[yagmur]

Arkadaşlar
İlk defa kredi kartı ile otel ve tur satışı yapabilecek bir seyahat sitesi hazırlıyorum.
Otel ve turun algoritmasını hazırladık. Otel kontenjanımız varsa ziyaretci rezervasyon yaptığında kredi kartından otomatik çekebilmeli.
Eğer otel "book on request" ise o zaman ziyaretcinin kredi kartından hemen para çekilmesin bizim onayımız alınsın. Otellere book online ve book on request özelliklerini hazırladığımız programı yaptık.
Kredi kart bilgilerine kadar geldik. Şimdi burada bir banka ile temasa geçmem gerekiyor. web sitesini hazırladığım müşterim dış bankası ile çalıştığını belirtti. Ben henüz onlarda e-ticaret sistemi olup olmadığını araştıramadım.Dış bank ile e-ticaret uygulaması alan varmı?
Garanti bankasının sanal post sayfasını okudum. Garanti bankası bana daha açıklayıcı geldi. Müşterimi garanti 'ye yönlendirebilirim.
Garanti bankasında Sanal Pos çalışma sisteminde şöyle yazıyor:
UNIX tabanlı sistemde: CGI, Java API'si ve Güvenli Ortak Ödeme Sayfası kullanılarak yapılabilir.

CGI yönteminde ödeme işlemi, gerekli bilgilerin Sanal POS CGI'ına gönderilmesi ile gerçekleştirilir. CGI'ın Linux, Sun Solaris ve HPUX için derlenmiş hali mevcut olup diğer platformlar için de uygulamanın derlenmesi mümkün olmaktadır. (CGI konusunda hiç bir bilgiye sahip deyilim bu durumda ne yapabilirim?)
Ödeme işlemi için Java API'si de kullanılabilir.(Java api diğer bir seçenek bu konudada bilgi sahibi değilim)

Bir diğer yöntem de Güvenli Ortak Ödeme Sayfası'nın kullanılmasıdırbu sistemi kullanmak ne derece doğru olur bilmiyorum. Garantinin arayüzünde görünecek Çünkü site tamamen yabancılara hitab ediyor)

Şimdi sizden ricam e-ticaret konusunda deneyimi olan arkadaşların bana yardımcı olmalarını bekliyorum.
E-ticaret te ilk deneyimim olacak ve yanlış uygulamalar yapmak istemiyorum. site yabancıların kredi kartı ile otel ve tur satın alabileceği bir site olacak. Bu durumda SSL'i Garantiden almam doğru olurmu?

Deneyimli uzman arkadaşları bilginizi benimle paylaşırsanız memnun olurum.

[emremer]

eski calistigim sirkette musteriden gelen talep dogrultusunda hersey musteri icin kurulacak bir server dan yurutulecekti, ancak bunun ssl sertikasi gerekiyordu//aslinda sart degil ama guvenlik acisindan gerekli kesinlikle

ve tabi sonrasinda da serverin guvenligi, sizin yapmis oldugunuz site de sayet bu islemleri kendi serverinizdan yapacaksaniz Cok Saglam bir
guvenlik altyapiniz olmali, yani ssl sadece gerekli seylerden "biri"
//net teki en buyuk kredi karti vugunlarinin, musteri kredi karti datalarini ve islemlerini kendi bunyesinde barindiran sitelerden gerceklestirilgini goz ardi etmemek lazim

yani ozet olarak kredi islemleri yonlendirin garantiye o yapsin. yillik 200$ civari bir para istiyorlar bunun icin ve bence cok degil..

[yagmur]

Garanti bankasının serverından ödeme yaptırdığımızda Garantinin sayfası geliyor ve tabiki garanti nin reklamlar bannerı bulunuyor. Seyahat sitesi tamamen yabancılara hitap edecek. Yabancılar Garanti bankasını nerden bilsinler ki!
Ben Thawte'den SSL'i almayı düşünüyorum. Ama siz güvenlik için SSL'il yetmediğini belirtmişsiniz.
Peki o zaman serverda (hostta) başka ne gibi özelliklerin olması gerekiyor?

[emremer]

banka bannerinin cikmasi daha cok guvence verecektir
burdaki gibi..

