tiktok takipçi satın al tiktok beğeni satın al tiktok izlenme satın al instagram takipçi satın al instagram beğeni satın al instagram izlenme satın al instagram hikaye izlenme satın al instagram canlı yayın izleyici satın al twitter takipçi satın al twitter retweet satın al youtube abone satın al youtube beğeni satın al youtube izlenme satın al

oyun haberleri forum dailymotion video indir akıllı tv video indir pinterest video indir soundcloud video indir twitter video indir facebook video indir tiktok video indir tumblr video indir linkedin video indir izlesene video indir instagram video indir haberler gündem instagram türk takipçi satın al instagram takipçi satın al beğeni satın al tiktok takipçi satın al tiktok beğeni satın al takipçi satın al youtube izlenme satın al canlı yayın izlenme satın al izlenme satın al smm panel server tanıtımı film izle taban puanları instagram takipçi satın al backlink paketleri youtube video indir video indir 192.168.1.1 kıl çadır kıl çadır farmasi üyelik girişi instagram follower kaufen social crm instagram beğeni satın al beğeni satın al instagram takipçi satın al rafting instagram takipçi satın al instagram türk takipçi satın al instagram beğeni satın al facebook beğeni satın al twitter takipçi satın al twitter fav satın al twitter retweet satın al tiktok takipçi satın al youtube abone satın al youtube izlenme satın al takipçi satın al canlı tv izle mobil uygulama geliştirme firmaları epin sosyal medya bayilik paneli instagram panel pubg mobile uc valorant vp satın al oyun haberleri youtube video silme google haber kaldırma internetten haber kaldırma instagram takipçi satın al youtube mp3 dönüştürücü juul iqos cialis cialis 5 mg cialis 600 mg cialis 20 mg cialis fiyat cialis satın al cialis sipariş viagra viagra satın al viagra sipariş novagra novagra sipariş lines pişirme takımları küçük ev aletleri mutfak gereçleri ev tekstili aksesuar çeyiz setleri esnaf haberleri youtube video download youtube video indir sosyal medya bayilik paneli esnaf forumu takipçi satın al instagram takipçi satın al instagram beğeni satın al tiktok takipçi satın al seo seo ajansı maç izle apk indir minecraft forum tiktok takipçi satın al tiktok beğeni satın al tiktok izlenme satın al instagram takipçi satın al instagram beğeni satın al instagram izlenme satın al instagram hikaye izlenme satın al instagram canlı yayın izleyici satın al twitter takipçi satın al twitter retweet satın al youtube abone satın al youtube beğeni satın al youtube izlenme satın al forum irc forum bilgisayar forumu irc forum forum sitesi forum webmaster forum forum oyun forumu türk filmi izle film izle hd film izle macera filmleri komedi filmleri takipçi satın al clubhouse forum tiktok takipçi sohbet youtube abone haber son dakika haberler video indir aktüel ürünler bim aktüel a101 aktüel bitcoin satın al baklava instagram follower hack follower hack takipçi satın al

Kullanıcı Tag Listesi

Sayfa 1/2 12 SonSon
9 sonuçtan 1 ile 5 arası

Konu: Php' de Temel Güvenlik

  1. #1
    Üye ..:Komando:.. - ait Kullanıcı Resmi (Avatar)
    Üyelik tarihi
    02.02.2014
    Yer
    Fenerbahçe ♥
    Yaş
    22
    Mesajlar
    7.617
    Bahsedildi
    0 Mesaj
    Etiketlenmiş
    0 Konu
    Rep Puanı
    10

    Standart Php' de Temel Güvenlik

    Kullanıcının olduğu her websayfasında veritabanı vardır.Çeşitli bilgiler bu veri tabanlarında tutulur.Yetkisiz girişleri engellemek amacıyla giriş işlemlerinde veritabanlarına bağlantı kurulur girilen verilerin kontrolü yapılır.Bu tür yerlerde veritabanı bağlantıları mevcuttur.Hatalı bir kodlama olan yerde veri tabanına yetkisiz erişim sağlanıp açık suistimal edilebilir.


    Giriş yapacağımız 1 adet form oluşturuyoruz.

    [Linkleri Görebilmek İçin Üye Olmanız Gerekmektedir. Üye Olmak İçin Tıklayın...]

    Daha sonra formda girilen verilerin kontrol edileceği giriskontrol.php dosyamızı aşagıdaki şekilde oluşturuyoruz.


    [Linkleri Görebilmek İçin Üye Olmanız Gerekmektedir. Üye Olmak İçin Tıklayın...]


    Bilgilerin kontrol edileceği veritabanı aşağıdaki resimdeki gibidir.


