Yeni WHMCS Açığı - Hack Girişimleri - Sayfa 7

21-10-2013, 19:20:12

#55

Üyeliği durduruldu

aslında whmcs gibi dünyaca ünlü olan bir hosting scriptinin bu kadar değişik hizmet vermeleri anlamsız. benim sitemde göçmüştü. allahtan yedeklerim vardıda geri eski haline çevirebildim. Açığı kapatayım derken güncelleme getiriyorlar , oda yetmiyor getirdikleri güncellemede açıklı. Artık sabah iş başı yaparken ilk için hemen whmcs ye giriyorum güncelleme geldimi gelmedimi diye. Paramızla rezil oluyoruz resmen. Bakalım ilerleyen zamanlarda whmcs bize tür süprizler yapacak. Yeni açıklarda nasıl kolaylıkla olacak merak ediyorum.

21-10-2013, 19:26:02

#56

AndyCap

Kimlik doğrulama veya yönetimden onay bekliyor.

Bartuc adlı üyeden alıntı: mesajı görüntüle

mod_security çözüm olmuyor malesef, bypass etmek çok kolay. 2 way authentication zaten tek kullanımlık şifre girişi sağlamakta, en güvenli şifre girişidir.

Biz whmcs kullandığımız sistemde ftp-cpanel vb.. dahil bütün girişleri tamamen kapattık, root şifresi bile öğrenseler bir bağlantı kuramazlar sunucuya. Bütün IP erişimlerini sadece kullandığımız vpn ile sınırladık. Yani guzel.net.tr sunucusunun root şifresini buraya yazsam şuan kimse bağlantı yapıp zarar veremez(tabi test etmeye niyetim yok).

Yazılım tarafında ise, bizlik çok birşey yok malesef. Yani whmcs kullanıyorsak kodlar da şifreli olduğundan testler yapıp açık bulsak bile bildirip güncelleme beklemekten başka çare yok. Bu yüzden malesef mahkumuz whmcs ekibinin güncelleme yapmasını beklemeye. @Elazığlı168 'in de dediği gibi whmcs de bu konuda malesef gereken özeni göstermiyor. Yani bugün ben şirket içi kullanım için kodlayıp halka açık ortamda kullanılmayacak, sadece çalışanlarımız tarafından kullanılacak bir yazılım bile kodladığımda sql injection olayını tamamen ortadan kaldırmış oluyorsam, whmcs gibi bir yazılımın sql injection olayı ilk kodlandığında hallolmuş olmalıydı. Yani üye bilgileri girişi yaparken sql kod çalıştırılıyor, bundan öte acemilik yok bir yazılımcı için. ticketlarda yazılan php kodlar çalışıyordu bir ara, az whmcs bu yolla hacklenmedi. WHMCS'nin yazılımcılarının işvereni ben olsam çoktan bütün ekibi dağıtmıştım. WHMCS'nin bu saçma sapan güvenlik açıkları yüzünden bir gün çöp olacağını ve nasıl whmcs awbs'yi öldürdüyse, adam gibi güvenlik ve whmcs'den verileri import edebilen bir yazılım yapıp whmcs'nin fonksiyonlarını sunan bir yazılım çıktığı anda whmcs'yi öldürür kısa vadede.

mod_Security konusunda size katılmıyorum. "mod_Security zaten bypass edilebiliyor" deyip kestirip atmak 0-day ataklara karşı alınan proaktif önlemleri önemsememek oluyor. Kaldı ki bahsettiğim kural, yayınladıkları SQL injection atakları önlüyor. İnsan yapımı olan herşey hataya açıktır şüphesiz. Burda önemli olan, bu tür ataklara karşı ne seviyede önlemler aldığın.

21-10-2013, 19:38:41

#57

Bartuc

Kurumsal PLUS

AndyCap adlı üyeden alıntı: mesajı görüntüle

mod_Security konusunda size katılmıyorum. "mod_Security zaten bypass edilebiliyor" deyip kestirip atmak 0-day ataklara karşı alınan proaktif önlemleri önemsememek oluyor. Kaldı ki bahsettiğim kural, yayınladıkları SQL injection atakları önlüyor. İnsan yapımı olan herşey hataya açıktır şüphesiz. Burda önemli olan, bu tür ataklara karşı ne seviyede önlemler aldığın.

Şu anlamda yazdım. Hosting işi yapmaktayız. Gönderilen sql injection verisi post olarak gönderilmekte. Dolayısıyla biz post verilerinde sql kodlarını engelleyemeyiz, engellersek müşterilerimiz ilgili konularda bize bildirim gönderemez. Bunun dışında zaten kullanılacak modsec kuralları da işlevsel olmayacaktır.

21-10-2013, 20:25:40

#58

AndyCap

Neden engellenemez? :S mod_Security'de ARGS ve ARGS_* türevi değişkenler post payloadlar için kullanılıyor. Bu şekilde request_uri veya request_header alanında regex kullanarak istediğin filtrelemeyi yapabiliyorsun. Bunun yanında dönüşüm fonksiyonları da kullanabiliyorsun giriş verileri için.

21-10-2013, 20:28:44

#59

Elazığlı168

sunucuoptimizasyon.com

Mod_security çok esnek bir yapıdır, php üzerinde dönen her türlü işlemi kontrol altında tutabilirsiniz.

Ancak maalesef mod_security kurallarınızı 0-day ataklara karşı anlık olarak konfigüre edebilmeniz güçtür, ortada olmayan bir açık için mod_security kuralı çıkarmak zor iş.

Hele farklı scriptler üzerindeki farklı injeksiyon türleri için süreç zor.

22-10-2013, 00:58:39

#60

~~LineDatacenter~~

Üyeliği durduruldu

merhaba

web sayfamıza gelen bağlantılar arasından gördüm.

http://www.klaipedosliberalai.lt/uf/upload-files/12.php

edit: buralardalar sanırım kaldırmışlar dosyayı