[rootturkhacks.com~]
duyuru LiNK KISALTMAK / TEMA VEYA SCRiPT iSTEĞiNDE BULUNMAK YASAKTIR!
duyuru GiZLi iÇERiKLERE "asdafsdfsdf" TARZI YORUM YAPMAK BAN SEBEBIDIR !
hack forum

Sistem güvenliği testi için sızma testi önerileri

#1
merhaba,

yeni bir script yazıyorum uzunca bir süredir. tasarımda daha rahat düzenlemeler yapayım diye. framework ile değil, ajax ile çalışmaya giriştim. daha rahattan kastım, arkada php önde html. her neyse, işlevleri test etme açısından da kolaylık oldu böyle ama, iş bitince yii2'e entegre edeyim dedim. yapı beklediğim gibi çıkmayınca, birde aynı işi sanki iki defa yapıyormuş gibi olacağımdan, vazgeçtim. zaten sunucu tarafında işlenecek tüm verileri, clientte gerçekleşecek tüm olayları yazdım madem, oturum yönetim sisteminide kendim yapayım dedim. otaya kendi web programım çıktı işte. ancak güvenlik konusunda ne kadar yeterliyim bilmiyorum. session ve cookiler için birkaç gün harcadım. cookileri bir dizi içerisine alıp şifreleyerek, daha sonrasında deşifre ederek ve parçalayarak kullanıyorum. session ve cookilerin tamamı ise http only ve security on şeklinde. oturum sessionda saklandığından, bildiğim kadarıyla çalınma ihtimalı çok düşük, yinede birkaç kontrol mekanizması geliştirdim. giriş esnasında oturuma atanan kimliği veritabanına kaydediyorum, daha sonra anlık olarak oturuma eşit olup olmadığını sorguluyorum falan. tabi oturum güvenliği o kadarda mühim değil, önemli olan veritabanı güvenliği. neredeyse tüm linkler ön tanımlı, get ile sql sorgusu yaptığımı da hatırlamıyorum. basit sql injection denemeleri gerçekleştirerek insert yaptığım alanlarıda test ettim. yine de sonuç olarak ben bir sitenin nasıl yapılacağını biliyorum, sitenin nasıl yıkılacağını değil. tahmin ve varsayım üretiyorum ama bu alanda uğraşmadığımdan, benim yaptığım testleri önemli bulmuyorum. bu arada yol yakınken session yerine token ile oturum yönetimini gerçekleştirmemi tavsiye eder misiniz? tecrübeli arkadaşlardan kendi scriptimi nasıl yıkacağıma dair cevapları bekliyorum.
Alıntı
#2
http only ve security on
HİÇ BİR İŞE YARAMAZ SİTENİN COOKILERİ RAHATLIKLA OKUNUR
-
Öncelikle her post alanında inptunda mutlaka hidden token olsun aynı zamanda arka plandada session güvenliği sağla
Genelde herkez ikisinden birini yapar ama ikisini yapmak çok önemli çünkü iframeden dolayı zaten bunu biliyorsundur
-
İkinci olarak PDO kullan zaten PDO kullandıysan SQL inj.den korkma hiç bir şey olmaz sen genede filitrele
-
İnputları backende çok sağlam kontrol et.
-
mümkün olduğunca cookie kullanmaktan kaçın cookie kullanacaksan
hem cooike tokeni hemde kullanıcının taraycısını kaydet ve onuda md5+sha ile şifrele dbde
-
Klasörlerin içinde index.html koy bunun sebebi genelde yazılımcılar ngnix server veya apacheden kullananlar diri kapatır diye yapmıyor bunu sen yap
-

Şimdilik bunlar kolay gelsin ayrıntıları pm olarak at bi bakalım projene
Alıntı
#3
(03-31-2020, 09:21 AM)mrdnd demiş ki: Ziyaretçiler Mesajlardaki Linki Göremez.

İçerikten Tam Olarak Yararlanmak İçin Lütfen BURAYA Tıklayarak Üye Olunuz !
http only ve security on
HİÇ BİR İŞE YARAMAZ SİTENİN COOKILERİ RAHATLIKLA OKUNUR
-
Öncelikle her post alanında inptunda mutlaka hidden token olsun aynı zamanda arka plandada session güvenliği sağla
Genelde herkez ikisinden birini yapar ama ikisini yapmak çok önemli çünkü iframeden dolayı zaten bunu biliyorsundur
-
İkinci olarak PDO kullan zaten PDO kullandıysan SQL inj.den korkma hiç bir şey olmaz sen genede filitrele
-
İnputları backende çok sağlam kontrol et.
-
mümkün olduğunca cookie kullanmaktan kaçın cookie kullanacaksan
hem cooike tokeni hemde kullanıcının taraycısını kaydet ve onuda md5+sha ile şifrele dbde
-
Klasörlerin içinde index.html koy bunun sebebi genelde yazılımcılar ngnix server veya apacheden kullananlar diri kapatır diye yapmıyor bunu sen yap
-

