Ledan Ziyaretçi Defteri Güvenlik Açığı
Türkçe hazırlanmış bir ziyaretçi defteri uygulaması olan Ledan Ziyaretçi Defteri'nde güvenlik açığı tespit edildi. FreWaL'ın yaptığı bilgilendirmeye göre güvenlik açığı, betiğin oturum izinlerindeki bir kodlama hatası yüzünden meydana gelmekte. Çeşitli yerli sitelerde kullanılan bu betik, açık kapatılmadığı takdirde tehlike arz edebilmekte.
Kodlama hatasının yoneticigiris.php'de bulunduğunu belirten FreWaL, oturumlara bağlanan setcookie parametresinde kullanici=admin değeri ile panele giriş yapmak mümkün olduğuna dikkat çekiyor. Henüz betik için bir yama hazırlanmamış olsa da yapılacak bir kaç güvenlik tedbiriyle açık etkisiz hale getirilebilir.
Sorun belli çözüm belli ya kodlmanızın admin panel girişini tamamen değiştirir veritabanına değişken ekler kodlamada oynama yaparız ya da benim kısa çözümümden yararlanırsınız.
Benim çözümüm ise söyle ;
frewal.php adında bir dosya açın içeriği ise ; // ismi siz belirleyebilirsiniz.
<?php
// PHP Guvenlik
$alan = "Coded By FreWaL";
$kullanici = "frewal";
$parola = "frewal";
if ($_SERVER["PHP_AUTH_USER"] == "")
{
header ("WWW-Authenticate: Basic realm=\"$alan\"");
header("HTTP/1.0 401 Unauthorized");
echo "<html><head><title>Coded By FreWaL</title></head><center><body
bgcolor='white'><font color=black><br><br><center>";
echo "Kaybol :) <br>Güvenlik Aktif";
echo "<center></center></body></html>";
exit ();
}
else
{
if ( ($_SERVER["PHP_AUTH_USER"] !=$kullanici) ||
($_SERVER["PHP_AUTH_PW"] != $parola) )
{
header ("WWW-Authenticate: Basic realm=\"$alan\"");
header("HTTP/1.0 401 Unauthorized");
echo "<center>Ayıp denen Bişey var :)</center>";
exit();
}
}
?>
bunu frewal.php içersine yazdıktan sora kapatıp çıkıyoruz. Admin panelinde ana dizindeki dosyaların en üst satırına su kodu include ediyoruz.
index.php ve giris.php dosyaların'a
<?php include "frewal.php"; ?>
Bu Sayede paneliniz Güvenli bir hale gelecektir.Gönderen: FreWaL
- Yorum göndermek için giriş yapın veya kayıt olun
İlgili Yazılar
Telif Hakkı
Bu yazının telif hakkı, içeriğinde aksi belirtilmemişse yazarına aittir ©. Yazının izin alınmadan ya da kaynak gösterilmeden kopyalanması ve kullanılması 5846 sayılı Fikir ve Sanat Eserleri Yasasına göre suçtur (forum ve bloglar dahil olmak üzere). Telif haklarına aykırı bir durumla karşılaşırsanız lütfen site yetkililerine bildiriniz.
Webmaster'lık yapıyorsan
Webmaster'lık yapıyorsan biraz paranoyak olacaksın, yoksa keklerler adamı..Her olabilme ihtimalini enaza indirmek için script'e ve kendine göre önlemleri alacaksın, her bulduğun kod, eklenti falan filan yüklemeyeceksin, artı bu arada server güvenliğini de hizmeti aldığın yer sağlayacak...Güvenlik açıklarını yayınlayan siteleri, destek sitelerini, güvenlik bültenlerini takip edeceksin...Tüm bunlara rağmen hack yiyorsan, ona yapacak birşey yok arkadaş, gidip adamın elini öpeceksin, harbi işi biliyormuşsun diye... :):)
sonunda
okulumuz sitesi bu kodlamayı kulanıyor bugün birileri tarafından hack edildi . nasıl yaptıklarını araştırırken size rastladım bilgilendirdiğiniz için çok teşşekür ederim .
Basit hata
Basit bir hata , kod geliştiricilerin gözden kaçırmaması gerekirdi
# ozanca024