Farklı Saldırı Methodlarına da Hazırlıklı mısınız? (Site Güvenliği)

Farklı Saldırı Methodlarına da Hazırlıklı mısınız? (Site Güvenliği)

Güvenlik 16 Şubat 2022 - 22:57:18 185 Gösterim 0 Yorum

Sql Injection, Xss gibi bazı açıkları tarayıcı ve yazılım dili önleyebiliyor artık. Fakat hala siber güvenlik, website güvenliği konusuna ne zaman araştırma yapsam hep aynı içerikleri tekrar tekrar yazmışlar. Xss'i tarayıcı bile algılıyor artık. Sql Incejtion ise PDO ile tarihe karıştı resmen. Artık sizde kendinizi farklı methodlarda geliştirin. Hacker, lamer gibi düşünmeye başlayın ve size nereden zarar vereceğini kestirin.

Rusya-Ukrayna gerilimi siber saldırı ile resmen tavan yaptı. Birçok websitesi saatlerce kullanılamaz hale geldi. Adamlar FTP şifresine saldırı atıp index basmaya uğraşmıyorlar artık. Network kilitleme çağın en büyük sorunu gibi gözüküyor. Rakip firmalardan bende ara ara ağ saldırıları alıyorum. Bu nedenle güvenliği sağlamak artık zaruri.

Ben Hacklenmem Demeyin

"Beni kimse hackleyemez" ne de iddialı bir cümle değil mi? Hackerlar çok iyi yazılım bilen harika bilgisayar sistemleri kullanan, insanlardan oluşmaz. Hackerlar denemeyi seven filozoflardır. Bir şeyi kafaya koyduysa onu bulmak için milyon tane deneme yapabilirler. Bir forma sahipsinizdir, formdan gelen veriyi PHP ile filtrelemezsiniz sonrasında SQL injection oluşabilir. Sitenizin barındığı hostta bazı saldırı fonksiyonları açıktır(shell gibi) kontrolü kaybedebilirsiniz.

Öyle bir kaybedersiniz ki siteye admin girişi yaptığınızda SESSION taklit edip sizin gibi gözükebilir sızmaya çalışan. Bu nedenle farklı saldırı methodları konusunda düşünerek beyin fırtınası yaparak güvenliğinizi geliştirin.

Benim düşündüğüm bazı başlıkları buraya ekleyeyim. Sizde farklı bir konunun yararlı olacağını düşünüyorsanız yorum olarak bu yazı altına ekleyebilirsiniz;

Admin Girişine Limit Koyma

Sitenize sızmak için şifrenizi tahmin etmeye çalışan birçok uygulama mevcut. Bu uygulama zamanlama ile belirli bir saniyede bir şifrenizi kırmak için giriş yapmayı dener. Bu atak türünden korunmak için bir kontrol mekanizması geliştirebilirsiniz. Örneğin şuan kullandığım blog sisteminde bu kontrol mekanizmasını kodladım. Hatalı olarak 2 defa giriş deneyebilir 24 saat içerisinde. Eğer Wordpress kullanıyorsanız Wordfence Login Security kullanabilirsiniz.

Admin için Statik IP

Bu biraz daha paronayak türde koruma bana göre. Bunun için bir ofisiniz varsa ve işleri oradan yürütüyorsanız internet servis sağlayıcınızdan statik ip hizmeti alarak sadece o ip üzerinden sitenizin yönetim paneline erişilebilir kılabilirsiniz. Bunun için eğer Wordpress kullanıyorsanız yine eklenti araştırabilirsiniz.(Bu eklenti var fakat ismini hatırlamıyorum)

Arama Sorguları

Sitenizde bir arama kutusu varsa yoğun trafikli zamanlarda rakipler ziyaretçileri kaçırmak için bu alana saldırı düzenleyebilir. Büyük e-ticaret sitelerine en fazla yapılan saldırı atağı bu yönde. Özellikle bu muhteşem çarşamba kara perşembe aydınlık cuma tarzda indirim günleri ve haftalarında dikkat ederseniz saldırı alan site kaynaklarını daha fazla ziyaretçiye paylaştırabilmek için arama formlarını kapatabiliyor. Kapatabilir veya sorgu harf limiti getirebilirsiniz. Minimum 5 harfli bir arama gibi. Ek bir veritabanı hizmeti sağlayıp bunların kaydını tutup ip adresine göre aynı aramayı kısıtlayabilirsiniz. Mevcut veritabanında da yapabilirsiniz fakat fazlasıyla şişkinlik oluşturacaktır.

DNS ve Whois Gizleme

Domainlerinizin Whoislerini gizleyerek spam e-postaların önüne geçebilirsiniz. Bu hizmeti bazı firmalar ücretsiz sunarken bazı firmalar bu hizmet için ücret istemektedir. DNS konusunda Cloudflare tarzında bir sisteme geçebilirsiniz. Bu saldırıyı planlayan kişinin, sitenizin NS adreslerini öğrenmek için bir mücadele vermesi gerekiyor. Öğrenemez mi? öğrenebilir. Ama en azından bir süre saldırıya hazırlanan kişinin vaktini boşa harcaması anlamına gelir.

Ayrıca Cloudflare Layer7 saldırılarına kadar ücretsiz hizmet vermektedir. Saldırgan ziyaretleri süzerek normal kullanıcının sitenize erişmesine devam etmesini sağlıyor.