Şimdilik bunlar kolay gelsin ayrıntıları pm olarak at bi bakalım projene
bütün postlarda hidden input mevcut ve yapılan tüm post istekleri tek bir classdan kontrol ediliyor
tüm oturum sessionlar üzerinden gerçekleşiyor cooki sadece screenlock ekranı yapmak için kullandım kullanıcı çıkış yaptıktan sonra eposta resim ve isim bilgisini saklayarak geri geldiğinde sadece şifresini girmesi yeterli olsun diye

bütün dizinlerde index.php var ana dizine yönlendirme yapıyor
tamamen bittiğinde dizinlerin okuma yazma olaylarını değiştireceğim duruma göre. php 7.2 sürümüyle mysql veritabanında çalışıyorum bunu da yazayımda pdo tavsiyesi almayım bir daha : ) ben konuda da dediğim gibi önemlerimi aldım bildiğimce, bekledim cevaplar bu önlemleri nasıl kırabileceğime dair.
Alıntı
#4
(03-31-2020, 09:33 AM)percl demiş ki: Ziyaretçiler Mesajlardaki Linki Göremez.

İçerikten Tam Olarak Yararlanmak İçin Lütfen BURAYA Tıklayarak Üye Olunuz !
(03-31-2020, 09:21 AM)mrdnd demiş ki: Ziyaretçiler Mesajlardaki Linki Göremez.

İçerikten Tam Olarak Yararlanmak İçin Lütfen BURAYA Tıklayarak Üye Olunuz !
http only ve security on
HİÇ BİR İŞE YARAMAZ SİTENİN COOKILERİ RAHATLIKLA OKUNUR
-
Öncelikle her post alanında inptunda mutlaka hidden token olsun aynı zamanda arka plandada session güvenliği sağla
Genelde herkez ikisinden birini yapar ama ikisini yapmak çok önemli çünkü iframeden dolayı zaten bunu biliyorsundur
-
İkinci olarak PDO kullan zaten PDO kullandıysan SQL inj.den korkma hiç bir şey olmaz sen genede filitrele
-
İnputları backende çok sağlam kontrol et.
-
mümkün olduğunca cookie kullanmaktan kaçın cookie kullanacaksan
hem cooike tokeni hemde kullanıcının taraycısını kaydet ve onuda md5+sha ile şifrele dbde
-
Klasörlerin içinde index.html koy bunun sebebi genelde yazılımcılar ngnix server veya apacheden kullananlar diri kapatır diye yapmıyor bunu sen yap
-

Şimdilik bunlar kolay gelsin ayrıntıları pm olarak at bi bakalım projene
bütün postlarda hidden input mevcut ve yapılan tüm post istekleri tek bir classdan kontrol ediliyor
tüm oturum sessionlar üzerinden gerçekleşiyor cooki sadece screenlock ekranı yapmak için kullandım kullanıcı çıkış yaptıktan sonra eposta resim ve isim bilgisini saklayarak geri geldiğinde sadece şifresini girmesi yeterli olsun diye

bütün dizinlerde index.php var ana dizine yönlendirme yapıyor
tamamen bittiğinde dizinlerin okuma yazma olaylarını değiştireceğim duruma göre. php 7.2 sürümüyle mysql veritabanında çalışıyorum bunu da yazayımda pdo tavsiyesi almayım bir daha : ) ben konuda da dediğim gibi önemlerimi aldım bildiğimce, bekledim cevaplar bu önlemleri nasıl kırabileceğime dair.


Konuyu tam okumamanın cezası Big Grin

Bu önlemleri alan birinin yazılımsal olarak açık vereceğini düşünmüyorum. Sadece müşteri server side sıkıntı yaşarsa yaşar.
Tebrik ederim kolay gelsin...
Alıntı
#5
(03-31-2020, 09:33 AM)percl demiş ki: Ziyaretçiler Mesajlardaki Linki Göremez.

İçerikten Tam Olarak Yararlanmak İçin Lütfen BURAYA Tıklayarak Üye Olunuz !
(03-31-2020, 09:21 AM)mrdnd demiş ki: Ziyaretçiler Mesajlardaki Linki Göremez.

