endLesS
Webmaster
SeLAmun ALeyKum
Bu Makalemizde Hedefe Yönelik Saldırılarda Güvenliği Ele Alıcaz.
Evet Arkadaşlar İlk Önce Hedefe Yönelik Saldırılarda Kullanılıcak Yöntemler,
ve bu yöntemlere Karşı neler yapabileceğimizden bahsedeceğiz,
Hedefe Yönelik Saldırıda Yapılan Saldırı Çeşitleri ;
1.Güncel Web Uygulamalarındaki Güvenlik Zaafiyetleri (SQL,RFİ,LFİ,XSS,XSRF,CSRF vs.)
2.Brute Force (Deneme/Yanılma Yöntemi)
3.Sunucu Güvenliği
4.Veritabanındaki Bilgilerin Güvenliği Ve Çift Bağlantı
5.Sosyal Mühendislik Ve Senaryoları
Şimdi İse Arkadaşlar Bu Tür Saldırılarda Neler Yapabileceğiz ;
1.Güncel Web Uygulamalarındaki Güvenlik Zaafiyetleri (SQL,RFİ,LFİ,XSS,XSRF,CSRF vs.) ;
Kullandığınız ****** Eğer Hazır ******’se bu tür güvenlik zaafiyetleri artabiliyor,
ancak kullandığınız ****** bir el yapımı ise eğer kendi elinizden geçmişse, kendinizi
dahada güvende hissedebilirsiniz, ancak gözden kaçanlar olabiliyor, bu tür açıklara tek
tek bakamayacağınız gibi önereceğim birkaç madde mevcut,
* ****** Localhost’a kurulur,
* ****** JSKY İle Taranır Olabilecek Vuln.lar bulunur,
-- ( Neden JSKY Gibi Bir Program ARkadaşlar siz Bir sayfaya bakarken JSKY bütün linkleri
bulup tarar ****** kod taraması için ise perl exploitleri kullanabilirsiniz. )
* Milw0rm,SubSecurity,SecurityFocus Gibi Sitelerde Güncel açıklara Bakılır.
-- ( Milw0rm Pek Aktif değil Bu Aralar. )
Bunlar En Ufak Maddelerden Bazıları, Aynı Şey Kendi Kodladığınız ****** İçin Geçerlidir,
Eğer dahada Güvende Olmak İstiyorsanız, Dosyalara tek Tek Bakmanız Tavsiyemdir, Ben
Hazır ****** Kullanmadığım İçin Kendi Kodladığım Sistemleri Kullandığım İçin Hangi
Kodun Nerede Kullandığımı Bildiğim için Bu Daha Kolay.
2.Brute Force (Deneme/Yanılma Yöntemi) ;
Bu Yöntemde Sizin Bilgileriniz Brute Force (Deneme/Yanılma Yöntemi) İle Alınır,
Şuanda Yaygınlaşan bu yöntem perl exploitler,python exploitler, php exploitler ile
ve birçok programlama dili ile yapılabilmektedir, en güvenlisi,
şuana kadar bulduğunuz bütün wordlisteleri indirip kendi şifreleme yönteminizi
gerçekleştirmenız,
ben bu işlemde karakterlerimi 3’ya Ayırıyorum,
- Ana Bölüm
- Özel Karakter Bölümü
- Sayı Bölümü
-- Ana Bölüm :
Unutmayacağınız isminiz,doğumyeriniz,akılda kalıcı bir farklı kelime olabilir
-- Özel Karakter Bölümü :
Bu Bölümde Random Oluşturulacak Bir Özel Karakter Seti Kullanmalısınız bunun için
bir php kodlama mevcut.
-- Sayı Bölümü :
Burada Akılda Kalıcı Bir Sayı Olabilir doğum Tarihiniz, sicil no, okul no gibi
gerekli güvenliği sağladığımız için bu bölge hatırlatıcı olabilir.
3.Sunucu Güvenliği ;
Bu Bölüm Çok Geniş Ve Ağır Kavramdır, Eğer Public Bir Sunucuda İseniz, Burdaki Güvenlik
Çok Önemlidir, ama bir VPS sunucudaysanız kendinize gerekli olan permissionları verip
diğer alanları güvenliğin sınırını zorlayacak şekilde ayarlamanız en doğrusudur, ama publicde
böyle birşey olmayacağı için burdaki güvenlik çok zordur, iş permission ve bilgilerin şifrelenmesi
ile başlar, şuan benım kendi kullandığım sunucuda, dizin açılmamaktadır (c99 v2, r57 1.40 , r57 1.50)
ancak public sunucuda bu güvenlik çok zordur, ama ne yapabiliriz,
--config Dosyamızı Şifreliyebiliriz
--Permissionlarımızı Klasor 755 (Default) Dosya 644 (Default) Şeklinde kullanmalı
gereksiz chmod 777 vermemeliyiz, En azından size hizmet veren kişi ile görüşüp safe_mod : on verilmesi.
bu tür kavrama sunucu güvenliğine diğer makalelerimde derince inicem arkadaşlar kafanız karışmasın,
bütün yöntemleri aktaracağım.
