[magos]

Selam arkadaşlar. Ben PHP ve MySQL kullanarak dinamik web sayfası yapıyorum. Bir hack gurubu sitemdeki haber baslıklarını değiştirmiş. Bunun tek yolu ya admin şifremi öğrenmeleri yada direk veritabanına erişmeleri. Her ikisinde de aslında girmişken herşeyi silip değiştirirlerdi diye düşünüyorum. Çünkü bütün haber baslıklarını değiştirmişler ama içeriklerini değiştirmemişler.Baska bir bölüm olan galeride de sadece baslıkları değiştirmişler. Yani tamamen değiştirebilseler resimde atarlardı diye düşünüyorum. Bunu nasıl yapmıs olabilirler? ne gibi önlem almam lazım?

[Darksist]

Eğer şifreni bilerek yapamdılarsa bir diğer yöntem SQL injection (SQL sızması)dır. Bu konu hakkında googleda birçok kaynak bulabilirsiniz.

[s5prin]

mysql_real_escape_string() fonksiyonunu her veri aldıktan sonra kullanmayı alışkanlık haline getir. Ben cookie'leri okurken dahi süzüyorum.

[magos]

birincisi SQL injectionsla ilgili baktıgım yerlerdeki uygulamaları denedim benim sitede işe yaramadı. baska bir türlü ulaşmış olabilirler. iknicisi bu mysql_real_escape_string() tam olarak ne iş yapar?

[cgencer]

log'lara bak derim; SQL injection kullanmışlarsa orada ortaya çıkar... ama bana daha çok admin arabirimine erişim elde etmişler gibi geldi. makinana keylogger gönderip çalıştırmayı başardılarsa, bilgilerine de erişirler tabii ki. genel bir virüs taraması yap ve tabii log'lara da bak. ayrıca PHP'de admin kısmına girilmesini de bence log et ki, senin girmediğin saatlerde giriş varsa gereken önlemi alırsın.

[s5prin]

Süzdüğün verilerin ($_GET, $_POST, $_COOKIE ve dahası) içerisindeki \x00, \n, \r, \, ', " gibi karakterlerden önce bir adet \ daha koyacaktır ki bu SQL sorgundaki verilerin gerçekten veri olarak değerlendirilmesini sağlar, veri yüzünden hatalı sorgu üretmeyi ya da SQL injection'ı engeller. Bakınız.

Bu fonksyonu kullanabilmek için SQL'e bağlanmış olman gerekir çünkü gerçekten SQL'e bağlanıp bu karakterleri neyle kaçacağını sorar ya da test eder ya da benzeri birşey yapıyor emin değilim

[CBol@]

en basitinden saldırganın sitende çıkacak hata kodlarını okumasını engellemek için ana index sayfasana error_reporting(0); koyman başlangıç için yeterli olabilir

[magos]

saldırgan arkadas şöyle bir uyarı yapmıs bu ne olabilr?

.........../index.PHP?page=(ROOT)??

ben normalde sayfalarımı ............/index.PHP?page=haberler

diye cagırıyorum ki buda haberler.PHP yi açıyor. saldırgan bu gönderdiğiyle herhangi birşye ulaşabilir mi?

[elik]

evet, o dizine user haklarının erişimi varsa ulaşabilir.

bunun için diğer arkadaşlarında söylediği gibi veriyi filtremelisin.

get, post, cookie vs. hangisi olursa olsun mutlaka kontrol etmelisin.

include edeceğin sayfaları get'den gelen değere göre almışsın. bu tip kodlama çok popüler ama eğer veriyi filtrelemiyorsan senin için geri dönülemez sonuçlar doğurabilir.

değerini get'den alan scriptler için çekirdeğe erişmeye çalışanlar bile var. bunun için erişimlerin düzgün ayarlanması gerekiyor.

apache üstünde de bunun için bir ayar seçeneği var. eğer dizinin sahibi değilsen erişimi kapatıyor.

"Options -FollowSymLinks +SymLinksIfOwnerMatch"

Detaylı bilgi:
http://www.ulakbim.gov.tr/dokumanlar...landirma.uhtml

[s5prin]

Şu sayfada verileri süzülmeden GET parametresini include eden bir siteyi hack etmeyi gösteren bir video var. (4 Mb)

Amman diyelim kontrollerimizi yapalım.