler

Eğer ki bilginiz yok ise bu kısımı geçmenizi öneririm biraz karışık öncellikle web sunucusunu ögrenmeye çalışın benim tavsiyem kesinlikle litespeed'dir her alanda koruma sağlar eğer nginx ise onuda tavsiye edebilirim apache ise hiç bakmayın el sallayip gidin Sunucu kontrol panelide önemlidir aslında zpanel, centos web panel, kloxo daha niceleri hepsinde bug vardır benim tavsiyem kesinlikle cpanel hem kolay kullanım yüzüne sahip hemde tertemiz

Tüm bunlara sahip 4x4 bir firma bulursanız önce bir deneme host isteyin eğer bilginiz var ise kendiniz deneyin eğer yok ise lütfen profesyonel güvenlik destegi alınız sunucu test etsinler


Sunucu güvenligimizi böylece tamamladıgımızı farz edelim. Eğer mümkün ise mutlaka kendinize özel bir dc ip satın alın yararını cok görürsünüz, Şimdi gelelim web güvenligine zurnanın zıt dedigi yere arkadaşlar günümüzde milyonlarca script mevcuttur. Eğerki bu script işlerinden anlamiyorsanız cuzi miktarda tasarım yapan benim gibi :D bir çok işletme var paraya kıyıp yaptirin ama iyi kötü anliyorsanız burayı dikkatlice okuyun öncellikle kuracagınız script belirli olsun hazır script - yada özel script v.s

Eğer wordpress kuracaksanız cok dikkatlı olucaksınız yüzlerce exploit'i açıgı mevcut aman derim. Mutlaka güvenlik yaptırmanız şart, xss,sql,csrf daha niceleri hele ki bir akp sitesini wp üzerine kuruyorsanız anında index yemeniz 10 dk sürmez

Wordpress aslında cok kolay bir kullanıma sahip fakat bir çok açıgı mevcut.. Eğer php bir script kuracaksanız öncellikle tavsiyem seo url'dir çünkü düz url mantıgında örnegin

platiniumserver.com?urunid=11 gibi bir mantık ile çalişiyor ise seo url yaptirin derim nasil mı örnegin

platiniumserver.com/urunler/katagori1

gibi çünkü oluşacak sql injection açıgı mevcut ise üstteki basit mantıktan her türlü hash çekilebilecek fakat bu biçimde seo url yaparsanız blind sql inj. kapsamına girecek ve hash çekmesini cok zorlayacak

PHP scriptlerde genelde sunucu php sürümü ile uyuşmaz ve www/host/var/public_html/phpscript/fff.php 113. error display gibi bir çok hata ile karşılaşırsınız bu aslında cok ciddi birşey değildir sadece php kendini yenilediginde scriptin fonksiyonunda hata verir bunu o sürümün fonksiyonu ile değişmeniz yeterli olabilir fakat iyi bir php diline sahip olmalısınız.

Eğer ki web sitenizin güvenligini iyice geliştirmek isterseniz mutlaka htaccess nedir bir araştırın derim web sitenizin %60 lık güvenlik kısmını tamamlayabilirsiniz.

Elimden geldigi kadar tek tek bu bölumde konulara değinecegim özellikle akp sitelerinin güvenligi için bu anlatımları yapicagım sql injection nedir, xss, csrf, sunucu server güvenligi v.s herşeyine değinecegim


Bu konu tamamen bana aittir bir kelimesi dahi alıntı değildir. Ne yaptıysam sizin için

[dogu0]

Selam Arkadaşlar; bizde bir dijital ajansız kendimize ait 4 adet sunucumuz var ve ibm Türiyede barındırıyoruz.
Biz yazılım tarafında ASP .NET ,database tarafında SQL server kullanıyoruz.PHP den oldukça farklı ve aslına bakarsanız php den uzak duruyoruz.Sebebine gelince .NET tarafında geliştirdiğimiz her kod satır satır bize ait gerek web tarafında gerekse mobil tarafta (Mobil tarafta ise ios için xcode kullanırız) ancak PHP tarafında açık kaynak kod çok fazla ve birçok arkadaş buna artık normal baktığı için internetten bulduğu kodu direk copy past yapıyor. Sonuç belli bir süre sonra zombi site Google URL inizin altına BU web sitesi bilgisayarınıza zarar verebilir uyarısı getiriyor.Kötü bir durum sonuçta insanlar sitenizi ziyaret etmiyor çok ciddi para ve zaman kaybı.Biz bu tipte çok siteyle uğraştık uğrştık derken virüs temizliği yerine yeniden yazmakla iş kurtuldu sonra 2-3 ay google amcaya bunun artık güvenli bir site olduğunu anlatmakla uğraşıyorsunuz çünkü sıralamadan kaldırıyor.Neyse sonuçta php tarafını kötülemiyorum hatta çok büyük kolaylık biz bir siteyi 15 günde çıkarırken php tarafında 15 dakikada çıkabiliyor.
Dikkatli oldukça sorun çıkacağını sanmıyorum kolay gelsin.
sitemizde burası bu arada wdt ajans

[metro tesisat]

güzel bir paylaşım olmuş :D

[Selmanca]

Herşeyden ziyade bu işi layıkıyla yapanlardan destek alınması şart.

[troymedia]

tessekur ederim

[Mitchell Russe]

çok ilginç