[]

SQL Injection ve Deface hakkında birkaç soru?

VPS'imde yer alan sitelere düzenli olarak deface, ve sql injection yoluyla hack saldırıları oluyor. En yaygın karşılaştığım yöntem sitemin index.php dosyalarını değiştirmeleri, diğeri ise yönetim paneline girip, veri eklemeleri ya da silmeleri. Yönetim panelime yönelik saldırıları "sadece" login.php deki kullanıcı adı ve şifreleri sql injection a yönelik korumam yeterli olur mu? yoksa tüm yönetim paneli sayfalarında POST ve GET verilerini korumlalı mıyım? kullandığım şey şu:

$degisken = addslashes(strip_tags($_GET["degisken "]));

bu yeterli olur mu? yoksa sizin kullandığınız daha sağlam bir yöntem var mı?

Bir de deface olayını nasıl engelleyebilirim? server'a nasıl giriyor olabilirler?

 
tam emin değilim ama
(bkz: mysql_real_escape_string)

  • eksi sozlukte eksiyen adam  (20.08.13 18:37:45 ~ 18:38:12) 
ftp programı kullanıyorsan bir kontrol etmende fayda var. index'i değiştiriyorlarsa ftp trojani yemiş olabilirsin.


  • creepy  (20.08.13 20:40:27) 
mysql e veri eklerken nasıl bir fonksiyon kullanıyorsun ?

"select * from blabla where = $degisken " tarzı birşey yaparsan sql injection yersin
bunun yerine prepared statement kullanmanı tavsiye ederim.
  • rodrane  (21.08.13 00:06:09) 
@rodrane; evet söylediğin şekilde kullanıyorum, bu sıkıntılı mı? çok yaygın bir kullanım oysa?

bu yöntemi bir örnekle açıklayabilir misin? ilk kez duydum açıkçası.
  • and justice erol  (21.08.13 09:18:37) 
mattbango.com

şunu bir incele istersen.
  • rodrane  (21.08.13 13:43:37) 
Bu konuyla ilgili şöyle bir kod buldum;

$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)");

$stmt->bindParam(':name', $name);
$stmt->bindParam(':value', $value);
// insert one row
$name = 'one';
$value = 1;
$stmt->execute();

bu koda şu sql kodunu entegre edebilir misiniz, örnek olması bakımından:

$ekle = mysql_query("INSERT INTO hsiteleri(hsitesi_baslik, hsitesi_url, hsitesi_onay) VALUES('$hsitesi_baslik', '$hsitesi_url', '$hsitesi_onay')");
  • and justice erol  (22.08.13 10:05:42) 
$stmt = $dbh->prepare("INSERT INTO hsiteleri(hsitesi_baslik, hsitesi_url , hsitesi_onay) VALUES (:hsitesi_baslik, :hsitesi_url ,hsitesi_onay :)");

$stmt->bindParam(':hsitesi_baslik', $hsitesi_baslik);
$stmt->bindParam(':hsitesi_url ', $hsitesi_url );
$stmt->bindParam(':hsitesi_onay ', $hsitesi_onay );
  • rodrane  (22.08.13 19:50:05) 
bu arada bir sitem yine hacklenmiş. kodlar arasında şöyle bir şey gördüm "Web Shell by xxxx" web shell ile nasıl hackleme yapılır? sql injection ile bir alakası var mı bu yöntemin?


  • and justice erol  (22.08.13 21:35:28) 
@rodrane;

Bu yöntemi SELECT, DELETE, UPDATE vs. şeysinde de kullanabiliyor muyuz? yoksa sadece INSERT için mi?

Mümkünse onlar için de birer örnek verebilir misin. Çok çok makbule geçiyor, öyle böyle değil.
  • and justice erol  (22.08.13 21:59:44) 
hepsinde kullanabiliyorsun tabiki.


  • rodrane  (23.08.13 10:22:35) 
web shell'in
sql injection ile de alakası de olabilir , linux sunucularda yanlış yetkilendirme sonucu (chmod) ile de alakalı olabilir. bir sürü sebepten olabilir.


bir güvenlik danışmanına belli bir ücret ödeyip sistemini kontrol ettirmen en mantklısı gibi duruyor.

ya da tecrübesiz bir hacker ile karşı karşıyaysan sunucuna erişim sağlayan ip kayıtlarını kendin ya da hosting firmana inceletip tanımadığın ipleri savcılığa da verebilirsin. ama bu sadece seni o saldırgandan korur.
ben gene de güvenlik hizmeti almanı tavsiye ederim.


ayrıca acunetix web vulnerability diye bir yazılım var bununla sitendeki açıkları da inceleyebilirsin.
  • rodrane  (23.08.13 10:32:59) 
1
buraya yazılanların hakları Sir Anthony Hopkins'e aittir.
yazan eden compumaster, ilgilenen eden fader
modere edenler angelus, Artibir, aychovsky, baba jo, basond, compumaster, deckard, duyulmasi gerektigi kadar, fader, fraise, groove salad, kahvegibi, kaymaktutmayansicaksut, kibritsuyu, monstro, pandispanya, robin, ron dennis
bu sitede yazılanların hiçbiri doğru değildir. site içeriği küçükler için sakıncalı olabilir. yazılardan yazarları sorumludur. kaynak göstermeden alıntılanamaz. devlet tarafından atanmış bir kurumun internet üzerinde kimin hangi bilgiye ulaşıp ulaşamayacağına karar vermesi insan haklarına aykırıdır. web siteleri kullanıcıların istekleri doğrultusunda bağlandıkları yerlerdir. kullanıcılar isterlerse bir web sitesine bağlanmayabilirler. bu güçleri ve imkanları mevcuttur. bir kullanıcı bir siteye bağlanmak istiyorsa bu onun tercihi ve hakkıdır. bağlanmak istemiyorsa bu yine onun tercihi ve hakkıdır. halkın kendisine hizmet etmesi için görevlendirdiği kurumlar hadlerini aşıp halka neye ulaşıp ulaşmayacağını bilmeyen cahil cühela muamelesi edemezler. ebeveynlerin çocuklarını sakıncalı içeriklerden koruması için çok sayıda bedava ve ücretli yazılım mevcuttur. bu yazılımlar bir web tarayıcısını kullanmaktan daha karmaşık teknik bilgi gerektirmemektedir. devletin milletini küçük düşürmesi ve ebleh yerine koyması yasaktır. Skimlinks ile linkler üzerinden yönlendirme payı alınmaktadır.