//ki 'yillardir 'dunyanin' en iyi bankarindan birisinin, sizin 'hazirlanmakta' olan sitenizden daha az taninmis olacagini sanmiyorum

-hic tanimadiklari bir turk sitesine para verip rezerve yapicak bi kisi hic tanimagini bir turk bankasindan da alis veris yapabilir zannediyorum

-firewall, port dinlemeye karsi yazilimlar, kredi karti taklidi yapan yazilamlara karsi guvenlik programlari, makinada yuklu driverlar ve bunlarin actigi portlarin kontrolu vb.. //bu is direk alanim olmadigi icin sadece dolayli seyler soylebiliyorum. server gerekleri kadar da surekli calisan, yeni aciklari ve onlemlerini takip eden bir ekip en sagliklisi olucaktir benceburdaki gibi..

..umarim heves kirici olmamisimdir, kirmzi ile belirtilen yazilardan yola cikarak yukardakileri yazdim, sayet guvenli bir hosting ve/ya admine sahipseniz sanal pos daha kullanisli olacaktir.

[yagmur]

emremer:
-firewall, port dinlemeye karsi yazilimlar, kredi karti taklidi yapan yazilamlara karsi guvenlik programlari, makinada yuklu driverlar ve bunlarin actigi portlarin kontrolu vb.. //bu is direk alanim olmadigi icin sadece dolayli seyler soylebiliyorum. server gerekleri kadar da surekli calisan, yeni aciklari ve onlemlerini takip eden bir ekip en sagliklisi olucaktir bence

Bunların hepsini hosting alacağım firma tarafından yapılmıyormu?
Forumda bulunan arkadaşlardan bilgisi olupda paylaşmak istemeyenler olduğunu düşünüyorum.

Ben araştırmamı bilmeyenler ile paylaşmak istiyorum:
E-Ticaret Güvenliği:
1) İşletim Sİstemi Güvenliği
2) Firewall (Trafiğin Filtrelenmesi)
3) IDS (Saldırı Tespit Sistemi)
4) Database Güvenliği
5) web tabanlı dinamik içeriğin güvenliği(ASP,PHP,CGI..)
6) VPOS (SSL)

En iyisi araştırmalarıma başka yerlerden yapmaya devam edeyim.

1) işletim sistemi güvenliği tamamen son version ve gerekli patchlerin yüklü olduğu sistemdir.
2) firewall hosting şirketinin sağlaması gerekir ki birçok şirket firewall kullanmaz, yani gerçek anlamda checkpoint tarzı bişi kullanmazlar çünkü çok pahalıdır. ipchains tarzı kullanırlar max.
3) Saldırı tespit sistemini biraz daha açarmısın, nereye saldırı? database'e mi, siteye mi, servera mı?
4) Database güvenliği kodlamayla yakından ilişkili olmakla beraber tabi ki hosting şirketinin hizmetine de bağlıdır.
5) web tabanlı dinamik içerik de kodlamayla alakalı olmakla beraber, tavsiyem ücretli hazır yazılımlardır. böylece güvenlik sorunları daha az rastlanır. ücretli yazılım derken; belli bir web sitesi olup sitesinde örneğin support bölümü(forum gibi) olan ve yeni sürümleri sunan bir yazılım olmalı.
6)vpos=garanti bankasıdır kesinlikle

[marihuana]

Bende baştaki arkadaşın bahsettiği bir yazılımı hazırlamayı düşünüyoruz. belki de aynı anda başladığımızdan bizde sepet yönetici jayıt yenileme güncellerme sayfalarını hazırladık.

diğer bir arkadaşın hazır yazılmış yazılımlardan biri kullanma önerisi her farklı şirketin veya alışveris sisteminin farklı olduğu düşünülürse hazır yazılımlarla standarttan uzaklaşıp biraz daha kurumsal bir kimliğe bürünmüş siteler daha başarılı olacaktır.
Her farklı sistem için farklı sorgular üretip sayfada göstermek kendi yazdığınız kodlarda her zaman kolay olacaktır.

Yani programcı açısından bu bir kısıtlama olarak da değerlendirilebilir.

Ödeme sistemlerine bende bir göz attım aklıma şu anda en yatkın ve ekonomik sonuç garanti bankasının arabirimini kullanmak kendi SSl ve Vpos olayını kurmak sistemin güvenliği ayrıca sürekliliği konusunda gerilere düşmenize sebep olacaktır diye düşünüyorum.

Belki ileriki sistem büyültmelerinde bir sonraki proje olarak değerlendirilebilir.

Bu gibi işleri planlarken bence en önemlisi mümkün olduğunca kurumsal ve outsourcing diye tarif edilen şirketlerden servis almak. Sonuçta en önemlisi satılacak olan ürünün iyi pazarlanması.

çalışmalarınızda başarılar dilerim.