    [Linkleri Görebilmek İçin Üye Olmanız Gerekmektedir. Üye Olmak İçin Tıklayın...]


    Kullanıcı Adı ve şifremize admin yazıyoruz giriş yapıyoruz.


    [Linkleri Görebilmek İçin Üye Olmanız Gerekmektedir. Üye Olmak İçin Tıklayın...]



    [Linkleri Görebilmek İçin Üye Olmanız Gerekmektedir. Üye Olmak İçin Tıklayın...]


    Girilen veriler veritabanı ile eşleştiği için giriş yaptık.Yukarda basit bir veritabanı bağlantı uygulaması mevcuttur.İşimizi biraz daha ilerletelim ne gibi açıklarla karşı karşıyayız bunları inceleyelim.



    Şimdide kullanıcı adı kısmına ‘(tırnak işareti) girelim ve giriş yap’a basalım


    [Linkleri Görebilmek İçin Üye Olmanız Gerekmektedir. Üye Olmak İçin Tıklayın...]


    Aşağıdaki gibi bir hata çıktısı ekranda yer alacaktır.Burada sql injection açığı mevcuttur.Peki bu açığı nasıl suistimal edebiliriz onu inceleyelim


    [Linkleri Görebilmek İçin Üye Olmanız Gerekmektedir. Üye Olmak İçin Tıklayın...]



    Kullanıcı adı ve şifre kısmına ' OR ''=' ifadesini yazalım.(OR'dan sonra üst üste 2 tane tek tırnak var)


    [Linkleri Görebilmek İçin Üye Olmanız Gerekmektedir. Üye Olmak İçin Tıklayın...]


    Artık sql sorgumuz şu hale döndü;


    [Linkleri Görebilmek İçin Üye Olmanız Gerekmektedir. Üye Olmak İçin Tıklayın...]


    Giriş yap butonuna basıyoruz.


    [Linkleri Görebilmek İçin Üye Olmanız Gerekmektedir. Üye Olmak İçin Tıklayın...]


    Ekranda görüldüğü üzere başarılı bir şekilde giriş yapıldı peki nasıl doğru kullanıcı adı ve şifre girmeden login panelini bypass ettik?
    SQL Sorgumızda görüldüğü üzere” kullanıcı adı veya şifresi boş olanları al veya boşluk eşittir boşluk” şeklini aldı boşluk boşluğa eşit olduğunu göre sorgudan doğru değer döndü ve giriş yapıldı.
    Veriler Aşağıda görüldüğü gibi filtreden geçirilmeden alınıyor.


    [Linkleri Görebilmek İçin Üye Olmanız Gerekmektedir. Üye Olmak İçin Tıklayın...]


    Daha sonra direk veritabanı işlemini giriyor.Açık tamda burada meydana geliyor.Eğer biz verileri filtreleseydik açık meydana gelmiyecekti.


    [Linkleri Görebilmek İçin Üye Olmanız Gerekmektedir. Üye Olmak İçin Tıklayın...]


    Gelen verileri aşağıda görüldüğü gibi mysql_real_escape_string fonksiyonu ile filtreden geçiyoruz böylece açık kalmamış oluyor.


    [Linkleri Görebilmek İçin Üye Olmanız Gerekmektedir. Üye Olmak İçin Tıklayın...]




    [Linkleri Görebilmek İçin Üye Olmanız Gerekmektedir. Üye Olmak İçin Tıklayın...]



    [Linkleri Görebilmek İçin Üye Olmanız Gerekmektedir. Üye Olmak İçin Tıklayın...]

    Yukarıda görüldüğü gibi tekrar denendiğinde açık ortadan kalkıyor bu gibi basit açıklara sebebiyet vermemek için kod yazarken dikkatli olmalısınız.Gelen her verinin tehlikeli olabileceğini hesaba katmalısınız.





    Merhaba arkadaşlar bugün php’de meydana gelen xss açıklarından bahsediceğim.Öncelikle XSS açığı nedir ona deyineyim.Xss açığı script kodlamalarında kullanıcıdan gelen verilerin filtresiz bir şekilde işleme sokulması sonucunda meydana gelen açıklardır.Post veya get ile aldığımız verileri filtreden geçirmezsek kullanıcı buralara javascript,html kodları girebilir bu kodlar üzerinden cookielerimizi çalabilir yönlendirme gibi şeyler yapabilir.Sniffer kurarak admin şifresini ele geçirebilir.