4.Veritabanındaki Bilgilerin Güvenliği Ve Çift Bağlantı ;
bu bölümde arkadaşlar, sunucuya shell ile sızıldığını düşünerek hareket edeceğiz,
mevcut veritabanı bağlantı dosyamız config.php olarak sayalım ve kişinin
root olamadığını.evet arkadaşlar kullanacağımız çözümler,
-- Veritabanı adını normal bir dosya gibi yapmak (resim.php,editor.php,footerx.php vs.)
-- Veritabanını Criptolamak, base64 ile güzelce şifreliyebilirsiniz.
Neden Çift Bağlantı ?
Evet Arkadaşlar Ben Genellikle 3 Veritabanı kullanırım,
-- genel yapı (makaleler,duyurular,kayıtlar)
-- site logları (log girişleri)
-- şifre bölümleri (şifre bilgilerinin bulunduğu bölüm)
ve bütün veritabanı bilgilerim base64 ile şifrelemiş yukarda bahsettiğim gibi, normal adlardır.
5.Sosyal Mühendislik Ve Senaryoları ;
Merhaba Artık Size Bir Zaaftan Ulaşamayacakları İçin, Artık İşin Sizde Bittiğini Anlayıp,
Size Senaryo Yazıcaklardır.
bu senaryolar; arkadaşlık,sitenizde güvenlik açığı var cinsinden dosya düzenletme ve zaaf oluşturma,
hosting sahibi şekilinde fake mailler, bunda ise gerekli yapılacak olaylar zaten bellidir,
hiçbir şekilde emin olmadan ve güvenmeden bilgi ve bu tür istekleri geri çevirmek, çeşitli adreslerden
ekliyeceklerdir, ama hiçbir zaman benı şu gonderdi hosting bilgilerinizi alayım cinsinden işlemlerde
muhakkak o kişi ile yüzleştirin.
Bu Makalemizde Hedefe Yönelik Saldırılarda Güvenliği Ele Alıcaz.
Evet Arkadaşlar İlk Önce Hedefe Yönelik Saldırılarda Kullanılıcak Yöntemler,
ve bu yöntemlere Karşı neler yapabileceğimizden bahsedeceğiz,
Hedefe Yönelik Saldırıda Yapılan Saldırı Çeşitleri ;
1.Güncel Web Uygulamalarındaki Güvenlik Zaafiyetleri (SQL,RFİ,LFİ,XSS,XSRF,CSRF vs.)
2.Brute Force (Deneme/Yanılma Yöntemi)
3.Sunucu Güvenliği
4.Veritabanındaki Bilgilerin Güvenliği Ve Çift Bağlantı
5.Sosyal Mühendislik Ve Senaryoları
Şimdi İse Arkadaşlar Bu Tür Saldırılarda Neler Yapabileceğiz ;
1.Güncel Web Uygulamalarındaki Güvenlik Zaafiyetleri (SQL,RFİ,LFİ,XSS,XSRF,CSRF vs.) ;
Kullandığınız ****** Eğer Hazır ******’se bu tür güvenlik zaafiyetleri artabiliyor,
ancak kullandığınız ****** bir el yapımı ise eğer kendi elinizden geçmişse, kendinizi
dahada güvende hissedebilirsiniz, ancak gözden kaçanlar olabiliyor, bu tür açıklara tek
tek bakamayacağınız gibi önereceğim birkaç madde mevcut,
* ****** Localhost’a kurulur,
* ****** JSKY İle Taranır Olabilecek Vuln.lar bulunur,
-- ( Neden JSKY Gibi Bir Program ARkadaşlar siz Bir sayfaya bakarken JSKY bütün linkleri
bulup tarar ****** kod taraması için ise perl exploitleri kullanabilirsiniz. )
* Milw0rm,SubSecurity,SecurityFocus Gibi Sitelerde Güncel açıklara Bakılır.
-- ( Milw0rm Pek Aktif değil Bu Aralar. )
Bunlar En Ufak Maddelerden Bazıları, Aynı Şey Kendi Kodladığınız ****** İçin Geçerlidir,
Eğer dahada Güvende Olmak İstiyorsanız, Dosyalara tek Tek Bakmanız Tavsiyemdir, Ben
Hazır ****** Kullanmadığım İçin Kendi Kodladığım Sistemleri Kullandığım İçin Hangi
Kodun Nerede Kullandığımı Bildiğim için Bu Daha Kolay.
