Cyber-Warrior.Org \ Doküman \ Web Güvenlik Açıkları

S.A Arkadaslar bu yazi dizisinde Web Siteniz neden hacklenir, nasil hacklenir bunlara bakip güvenligini nasil saglayacagimizi ögrenecegiz.

1. Domain Güvenligi ( Alan Adi Güvenligi );

Öncelikle dikkat etmemiz gereken husus, güvenli bir web sitesi istiyorsaniz kaliteli bir yerden domain almaniz gerekmektedir. Örnegin MSN’den satis yapan bir kisiden domain aldiginizi düsünün veya bir arkadasinizdan veya hostcunuzdan yani kisacasi domain yönetim panelinizin sizde olmadigini düsünün. Daha sonraki günlerde o kisi ile ters düserseniz domaininizi unutabilirsiniz. Hem domain aldiginiz kisinin hackledigini düsünsenize, sizin hataniz yok burada ve kurban sizsiniz. Böyle bir olay yasanmasini istemiyorsaniz Alan Adinizi güvenli yerlerden ve kendinize ait bir panelden almalisiniz…

1.1 Domain Firmalari Ne kadar güvenli?

Güvenliginizin sizin elinizde olmadigi bir durum daha; domain firmaniz ne kadar güvenli? Üzülerek söylüyorum ki ben Türk domain firmalarina güvenmiyorum! Firmalarin sistemlerindeki açiklari bir yana birakalim basit bir sosyal mühendislik ile domainlerinizi baskalari ele geçirebiliyor. Firmalardaki sistem açiklari dedik, peki bunlar nelerdir. Örnek verecek olursak, en basitinden Onlinenic ve ResellerClub firmalarindaki CSRF açiklari; bunlari kullanarak size tiklattiklari bir link sayesinde bile domainlerinizi kaybedebilirsiniz. Durumun ciddiyetini görebildiniz mi? Güvenli firmalardan birkaç öneride bulunayim…
www.godaddy.com
www.gandi.net

1.2 Domainlerizin güvenligi için size düsenler;

Alan Adinizin hangi maille alindigini ve bunlarin disinda birkaç bilginizi daha gösteren bazi whois siteleri vardir, bu bilgiler herkes tarafindan görülebilmektedir. Öncelikle, mailinizin hacklenmesi ile domainlerinizinde hacklenebilecegini bilmenizi isterim. Kisa bir açiklama ile anlatayim, mailiniz baskasinin elinde ve o kiside domain aldiginiz firmanin sitesine girerek “Parolami Unuttum” özelligini kullaniyor ve sizin mailinizi yazarak parola sifirlama isteginde bulunuyor, son olaraktan maile girip sifrenizi görebiliyor. O halde ne yapmaliyiz? Whois bilgilerini dogru olarak vermemiz pek saglikli degil. Domain alacaginiz hesabin maili daha önce kullanmadiginiz bir mail olmali, kimse bilmemeleri, görememeli ve o maili baska hiçbir islemde kullanmamalisiniz. Alan adlariyla ilgili bir islemde kullanilmasi gerekirse de güvenliginden emin oldugunuz bir bilgisayarda açmalisiniz. Mailiniz hacklenmesi ile domainlerinizin hacklenecegini de söylemistik, bu durumda bilgisayarinizin güvenliginide saglamalisin. Trojan, keylogger gibi yazilimlara karsi Firewall ( Güvenlik Duvari ) ve Anti-Virüs kullanmalisiniz…

2. Hosting Güvenligi ( Alan Güvenligi );

Domain Güvenligi kisminda anlattigimiz olaylarin birçogu Hosting Güvenligi için de geçerlidir. Nerelerden host almaliyiz? Hosting Firmamiz kaç yildir ayakta? Serverlari lisanslimi? Serverlar ne kadar güvenli?
Son sorudan baslayalim arkadaslar. Örnek vererek açiklayayim, bazi Hacker özentisi kisiler yeni ögrendikleri Server Rooting islemini uygulamasi sirasinda, kobay olarak sizin serverinizi seçebilirler. Sizin suçunuz, hataniz olmadigi halde ayni makinede bulundugunuz baska bir siteden bu islem gerçeklestirilebilir. Daha önce yayinlanmis exploitler ile serverdaki tüm siteler üzerinde söz sahibi olabilir, index atabilirler. Bunlara karsilik host alicaginiz firmadan serverlari hakkinda bilgi isteyiniz, güncelleme araliklari, kullandiklari sürüm vs. Zaten sürümü ögrendiginiz de google amca sayesinde o sürüme ait exploitlerin olup olmadigini ögrenebilirsiniz.
Hosting firmamiz kaç yildir hizmet veriyor? Burasi önemli arkadaslar. Çünkü host aliyorsunuz, aldiginiz yer kalitesiz bir yer çikiyor ve 3-5 ay sonra kapaniyor, ücretler ise yillik aliniyor. Bu durumda yilin birçok ayi hizmet alamayip baska bir yere tekrar para ödeyip hizmet almaniz gerekiyor.
Hosting önerilerimiz;

www.cyber-line.net
www.internetsahibi.net
www.kurumsalcozumler.net

3. Script Güvenligi;

Bu bölümde Web Sitemize kurdugumuz scriptlerin güvenligi hakkinda konusacagiz. Amatör, bir sey bilemeyen, hacker özentisi kisiler yani lamerler tarafindan hacklenmek istemiyorsaniz, sitemize kurdugumuz scriptlerin güvenli oldugundan emin olmaliyiz. Peki, bu nasil olacak? Çok basit yollar var. Ilki, scripti yayinlayan firmanin sitesini düzenli olarak kontrol etmeliyiz, güncel sürümler çiktiginda sitemizdeki scripti yenisi ile degistirmeliyiz. Ikinci ise, sürümünüzün adini google’da aratirsaniz örnegin “xxx 1.1 açigi” gibi bulunan sayfalari biraz incelerseniz zaten anlarsiniz…
Kullandiginiz scriptlerde size ait bir Admin paneli olur, kisacasi orada tüm yetkiler oldugu için yukarida belirttigimiz gibi bilgisayarinizin güvenliginide öncelikli olarak saglamalisiniz.

( Yukaridaki yazida yeni baslayanlar için basit bir dil kullanilmaya özen gösterilmistir. )

Bekir DURSUN
[email protected]