Güvenli Hosting

Sunucu, VPS, DC farketmez. Yer sağlayıcınız güvenlik ekipmanları ve yazılımları kullanıyorsa saldırılarda minimum zararla atlatırsınız. Yazılımsal güvenlik duvarlarının yanı sıra fiziksel güvenlik duvarları da bazı datacenterlarda bulunuyor. Ben OVH kullanıyorum ve bu hizmet sunucunun olduğu her kabinde mevcut.

Güncel Yazılım

Yazılımınız ne olursa olsun güncel olması en önemli konulardan birisi. Güncellemeler genellikle tespit edilen açıkların kapatıldığı düzenlemelerdir. Eğer kendi yazılımınızı kullanıyorsanız da sürekli olarak yenilikleri uygulamak zorundasınız.Teknoloji ilerliyor.

Ücretli ve Destek Sağlayan Panel

Hosting firmasını seçerken bir başka dikkat etmeniz gereken konu kullanacağınız yönetim panelidir. Cpanel'in tekil kullanım ücreti 30 dolar civarında. Fakat birçok hosting firması çok uygun fiyattan paylaşımlı hosting sağlayabiliyor. Bu onların lisans fiyatlarını çok çok uyguna temin edebilmeleri anlamına gelirken, bazı firmalar(sözüm meclisten dışarı) lisanssız sahte kırık diye tabir edebileceğimiz şeklini kullanması. Bu durumda sitenizde sizin kontrolünüzde olmayan açıklar oluşmasına neden olabilir.

Cpanel ve Plesk panel kullanmanızı öneririm. Diğer ücretli panel kullanıp memnun kalanlar yine yorumdan bildirirse beyin fırtınası yapmış oluruz.

Kullanım amacınıza göre kaynak tüketen yazılımlar türetin

Bu ne demek biraz açalım. Örneğin sadece blog sitesi olarak kullanıyorsunuz ve içeriği sadece siz ekliyorsunuz. O halde yorum bölümünü kapatabilirsiniz. Bunun için hizmet veren uygulama ve projeler var disqus gibi. O hizmetleri kullanıp kendi yorum bölümünüzü devre dışı bırakabilirsiniz. Biraz daha paronayak olalım mı :) O halde sadece içerik gireceğinizde PHPmyadmin üzerinden mevcut kullanıcıza INSERT özelliğini aktifleştirin. İçerik ekleme işiniz bittiğinde bu yetkiyi geri kaldırın. Kesinlikle alter crate gibi yetkileri kullanıcılarınıza vermeyin.

Hosting güvenliğinden anlamıyorsanız bu işi yapacak birini bulun

Site güvenliği önemli. Eğer tüm bu yukarıda yazdıklarım size ulaşılmaz geliyorsa bu işten anlayan bir arkadaş edinmenizde fayda var. Ben asosyalim arkadaş bulamam diyorsanızda bu işi yapan firmalarla çalışın projenizi çalışmanızı riske atmayın. Örneğin Wordpress kullanıyorsanız Automatic'ten hosting hizmeti CDN hizmeti alabilirsiniz. E-ticaret ile uğraşıyorsanız profesyonel e-ticaret paketleri satın alıp işe girişmenizde yine fayda var. Çünkü sitenin yönetimi hariç herşey firmada. Hosting sağlayıcıları da onlar.

Admin Panelsiz Projeler

Bu paronayaklığın en üst düzeyi olabilir ama en güvenli yönetim sistemlerinden biridir. Ben hayal edemezken r10 üzerinden tanıştığım bir dostum sitelerini bu şekilde dizayn edip yönetiyordu. Önceleri anlamlandıramazken, şimdilerde çok hak vermeye başladım. Yönetim paneli olmayan siteler için içeriği PHPmyadminden eklemek. Evet doğru anladınız. Phpmyadmine giriş yapıp daha önce bilgisayarımızda hazırladığımız içeriği giriyoruz. Çok uğraştırıcı bir yöntem ama güvenlik maksimum düzeyde.

Bunu biraz geliştirip şöyle yapabiliriz. Bir Api sistemi yapıp verileri gönderip siteye içeriği ekletmek. Api ile olursa ister masaüstü bir uygulama istersenizde mobil uygulama geliştirilip cihaz üzerinden kontrol sağlanabilir. Api sürekli olarak değişir. Her içerik gönderildiğinde api anahtarınız değişir, önceki doğru apiyi gönderen cihaza yeni api anahtarı otomatik olarak kayıt olur. Böylece izi sürülemez.

Tüm bu başlıklar süzme biçme kontrol etme gibi birçok yazılım metodlarından yoksun, sızma ve XSS atakları konu edinmeden basit şekilde kendi güvenlik methodlarınızı geliştirebileceğiniz başlıklardır. Size ilham vermesi açısından paylaştım, daha da geliştirilebilir her başlık. Mesela son başlıkta ben bir geliştirme düşüncesi ekledim. Böylece en güvenli en gelişmiş sisteme sahip olmayı amaçlayabiliriz.

Yorum Yapılmamış

Bu yazıya henüz bir yorum yapılmamış, hemen bir tane yapmak ister misin ?

Yorum Yapın