[emremer]

Ntvmsnbc:
18 Şubat — Visa tarafından yapılan açıklamada şu ana kadar bilgileri çalınan kredi kartları ile ilgili bir yolsuzluk gerçekleşmediği belirtildi. Visa ve MasterCard, hacker’ın bankalar adına kredi kartı işlemlerini tutan bir şirketin güvenlik sistemini aşarak kart bilgilerine ulaştığını açıkladı.

http://www.ntvmsnbc.com/news/202204.asp
-----------------------
haber vesilesi ile 'kendi bunyesinde' kredi karti islemleri yapmanin riskini tekar vurgulamak istedim

[soul]

Forumda bulunan arkadaşlardan bilgisi olupda paylaşmak istemeyenler olduğunu düşünüyorum.

Lafı bana çok dokundu Aslında paylaşacak çok şey var ancak vakit yoktu. Gene de bir şeyler yazmak istedim;

Daha fazla şeyler yazaılabilirdi ancak dediğim gibi bugün dar bir vakit sürecinde yazıldı.

Word formatında download edilebilir versiyonu;
http://ferruh.mavituna.com/articles/..._Guvenligi.doc

Yazıdaki bazı terimlerin de açıklandığı diğer ilgili bir doküman;
http://ferruh.mavituna.com/articles/...ik_Gizleme.doc


yazı;
Bir E-ticaret Sitesinin Genel Güvenliği ve Korkular !;

Önümüzdeki potansiyel güvenlik açıkları;

1) server güvenliği
2) script & Db Güvenliği
3) veri Transfer Güvenliği

server güvenliği;

Sisteme herhangi bir şekilde sızan bir kişi sitedeki tüm verilere erişebilir demek. Bunun anlamı eğer tutulan özel bilgiler varsa –ki elbetteki var- bunlar, E-mail mesajları,Email hesapları, şifreler, veritabanları vs. olmasının yanında daha ciddi tehlikelerde içerir.

Mesela siz web Uygulamanızda Kredi Kartlarını veritabanında tutmuyor olabilirsiniz. Ancak saldırgan 3-5 satır bir kodla bu kartları kendi e-mail adresine attırabilir veya webdeki başka bir veritabanına (db) ye kaydettirebilir. Daha bir çok kötü olasılık var. Kısaca sistem haklarının ele geçmesi durumunda sizin Kredi Kartı saklama veya saklamama durumunuz pek anlam ifade etmeyecektir.

Tecrübeli bir saldırgan işini bitirdikten sonra yaptıklarının üstünü kapatabilir ve siz de dosyanızdaki 3-5 satırlık kodu gözden çok rahat bir şekilde kaçırabilirsiniz.

server Güvenliği basit bir konu değil tamamen bir uzmanlık alanıdır. Eğer siteniz dışarıdan bir host tarafından yönetiliyorsa burada dikkat etmeniz gereken şey o kişilerin de güvenli kişiler olmasıdır. Host güvenli kaliteli bir firma olmalıdır.

web hosting firmalarında bir çok çalışan tüm dosyalara erişim hakkına sahiptir bu da bir çok orijinal saldırıya içeriden kapı açar. Bazen Sosyal Hacking dediğimiz bu durum en önemli konulardan biridir. Yani çalışanın iyi niyetinden öte dışarıdan çalışan bir kişinin çeşitli şekillerde ele geçirilmesi veya bazı şeyler için kullanılması.

Eğer serverı siz yönetiyorsanız Unix-NT olmasına göre gerekli standart güvenlik ayarlarını doğru ayarlamanın yanında düzenli Log Saldırı analiz programları ile Logları analiz etmek faydalıdır.

FTP, Email, server şifrelerini çok iyi seçmek zor tahmin edilemeyen şifreler olması önemlidir. Bunları 2-3 ay da bir değiştirmek işe yarayabilir. Brute Force tipi ataklarla ile kırılamamalıdırlar. Özellikle e-mail şifrelerinize dikkat ediniz.

Mümkünse FTP’ ye SSL üzerinden bağlanılmalıdır. FTP şifrelerinde MD5 kullanılabilir. FTP ye bağlanırken SOCKS, Proxy kullanmamak iyi bir seçenektir.

SSL ve Proxy, SOCKS kullanmama sayesinde yerel ve genel networklerde sniffing (kısaca networklerde dolaşan verileri yakalama) i engelleyebiliriz.