İçerikten Tam Olarak Yararlanmak İçin Lütfen BURAYA Tıklayarak Üye Olunuz !
http only ve security on
HİÇ BİR İŞE YARAMAZ SİTENİN COOKILERİ RAHATLIKLA OKUNUR
-
Öncelikle her post alanında inptunda mutlaka hidden token olsun aynı zamanda arka plandada session güvenliği sağla
Genelde herkez ikisinden birini yapar ama ikisini yapmak çok önemli çünkü iframeden dolayı zaten bunu biliyorsundur
-
İkinci olarak PDO kullan zaten PDO kullandıysan SQL inj.den korkma hiç bir şey olmaz sen genede filitrele
-
İnputları backende çok sağlam kontrol et.
-
mümkün olduğunca cookie kullanmaktan kaçın cookie kullanacaksan
hem cooike tokeni hemde kullanıcının taraycısını kaydet ve onuda md5+sha ile şifrele dbde
-
Klasörlerin içinde index.html koy bunun sebebi genelde yazılımcılar ngnix server veya apacheden kullananlar diri kapatır diye yapmıyor bunu sen yap
-

Şimdilik bunlar kolay gelsin ayrıntıları pm olarak at bi bakalım projene
bütün postlarda hidden input mevcut ve yapılan tüm post istekleri tek bir classdan kontrol ediliyor
tüm oturum sessionlar üzerinden gerçekleşiyor cooki sadece screenlock ekranı yapmak için kullandım kullanıcı çıkış yaptıktan sonra eposta resim ve isim bilgisini saklayarak geri geldiğinde sadece şifresini girmesi yeterli olsun diye

bütün dizinlerde index.php var ana dizine yönlendirme yapıyor
tamamen bittiğinde dizinlerin okuma yazma olaylarını değiştireceğim duruma göre. php 7.2 sürümüyle mysql veritabanında çalışıyorum bunu da yazayımda pdo tavsiyesi almayım bir daha : ) ben konuda da dediğim gibi önemlerimi aldım bildiğimce, bekledim cevaplar bu önlemleri nasıl kırabileceğime dair.

Merkez bankasinimi kodluyosun ustad Big Grin
Alıntı
#6
(03-31-2020, 09:36 AM)mrdnd demiş ki: Ziyaretçiler Mesajlardaki Linki Göremez.

İçerikten Tam Olarak Yararlanmak İçin Lütfen BURAYA Tıklayarak Üye Olunuz !
(03-31-2020, 09:33 AM)percl demiş ki: Ziyaretçiler Mesajlardaki Linki Göremez.

İçerikten Tam Olarak Yararlanmak İçin Lütfen BURAYA Tıklayarak Üye Olunuz !
(03-31-2020, 09:21 AM)mrdnd demiş ki: Ziyaretçiler Mesajlardaki Linki Göremez.

İçerikten Tam Olarak Yararlanmak İçin Lütfen BURAYA Tıklayarak Üye Olunuz !
http only ve security on
HİÇ BİR İŞE YARAMAZ SİTENİN COOKILERİ RAHATLIKLA OKUNUR
-
Öncelikle her post alanında inptunda mutlaka hidden token olsun aynı zamanda arka plandada session güvenliği sağla
Genelde herkez ikisinden birini yapar ama ikisini yapmak çok önemli çünkü iframeden dolayı zaten bunu biliyorsundur
-
İkinci olarak PDO kullan zaten PDO kullandıysan SQL inj.den korkma hiç bir şey olmaz sen genede filitrele
-
İnputları backende çok sağlam kontrol et.
-
mümkün olduğunca cookie kullanmaktan kaçın cookie kullanacaksan
hem cooike tokeni hemde kullanıcının taraycısını kaydet ve onuda md5+sha ile şifrele dbde
-
Klasörlerin içinde index.html koy bunun sebebi genelde yazılımcılar ngnix server veya apacheden kullananlar diri kapatır diye yapmıyor bunu sen yap
-

Şimdilik bunlar kolay gelsin ayrıntıları pm olarak at bi bakalım projene
bütün postlarda hidden input mevcut ve yapılan tüm post istekleri tek bir classdan kontrol ediliyor
tüm oturum sessionlar üzerinden gerçekleşiyor cooki sadece screenlock ekranı yapmak için kullandım kullanıcı çıkış yaptıktan sonra eposta resim ve isim bilgisini saklayarak geri geldiğinde sadece şifresini girmesi yeterli olsun diye

bütün dizinlerde index.php var ana dizine yönlendirme yapıyor
tamamen bittiğinde dizinlerin okuma yazma olaylarını değiştireceğim duruma göre. php 7.2 sürümüyle mysql veritabanında çalışıyorum bunu da yazayımda pdo tavsiyesi almayım bir daha : ) ben konuda da dediğim gibi önemlerimi aldım bildiğimce, bekledim cevaplar bu önlemleri nasıl kırabileceğime dair.


Konuyu tam okumamanın cezası Big Grin

Bu önlemleri alan birinin yazılımsal olarak açık vereceğini düşünmüyorum. Sadece müşteri server side sıkıntı yaşarsa yaşar.
Tebrik ederim kolay gelsin...

cevabınız için teşekkür ederim.