    Xss Açık Türleri

    StoredXSS:Bu açık daha çok ziyaretçi defterlerinde veya yorum kutularında bulunur.Ziyaretçi defterlerinde yazı yazılan yere javascript kodu enjekte edildiğinde bu kod veritabanındasaklanır.Sayfa her yenilendiğinde kod tekrardan çalışır.

    Reflected XSSadece kodu enjekte eden kişi etkilenir.Url alanlarında bulunur.

    DOM XSS:En tehlikeli xssaçığıdır.Trojanvs enjekte edilebilir,indexdeğiştirilebilir.Javascript kodlarının suistimal edilmesine dayanır.


    Ben Örnek olarak stored xss açığını seçtim.1 Adet ziyaretçi defteri üzerinde bu açığı inceleyeceğiz.


    [Linkleri Görebilmek İçin Üye Olmanız Gerekmektedir. Üye Olmak İçin Tıklayın...]


    Yorumumuzu göndereceğimiz yukardaki şekilde bir giriş sayfası kodluyoruz.


    [Linkleri Görebilmek İçin Üye Olmanız Gerekmektedir. Üye Olmak İçin Tıklayın...]


    Veritabanı bağlantımızı daha kolay idare edebilmek için 1 adet yukardaki gibi veritabanı bağlantı sayfamızı kodluyoruz.


    [Linkleri Görebilmek İçin Üye Olmanız Gerekmektedir. Üye Olmak İçin Tıklayın...]


    Veritabanı bağlantı dosyamızı include ederek bağlantıyı sağlıyoruz.Daha sonra yorumgonder.php’den post ile gelen verilerimizi alıyoruz.Veritabanımıza kayıt ediyoruz.


    [Linkleri Görebilmek İçin Üye Olmanız Gerekmektedir. Üye Olmak İçin Tıklayın...]


    Yaz.php adresinde veritabanına kayıt olan yorum ve yazıları listeliyoruz.Kodlamaları yaptık şimdi uygulamasını yapalım.


    [Linkleri Görebilmek İçin Üye Olmanız Gerekmektedir. Üye Olmak İçin Tıklayın...]


    Yorumgonder.php adresine yukardaki gibi yazılarımızı yazıyoruz.Gönder’e basıyoruz.


    [Linkleri Görebilmek İçin Üye Olmanız Gerekmektedir. Üye Olmak İçin Tıklayın...]


    Gördüğünüz gibi yorumumuz veritabanına kayıt oldu ve yaz.php sayfasında bize listelendi.

    Şimdi nerede hatalı kodlama var ve nasıl bir tehlike ile karşı karşıyayız bunu inceleyelim.


    [Linkleri Görebilmek İçin Üye Olmanız Gerekmektedir. Üye Olmak İçin Tıklayın...]


    Yorumgonder.php adresini herhangi bir kullanıcının yukardaki gibi doldurduğunu düşünün daha sonra göndere bastığında aşağıdaki gibi javascript kodları çalışacaktır.


    [Linkleri Görebilmek İçin Üye Olmanız Gerekmektedir. Üye Olmak İçin Tıklayın...]


    Gördüğünüz gibi ekrana yazdığımız yazı yansıdı bu bize yazdığımız kodlarda xss açığı olduğunu gösteriyor. Şimdi kodlarımıza tekrar dönelim.


    [Linkleri Görebilmek İçin Üye Olmanız Gerekmektedir. Üye Olmak İçin Tıklayın...]


    Yukarda gördüğünüz gibi kullanıcının girdiği verileri hiçbir filtrelemeden geçirmeden direk veritabanında işleme soktuk.Bunun sonucu kullanıcı javascript kodunu enjekte etti.Bu kod veritabanına kayıt oldu sayfa her açıldığında aynı kod çalışcak.Şimdi sayfayı yenileyelim


    [Linkleri Görebilmek İçin Üye Olmanız Gerekmektedir. Üye Olmak İçin Tıklayın...]


    Yukardaki görüldüğü gibi sayfa her yenilendiğinde bu alert ile karşılaşacağız.Burda basit bir stored xss saldırısı var.Sebebide yukardaki görüldüğü gibi verileri filtrelemeden işleme almamız.Daha farklı zararlı kodlar enjekte edilerek yönlendirme,cookie çalma gibi işlemler yapılabilirdi.


    [Linkleri Görebilmek İçin Üye Olmanız Gerekmektedir. Üye Olmak İçin Tıklayın...]

