Neden mi bakın iyi düşünün oscommerce nin çalışması için:
SERVER' da SAFE MOD un kesinlikle kapalı olması gerekiyor, halbuki host işi ile uğraşan kişiler özellikle çeşitli saldırılardan server'ı korumak için safe mod u açmaktadırlar, herhalde bunda hemfikirizdir ?
Gelelim 2. olaya REGISTER_GLOBAL in KAPALI olması gerekiyor ki buda bir güvenlik açığı oluşturabiliyor server'da bakın inceleyelim biraz bunu;
register_globals=on
olduÄŸu zaman adres bardaki http://www.domain.com/?xx=1
xx deÄŸiÅŸkenini direk $xx olarak kullanabiliyorsunuz.
kapalı olduğu zaman aynı değişken+değere ulaşmanız için
$_GET['xx'] farkı bu.
PEKÄ° BÄ°R TEHLÄ°KESÄ° VAR MI ?
"register_globals belirteci (directive) PHP 4.2.0 ve üstü sürümlerde ön tanımlı olarak kapalı halde (değeri OFF) gelir. Bu belirtecin açık (değeri ON)olması doğrudan güvenlik açığı oluşturmasa da ciddi bir tehlike oluşturduğundan değerine dikkat edilmesi gereklidir."
ÖRNEK KOD:
<?
if (yetkili_kulanici())
{
$authorized= true;
}
if ($authorized)
{
include'/cok/onemli/bilgi.php';
}
?><? if (yetkili_kulanici()) { $authorized= true; } if ($authorized) { include'/cok/onemli/bilgi.php'; } ?>register_globals'ın açık olması durumunda bu sayfa adres satırına ?authorized=1 eklenerek çağırıldığında çok önemli bilgiye ulaşılmış olur.Yani kısacası siz istediğiniz kadar oscommerce nin güvenliğinden emin olun ama sonucda oscommerce yi yayınlayacağınız serverda safe mod kapalı ve register global açık olduğu sürece BİR RİSK ALTINDA OLACAKSINIZ.
Peki bu durumda sizce oscommerce ne kadar güvenli
Hala güvenli olduğunu düşünüyormusunuz
( ben düşünmüyorum ) Sonuc olarak şunu diyebilirim ki oscommerce ne kadar güvenli olursa olsun kendisi bir açıktır ...