Serverda kullandığınız web server için özel Firewall sistemleri kullanmanız çok işinize yarayabilir. Bu tip firewalllar bir çok atağı haber verir ve/veya engeller. Kendi özel konfigürasyonlarınızı da ayarayabilirsiniz.

Güncel yazılımlar kullanmak server güvenliğinin en önemli konularından biridir. Özellikle işletim sisteminin ve web server’ ın güncel olması çok önemlidir.

Ancak sadece bunlar yetmez serverda kurulu genel sistemlerinde güncel halleri bulunmalıdır. Son yamalar yüklenmelidir.

Örnek olarak serverdaki bir “Stats” programındaki açık bütün harddiskinizi saldırganlara açabilir.

Sisteminizdeki programların listesini yapıp düzenli olarak programlarınızın yamalarını takip etmeniz sistemi ciddi anlamda daha güvenli yapacaktır. Bir çok saldırgan ilk başta mevcut sistemin ve programların hali hazırdaki açıklarını dener. Bu şekilde sistemi güncel tutmanız bu saldırganları egale edecektir.

Eğer serverınızda başka kullanıcılarda sitelerini yayınlıyorlarsa özellikle Win2K Serverlar için User hakları üzerinde iki defa durulmalıdır.

Gereksiz aplikasyonları Service sistemlerini kapatın. Mesela Win2K sistemlerdeki .htc çalıştırılabilmesi gibi, kullanıcılara verilen gereksiz Execute hakları gibi.

Tabii ki server güvenliği bu kadar basit değil ama umarım ki gerekli birkaç noktaya temel olarak değinebilmişimdir. Detaylara ve Pratik Uygulamalara ilgili konularda arama yaparak web üzerinden ulaşılabilir.

script & DB Güvenliği;
Bu web uygulamasının güvenliğidir. Yani ASP, CFM, PHP vs. dilinizin güvenliğidir. program yazılırıen yapılacak birkaç yanlış tüm güvenliklerinizi alt-üst etmeye yeter.

Dolayısıyla e-ticaret sistenmleri güvenlik konularında bilinçli kişiler tarafından yazılmalıdır.

Ben bu konunun detaylarına girmek istemiyorum sadece en az sistem güvenliği kadar önemli olduğunu belirtmek istiyorum. Bu konu hakkında IT Security Magazine tarafından yazılmış çok güzel bir makalenin Türkçesi var. O makalede genel yöntemleri görebilirsiniz.

http://www.olympos.org/article/articleprint/972/-1/2/

Ek olarak e-ticaret sitelerindeki ciddi yanlışlardan biri sepet ve fiyat bilgilerinin hidden formlarda veya Quesrystringlerde taşınmasıdır. Sakın olaki böyle bir şey yapmayın herşey Dbden çalışmalıdır veya daha farklı güvenli çözümlerde olabilir (Belki Session kullanılarak).

Aklıma gelen birkaç ufak nokta daha;
1) ASP’ de execute komutunu dışarıdan bir veri ile kullanmayın. (Request gibi.)
2) Her zaman gelen veriyi kendiniz tekrar filtreleyin ve analiz edin.
3) Upload işlemlerinde ciddi sınırlar koyun. Dikkatli olun. Hidden form Fieldlar ve Querystring değişkenlerini upload klasörü için kullanmayın.
4) SQL Injection’ a dikkat edin.
5) HTTP_REFERRER a güvenmeyin. HTTP Headerlar basitçe modifiye edilebilir.
6) Querystring ile ille de önemli bilgiler taşıyacaksanız şifreleyin.
7) DB de passwordleri şifreleyin (hash şifrelemeler daha iyidir Mesela MD5)
8) Kredi Kartlarını DB de tutmayın. Ziyaretçilerde bunu sevmeyecektir.
9) Cookielere şifre yazacaksanız bunu şifreleyin ve bu işi yaparken XSS Cross site Scripting saldırıları dikkate alın.
10) “Dot dot slash bug“ diye tabir ettiğimiz “../” tipi kullanımlara dikkat. Özellikle FSO gibi dosya okuma sistemlerini bu şekilde otomatiğe bağlayıp bu verileride URL (Querystring) de taşımayın.
11) Access veritabanlarını webden ulaşılamayacak yerelere koyun. (www altına değil yani ! veya sizin siteminizde bu neye denk geliyorsa. Scriptlerinizde “../db” "gibi ulaşabilirsiniz bu dosyalara)
12) MySQL erişim haklarında sadece lokal erişimi açın.
13) SQL server şifrenizi çok iyi düzenleyin çok rahat bir şekilde Brute Force (otomatik deneme yanılma diyebiliriz) atak yapılabiliyor. Ve belli periyodlarda bu şifreyi değiştirebilirsiniz. Unutmayın SQL Servera standartta IP, Kullanıcı adı ve Şifre ile her yerden ulaşılabilir. Halbuki diğer bir serverda webe açık olmayan yerdeki bir Access’ a ulaşmak için server şifresi ve bir çok ayarın bu iş için doğru olması gereklidir.
14) Kullanıcıların sayfaya flash upload etmeleri potansiyel bir hatadır. XSS tipi saldırılarda kullanılabilir.
15) Sitedeki tüm işlemler loglanmalıdır. IP ve tarih olarak. Sonradan işe yarayabilir. server logları bazen yeterlidir. Ancak kullanıcı üyeliği gibi kısımlarda bunu sizin tutmanız daha iyidir. Bu sayede herhangi ciddi bir sorun oluştuğunda kanunen hakkınızı arayabilmeniz kolaylaşabilir.

