Web güvenliği derlemesi (1 Viewer)

Joined
Aug 5, 2018
Credits
0
Rating - 0%
Tavsiye :

1.) Cloudflare yada benzeri sistemler kurulur ip gizlenir (Tüm subdomainler cpanel,mail,ftp vs. yada sonradan açılan kişisel subdomainlerde dahil hepsi cloudflare sistemine eklenmeli aksi taktirde " ping subdomain.siteadi.com " komutu girilerek ip adresi tespit edilir ve hacklenme riski bir hayli artar.Bu arada subdomain adresini rasgele bir şeyler yazarım bulamazlar gibi düşüncelere kapılmayın kali linux ortamında subdomain brute force vb. araçlar var bulunur kesinlikle. Bu arada cloudflare bypass edilebilir lakin linux ortamında profesyonelce kullanılan yazılımlar ile ama kurarsanız bilgisi yeterli olmayan kişileri siteden uzak tutar)

2.) Whois bilgileri gizlenmeli

3.) Şifre brute force yöntemiyle bulunabilecek türden olmamalı

4.) Kullanıcı adı admin yada site adı gibi basit olmamalı

5.) Tekrar söylüyorum eğer kodlama bilginiz çok iyi değilse hazır scriptleri kurmalısınız aksi taktirde bıraktığınız en ufak bir açık bile tüm sitenizin bilgilerini almak için yeterli bir sebeptir.
Oluşabilecek açıklar ; mysql injection,access injection,postgre sql injection,blind injection,xss,lfi,rfi,html injection,csrf,oluşabilecek upload açıkları vs. bu liste uzar gider. En basitinden sql açığı olan bir siteden tüm üyelerin bilgilerine,kredi kartlarına,email adreslerine,admin şifresine vs. herşeye ulaşılabilir tamamen kişinin hayal gücüne kalmış neyi çekmek istediyse artık. İşin kötü tarafı bu açık piyasada haddinden fazla mevcut bunu aşmak için öyle sql bilmenizede gerek yok basit bir sqlmap yada kali linux'tan anlayan biri rahatlıkla sömürür.
Örnek açık mevcut olan siteler : https://www.google.com.tr/search?ei=....0.TlD6bYbOuEk

6.) Admin panel gizleme, brute force engelleyici bir eklenti

7.) Admin Panel dizinine yada dosyasına şifre koyma (siteadi.com/administrator/ url adresine girdiğinizde sizden ekstra user ve pass ister buda saldırgan config dosyasına erişim sağlaya bilse bile panele yönetici olarak erişmesini engeller)

8.) Config dosyasını şifreleme (İşini iyi bilen biriyse kırılabilir lakin bilgisi yetersiz ise geri döner uğraşmaz)

Yukarıda saydıklarım sizin kendi siteniz için güvenlik önlemleriydi geriye sadece sunucunun güvenli olması kalıyor

9.) Güvenliği iyi olan bir sunucu

Host tavsiyem tekrar söylüyorum kesinlikle bluehost ve secureserver.

Hostgator çok tavsiye ediliyor gördüğüm bazı forumlarda tavsiye etmiyorum cloudlinux yok! Sadece symlink bypass engeli var birde bir kaç komut engelli zorlanırsa geçilebilir.

Nic gibi firmalarda hackleniyor " dns hijacking " yöntemiyle yani sitenin kendisi değilde bulunduğu sunucu hacklenip dns yönlendirme yapılarak anasayfa index dosyasının değiştirilmesiyle yapılan hack girişimi Örnek bazı siteler ; http://www.zone-h.org/archive/notifi...gi.info/page=3

Onun için tekrar söylüyorum secureserver yada bluehost !!!

Şuan aklıma gelenler bunlar faydalı olması dileğiyle.
 

Users who are viewing this thread

Top