2.Brute Force (Deneme/Yanılma Yöntemi) ;
Bu Yöntemde Sizin Bilgileriniz Brute Force (Deneme/Yanılma Yöntemi) İle Alınır,
Şuanda Yaygınlaşan bu yöntem perl exploitler,python exploitler, php exploitler ile
ve birçok programlama dili ile yapılabilmektedir, en güvenlisi,
şuana kadar bulduğunuz bütün wordlisteleri indirip kendi şifreleme yönteminizi
gerçekleştirmenız,
ben bu işlemde karakterlerimi 3’ya Ayırıyorum,
- Ana Bölüm
- Özel Karakter Bölümü
- Sayı Bölümü
-- Ana Bölüm :
Unutmayacağınız isminiz,doğumyeriniz,akılda kalıcı bir farklı kelime olabilir
-- Özel Karakter Bölümü :
Bu Bölümde Random Oluşturulacak Bir Özel Karakter Seti Kullanmalısınız bunun için
bir php kodlama mevcut.
-- Sayı Bölümü :
Burada Akılda Kalıcı Bir Sayı Olabilir doğum Tarihiniz, sicil no, okul no gibi
gerekli güvenliği sağladığımız için bu bölge hatırlatıcı olabilir.
3.Sunucu Güvenliği ;
Bu Bölüm Çok Geniş Ve Ağır Kavramdır, Eğer Public Bir Sunucuda İseniz, Burdaki Güvenlik
Çok Önemlidir, ama bir VPS sunucudaysanız kendinize gerekli olan permissionları verip
diğer alanları güvenliğin sınırını zorlayacak şekilde ayarlamanız en doğrusudur, ama publicde
böyle birşey olmayacağı için burdaki güvenlik çok zordur, iş permission ve bilgilerin şifrelenmesi
ile başlar, şuan benım kendi kullandığım sunucuda, dizin açılmamaktadır (c99 v2, r57 1.40 , r57 1.50)
ancak public sunucuda bu güvenlik çok zordur, ama ne yapabiliriz,
--config Dosyamızı Şifreliyebiliriz
--Permissionlarımızı Klasor 755 (Default) Dosya 644 (Default) Şeklinde kullanmalı
gereksiz chmod 777 vermemeliyiz, En azından size hizmet veren kişi ile görüşüp safe_mod : on verilmesi.
bu tür kavrama sunucu güvenliğine diğer makalelerimde derince inicem arkadaşlar kafanız karışmasın,
bütün yöntemleri aktaracağım.
4.Veritabanındaki Bilgilerin Güvenliği Ve Çift Bağlantı ;
bu bölümde arkadaşlar, sunucuya shell ile sızıldığını düşünerek hareket edeceğiz,
mevcut veritabanı bağlantı dosyamız config.php olarak sayalım ve kişinin
root olamadığını.evet arkadaşlar kullanacağımız çözümler,
-- Veritabanı adını normal bir dosya gibi yapmak (resim.php,editor.php,footerx.php vs.)
-- Veritabanını Criptolamak, base64 ile güzelce şifreliyebilirsiniz.
Neden Çift Bağlantı ?
Evet Arkadaşlar Ben Genellikle 3 Veritabanı kullanırım,
-- genel yapı (makaleler,duyurular,kayıtlar)
-- site logları (log girişleri)
-- şifre bölümleri (şifre bilgilerinin bulunduğu bölüm)
ve bütün veritabanı bilgilerim base64 ile şifrelemiş yukarda bahsettiğim gibi, normal adlardır.
5.Sosyal Mühendislik Ve Senaryoları ;
Merhaba Artık Size Bir Zaaftan Ulaşamayacakları İçin, Artık İşin Sizde Bittiğini Anlayıp,
Size Senaryo Yazıcaklardır.
bu senaryolar; arkadaşlık,sitenizde güvenlik açığı var cinsinden dosya düzenletme ve zaaf oluşturma,
hosting sahibi şekilinde fake mailler, bunda ise gerekli yapılacak olaylar zaten bellidir,
hiçbir şekilde emin olmadan ve güvenmeden bilgi ve bu tür istekleri geri çevirmek, çeşitli adreslerden
ekliyeceklerdir, ama hiçbir zaman benı şu gonderdi hosting bilgilerinizi alayım cinsinden işlemlerde
muhakkak o kişi ile yüzleştirin.