veri Transferi Güvenliği;
Bu konu temel ve basittir. SSL kullanırsanız bu işi halletmenize yeter. Neden SSL’ e gerek var diye soruyorsanız. Sniffing nedir ? sorusuna cevap aramanız yeterli olacacaktır. Bu konuya da yukarıda kısaca değindim.

Bunun yanında şifre ve Kredi Kartı no girişlerinde de “Sanal Klavye” güzel bir seçenek olabilir. Bunun tek avantajı keyloggerlara karşı bir koruma olmasına rağmen zeki bir keylogger en önemli veri olan formlardaki verileri direk çalabilir. Gene de bir alternatif olarak düşünülebilir. Bunların bazıları screen-capture sisteminide kullanıyor. Ancak bu gereksiz bir uygulama bir çok açıdan eğer bir sistemde keylogger varsa o sistem zaten ruhunu teslimn etmiştir ve burada web uygulaması geliştiricinin yapabileceği pek bir şey yoktur.

Bu kısımda ikinci birer seçenek direk bir e-ticaret desrek firması ile çalışmaktır. Yani bu sayede SSL e de gerek duymayarak ve tüm ticareti diğer bir siteye atarak kendi üzerinizden de ciddi bir yükü kaldırabilirsiniz. www.paysystems.com gibi firmalar bu işi dünya çapında yapıyor.

Bu tip firmalarla çalışmanın en büyük avantajı da bu zaten. 5 farklı siteye paysystems üzerinden ödeme yapan bir müşteri yeni bir paysystems ödemesine de sıcak bakacaktır.

Bu firmaların kişiselleştirilebilir paketleri daha hoştur kendi sitenizin görünümünü bu sayede koruyabilirsiniz. Yurt dışına satışlarda yurt-içi firmaların kullanılması pek mantıklı değildir. Özellikle de arabirimleri sadece Türkçe ise. Hatta sadece Türkçe ise kullanmayın tabii ki.

[soul]

Alıntı:

Gönderen: Type-R

5) web tabanlı dinamik içerik de kodlamayla alakalı olmakla beraber, tavsiyem ücretli hazır yazılımlardır. böylece güvenlik sorunları daha az rastlanır. ücretli yazılım derken; belli bir web sitesi olup sitesinde örneğin support bölümü(forum gibi) olan ve yeni sürümleri sunan bir yazılım olmalı.

Buna bende pek katılmıyorum. Çünkü bu tip sistemler genel açıklara sahip olma ihtimali taşırlar. Örnek olarak PHPNuke çok açığı bulunan bir sistemdir bunun sebebi çok güvenliksiz olmasında çok çok kullanılmasından dolayıdır.

Ve bu tip açıklar ile bazen lamer bazen script kiddie diye tabir edilen kişiler rasgele saldırılarda bulunur. Mesela PHPNuke kullanan siteleri bulup yeni çıkan açığı denerler. vs.

Güvenlik konusunda bilinçli bir geliştiricinin elinden çıkmış sistemleri çok dah güvenli buluyorum. Bunun bir sebei de diğer hazır sistemler gibi her yola gelebilir olmalarındansa tamamen özel çözümlere hitab eder olmalarıdır. Dolayısıyla sistemde kullanmadığınız bir çok şey de gereksiz işlem yapmaz.

Son olarak ta unutmayın ki bu sistemlerde saldırgan sizin kodunuzu tamamen bilir ! o da aynı scripti para ile alıp veya bulup inceleyebilir, Çok daha kolay bir şekilde açık bulabilir.