    Veritabanımızadönelim.Veritabanımızı temizleyelim


    [Linkleri Görebilmek İçin Üye Olmanız Gerekmektedir. Üye Olmak İçin Tıklayın...]


    mesaj_kaydet.php dosyasını yukardaki gibi düzenlediğimiz takdirde açık ortadan kalkacaktır.Gelen verileri değişkene atadık.Daha sonra htmlspecialchars ile verileri filtreledik.Daha sonra veritabanı işlemlerimiz için mysql_real_escape_string fonksiyonunu kullanarak bir daha filtreledik.Böylece açık ortadan kalkmış oldu.Siz daha farklı filtreleme metodları kullanabilirsiniz(script_tags,addslashesvs) yada kendiniz bir fonksiyon yazabilirsiniz.
    Şimdi tekrardan ziyaretçi defterimize dönelim


    [Linkleri Görebilmek İçin Üye Olmanız Gerekmektedir. Üye Olmak İçin Tıklayın...]


    Yukarda görüldüğü gibi kodlarımızı tekrar enjekte edelim ve gönder’e basalım.


    [Linkleri Görebilmek İçin Üye Olmanız Gerekmektedir. Üye Olmak İçin Tıklayın...]


    Bu sefer yukarda görüldüğü gibi javascript kodlarının çalışmadığını görebilirsiniz.Bu tür hatalara sebebiyet vermemek için gelen her verinin zararlı olabileceğini unutmamanız gerekmektedir.




    Merhaba arkadaşlar bugün post ile get verilerinin bir farkından bahsedeceğim.Post ile get kullanıcıdan veri alırken kullandığımız metodlardır.Örnek bir uygulamayla görelim.


    [Linkleri Görebilmek İçin Üye Olmanız Gerekmektedir. Üye Olmak İçin Tıklayın...]


    Get metodunu kullanarak yukardaki şekilde veri gönderebiliriz.Bu veriyi başka bir sayfadan alalım.


    [Linkleri Görebilmek İçin Üye Olmanız Gerekmektedir. Üye Olmak İçin Tıklayın...]


    Aldığımız sayfada alınan veriye göre ekrana Hoşgeldiniz yazdıralım.



    [Linkleri Görebilmek İçin Üye Olmanız Gerekmektedir. Üye Olmak İçin Tıklayın...]


    Get ile veri girişi yapacağımız sayfaya yukardaki gibi verimizi girelim.Butona bastığımızda aşağıdaki gibi veri ekrana yansıcaktır.Ancak burda dikkat edilmesi gereken nokta get ile aldığımız verinin Url adresinde gözükmesi dolayısıyla ordan açık olarak erişilmesidir.


    [Linkleri Görebilmek İçin Üye Olmanız Gerekmektedir. Üye Olmak İçin Tıklayın...]




    [Linkleri Görebilmek İçin Üye Olmanız Gerekmektedir. Üye Olmak İçin Tıklayın...]


    Yukardaki gibi urlyi değiştirdiğimizde bu sefer ekrana yansıma aşağıdaki gibi olcaktır.


    [Linkleri Görebilmek İçin Üye Olmanız Gerekmektedir. Üye Olmak İçin Tıklayın...]




    Post metoduyla alınan veriler ise gizli bir şekilde aktarılır url’de gözükmez.


    [Linkleri Görebilmek İçin Üye Olmanız Gerekmektedir. Üye Olmak İçin Tıklayın...]


    Metodumuzu yukardaki gibi post olarak değiştirelim
    Aşagıdaki gibi veri girişimizi yapalım.



    [Linkleri Görebilmek İçin Üye Olmanız Gerekmektedir. Üye Olmak İçin Tıklayın...]


    Butona basalım.


    [Linkleri Görebilmek İçin Üye Olmanız Gerekmektedir. Üye Olmak İçin Tıklayın...]


    Bu sefer veri aynı şekilde işlem görcek ancak url’de herhangi bir ize raslanmıcaktır.
    Get ile işlem gören veriler url’de belli olduğu için post ile alınan verilerden daha güvensizdir diyebiliriz.Bu yüzden metod olarak daha çok post’u tercih etmeliyiz.


    CSRF Açıkları


    [Linkleri Görebilmek İçin Üye Olmanız Gerekmektedir. Üye Olmak İçin Tıklayın...]



    Yukardaki gibi bir işlemin gerçekleştiğini düşünürsek
    deneme@deneme.com bilgileri tehlike@tehlike.com’a gönderiliyor.Eğer burda yeterli güvenlik önlemi sağlanmazsa veriler url üzerinden çarpıtılabilir bunun sonucunda deneme@deneme.com’un verileri ele geçirilebilir.Peki burda post kullanmak sorunu tamamen çözüyor mu?Hayır çözmüyor.Bu tür durumların önüne geçmek için sayfalar arasında iletişimi sağlarken özel kriptolar kullanmalıyız.Gelen verileri filtrelerden geçirmeliyiz.Yukardaki sadece basit bir örneğiydi.Daha farklı açıklarda olabilir.