(03-31-2020, 09:41 AM)Ersever demiş ki: Ziyaretçiler Mesajlardaki Linki Göremez.

İçerikten Tam Olarak Yararlanmak İçin Lütfen BURAYA Tıklayarak Üye Olunuz !
(03-31-2020, 09:33 AM)percl demiş ki: Ziyaretçiler Mesajlardaki Linki Göremez.

İçerikten Tam Olarak Yararlanmak İçin Lütfen BURAYA Tıklayarak Üye Olunuz !
(03-31-2020, 09:21 AM)mrdnd demiş ki: Ziyaretçiler Mesajlardaki Linki Göremez.

İçerikten Tam Olarak Yararlanmak İçin Lütfen BURAYA Tıklayarak Üye Olunuz !
http only ve security on
HİÇ BİR İŞE YARAMAZ SİTENİN COOKILERİ RAHATLIKLA OKUNUR
-
Öncelikle her post alanında inptunda mutlaka hidden token olsun aynı zamanda arka plandada session güvenliği sağla
Genelde herkez ikisinden birini yapar ama ikisini yapmak çok önemli çünkü iframeden dolayı zaten bunu biliyorsundur
-
İkinci olarak PDO kullan zaten PDO kullandıysan SQL inj.den korkma hiç bir şey olmaz sen genede filitrele
-
İnputları backende çok sağlam kontrol et.
-
mümkün olduğunca cookie kullanmaktan kaçın cookie kullanacaksan
hem cooike tokeni hemde kullanıcının taraycısını kaydet ve onuda md5+sha ile şifrele dbde
-
Klasörlerin içinde index.html koy bunun sebebi genelde yazılımcılar ngnix server veya apacheden kullananlar diri kapatır diye yapmıyor bunu sen yap
-

Şimdilik bunlar kolay gelsin ayrıntıları pm olarak at bi bakalım projene
bütün postlarda hidden input mevcut ve yapılan tüm post istekleri tek bir classdan kontrol ediliyor
tüm oturum sessionlar üzerinden gerçekleşiyor cooki sadece screenlock ekranı yapmak için kullandım kullanıcı çıkış yaptıktan sonra eposta resim ve isim bilgisini saklayarak geri geldiğinde sadece şifresini girmesi yeterli olsun diye

bütün dizinlerde index.php var ana dizine yönlendirme yapıyor
tamamen bittiğinde dizinlerin okuma yazma olaylarını değiştireceğim duruma göre. php 7.2 sürümüyle mysql veritabanında çalışıyorum bunu da yazayımda pdo tavsiyesi almayım bir daha : ) ben konuda da dediğim gibi önemlerimi aldım bildiğimce, bekledim cevaplar bu önlemleri nasıl kırabileceğime dair.

Merkez bankasinimi kodluyosun ustad Big Grin

müşteri takibi ve veritabanına kaydedilen verilerin üzerinden bazı hesaplamalar gerçekleştirip veriyi analiz ederek kişiye sunan bir sistem

bu konuda tecrübeli arkadaşlardan cevap bekliyorum hala
Alıntı
#7
Bence token ile oturum acmak mantıklı büyük yazılımların genelınde token ile oturum açma sistemi kullanılmaktadır. tavsiyem bu olur sana diğer konularda güvenlikte sıkıntı yaşadğın nokta olursa yardımcı oluruz.Token ile alakalı sıkıntın olursada yardımcı olurum ayrıca kac anahtardan oluşturucan da önemli
imza
I'm not a hacker, I'm security professional

[Resim: Z93lN0.gif]
Alıntı


Benzer Konular...
Konu: Yazar Cevaplar: Gösterim: Son Mesaj
Video Android Cihazı Hackleme [Webcam Sızma][Video] CyberHost 81 5,639 Dün, 02:20 PM
Son Mesaj: drjacob
  Hack Arşivi Linux (Yeniler için) CyberHost 91 5,604 07-27-2020, 02:36 PM
Son Mesaj: theplucky
  Web Uygulama Güvenliği ve Hacking Yöntemleri darkCOD3R 6 133 07-25-2020, 05:02 PM
Son Mesaj: Toldo06
  Tam Gizlilik İçin Neler Yapılmalı? Hataylee 0 51 06-09-2020, 06:35 PM
Son Mesaj: Hataylee
  Google Hack Testi gravyer peyniri OrganikPiskos 0 70 06-08-2020, 07:38 PM
Son Mesaj: OrganikPiskos



Bu konuyu görüntüleyen kullanıcı(lar): 1 Ziyaretçi
brazzers premium accounts izmit escort En iyi bahis siteleri porno beylikdüzü escort avcılar escort eskişehir escort porno cami halısı izmir eskort vdcasino kurtköy escort