    Şimdi sayfalar arası işlemler için basit bir şifreleme yapalım.


    [Linkleri Görebilmek İçin Üye Olmanız Gerekmektedir. Üye Olmak İçin Tıklayın...]


    Bir güvenlik kodu oluşturup bunu oturum’u başlatarak güvenlik_uygulaması_kodu’na atadık.


    [Linkleri Görebilmek İçin Üye Olmanız Gerekmektedir. Üye Olmak İçin Tıklayın...]


    Başka bir sayfadan oturumu başlatıp gelen kodun elimizdeki kodla uyuşup uyuşmadığını kontrol ettik.Eğer uyuşursa işlemi yaptık,uyuşmazsa işlemi yapmadık.Yukardaki basit bir örnektir.Siz daha da geliştirip kendinize ait metodlar oluşturabilirsiniz.İyi Kodlamalar.
    Ben ezelden beridir hür yaşadım, hür yaşarım.
    Hangi çılgın bana zincir vuracakmış? Şaşarım!
    Kükremiş sel gibiyim: Bendimi çiğner, aşarım;
    Yırtarım dağları, enginlere sığmam taşarım.

    Garb'ın afakını sarmışsa çelik zırhlı duvar;
    Benim iman dolu göğsüm gibi serhaddim var.
    Ulusun, korkma! Nasıl böyle bir imanı boğar,
    ''Medeniyet!'' dediğin tek dişi kalmış canavar?

  2. #2

    Üyelik tarihi
    13.01.2013
    Mesajlar
    5.850
    Bahsedildi
    0 Mesaj
    Etiketlenmiş
    0 Konu
    Rep Puanı
    10

    Standart Cevap: Php' de Temel Güvenlik

    Sabitlendi

  3. #3
    Üye ..:Komando:.. - ait Kullanıcı Resmi (Avatar)
    Üyelik tarihi
    02.02.2014
    Yer
    Fenerbahçe ♥
    Yaş
    22
    Mesajlar
    7.617
    Bahsedildi
    0 Mesaj
    Etiketlenmiş
    0 Konu
    Rep Puanı
    10

    Standart Cevap: Php' de Temel Güvenlik

    Alıntı Riverals Nickli Üyeden Alıntı Mesajı göster
    Sabitlendi
    Eyvallah
    Ben ezelden beridir hür yaşadım, hür yaşarım.
    Hangi çılgın bana zincir vuracakmış? Şaşarım!
    Kükremiş sel gibiyim: Bendimi çiğner, aşarım;
    Yırtarım dağları, enginlere sığmam taşarım.

    Garb'ın afakını sarmışsa çelik zırhlı duvar;
    Benim iman dolu göğsüm gibi serhaddim var.
    Ulusun, korkma! Nasıl böyle bir imanı boğar,
    ''Medeniyet!'' dediğin tek dişi kalmış canavar?

  4. #4

    Üyelik tarihi
    07.12.2013
    Yer
    Bursa
    Mesajlar
    15.190
    Bahsedildi
    18 Mesaj
    Etiketlenmiş
    0 Konu
    Rep Puanı
    10

    Standart Cevap: Php' de Temel Güvenlik

    Teşekkürler

  5. #5
    Üye ..:Komando:.. - ait Kullanıcı Resmi (Avatar)
    Üyelik tarihi
    02.02.2014
    Yer
    Fenerbahçe ♥
    Yaş
    22
    Mesajlar
    7.617
    Bahsedildi
    0 Mesaj
    Etiketlenmiş
    0 Konu
    Rep Puanı
    10

    Standart Cevap: Php' de Temel Güvenlik

    Önemli değil
    Ben ezelden beridir hür yaşadım, hür yaşarım.
    Hangi çılgın bana zincir vuracakmış? Şaşarım!
    Kükremiş sel gibiyim: Bendimi çiğner, aşarım;
    Yırtarım dağları, enginlere sığmam taşarım.

    Garb'ın afakını sarmışsa çelik zırhlı duvar;
    Benim iman dolu göğsüm gibi serhaddim var.
    Ulusun, korkma! Nasıl böyle bir imanı boğar,
    ''Medeniyet!'' dediğin tek dişi kalmış canavar?

Sayfa 1/2 12 SonSon

Yetkileriniz

  • Konu Acma Yetkiniz Yok
  • Cevap Yazma Yetkiniz Yok
  • Eklenti Yükleme Yetkiniz Yok
  • Mesajınızı Değiştirme Yetkiniz Yok
  •