0
Kayıt Ol

WiseCP kullanan firma ve kurumların dikkat etmesi gereken bir kaç husus var.

13

1.442

  • 12-04-2025, 06:25:36
    #1
    Sirketio
    Sirketio
    Konu ile ilgili rahatsızlık duymasından dolayı firmanın ilgili mesaj içeriği düzenlenmiştir.
  • 12-04-2025, 06:30:36
    #2
    NoWitness
    NoWitness
    Size katiliyorum, ben de 2 sene onceki versiyonu komple decode edip kodlarini ve aciklarini incelemistim, cogu kismi cidden korkunc. Yani bunu bir de hosting, sunucu firmalari kullaniyor oyun siteleri degil ki. Ekstra guvenlikli sistemler olmasi gerekirken o kadar bastan savma olduguna sasirmistim.
  • 12-04-2025, 06:33:46
    #3
    Sirketio
    Sirketio
    NoWitness adlı üyeden alıntı: mesajı görüntüle
    Size katiliyorum, ben de 2 sene onceki versiyonu komple decode edip kodlarini ve aciklarini incelemistim, cogu kismi cidden korkunc. Yani bunu bir de hosting, sunucu firmalari kullaniyor oyun siteleri degil ki. Ekstra guvenlikli sistemler olmasi gerekirken o kadar bastan savma olduguna sasirmistim.
    Aslında uzun süredir bu yazılımı takip ediyordum ve genel yapısı hakkında az çok bir fikrim vardı. Ancak zamanım olmadığı için detaylı bir inceleme yapma fırsatım olmamıştı. Geçtiğimiz günlerde biraz vaktim olduğunda, kolları sıvayıp yazılımı detaylı bir şekilde inceledim. Kullanıp kullanmama konusunda bir karar vermek istedim, fakat incelememin ardından bu yazılımdan hızla uzaklaşma kararı aldım. Geliştirici hesabım olduğu için tüm güncellemelere erken erişimim var ve inceleme fırsatını kolaylıkla bulabildim.

    Yukardakilere ek olarak belirtmek isterim ki, lisans sistemi aracılığı ile usulsüz kişisel veri işlemelerine rastladım daha detaylı inceleme yapılsa daha neler çıkacak tahmin bile edemiyorum.
  • 12-04-2025, 08:17:16
    #4
    CSA
    CSA
    Digital Agency
    Srylius adlı üyeden alıntı: mesajı görüntüle
    Konuya başlamadan önce belirtmek isterim ki, bu durum herhangi bir karalama veya baltalama amacı taşımamaktadır.

    Zaman zaman güvenlik açıklarını tespit etmek, incelemeler yapmak ve "nerelerde neler yapılmış" diye kontrol etmek gibi süreçlerim oluyor. Bu kez rotam WiseCP oldu. Uzun süredir dikkatimi çeken ve PurePHP ile günümüze kadar dayanabilen, çıkışı çok eski olmamasına rağmen nadir yazılımlardan biri. Yazılımın kaynak kodlarını incelediğimde, tüm dosyalara doğrudan erişim sağlanabilmesi, kök dizinin dosya depolamasından hariç tutulmaması gibi uygunsuzlukların yanı sıra, veritabanı bağlantıları ile ilgili çok eski ve artık tedavülden kalkmış yöntemlerin kullanıldığını gördüm. Bunun üzerine incelemelerimi biraz daha genişletmeye karar verdim ve yazılımın tüm kaynak kodlarını açarak detaylı bir inceleme fırsatı buldum.

    Kaynak kodları derinlemesine incelediğimde, sayısız uyumsuzluk hatasının yanı sıra boş değerlerin gönderilmesi veya yanlış yerlerde yanlış yöntemlerin tercih edilmesi gibi sorunlarla karşılaştım. Bunun ardından bir açık taraması yapmaya karar verdim. Çünkü bu kadar sorunlu bir sistemin aşılmaması imkânsızdı. Hataları sürümlerle karşılaştırarak, son altı güncelleme ile kaynak kodlarının karşılaştırmasını gerçekleştirdim. Yapılan değişiklikler ve kaynak kod tutarlılığını incelediğimde, şaka gibi bir durumla karşılaştım. Birçok hatanın susturulup, çözüldü diyerek değişiklik günlüğü yayımlandığını fark ettim. Şimdi çok fazla detaya girip yazılımı linç etmek istemiyorum. Hayatımda hiçbir zaman böyle bir şey yapmadım ve kimsenin işini kötülemedim. Ancak bu durum bana iyi niyetli bir çalışma gibi gelmedi.

    Daha sonra şifreleme, veri güvenliği gibi politikalarını nasıl uyguladıklarını incelemeye başladım. XSS, SQL Injection ve benzeri açıkların olup olmadığını kontrol etmek için web sitelerini tek tek incelemek yerine, uçtan uca tüm sistemin kaynak kodlarını analiz ettim. Nerelerde ne gibi açıklar ve büyük hatalar olduğunu detaylıca araştırdım. Açık konuşmak gerekirse, birçok güvenlik açığı, verilerin tam anlamıyla güvenli bir şekilde şifrelenmediği ve sunulan hizmetlerin modül dosyalarının baştan savma bir şekilde kodlandığı ortaya çıktı. Düzgün yazılmış tek bir satır koda rastlamadığımı üzülerek belirtmek isterim.

    Kısacası, değinmek istediğim nokta şudur: Sonuç olarak, hepiniz burada bu altyapıyı kullanarak hizmet sağlıyor veya sağlayacak olabilirsiniz. Kapalı kaynak kodlu yazılımlar satın alarak beklenmedik birçok olumsuz durumla karşılaşmak istemiyorsanız, kapalı kaynak kodlu yazılımları kullanırken gerçekten güvenilir firmalarla çalıştığınızdan ve işlerini temiz yaptıklarından emin olun. 30.000 ₺ gibi bir ücret alıp, insanlara yapay zekâdan bile kötü hazırlanmış bir yazılım sunmak; benim kitabıma göre ne etik kurallarına ne de ahlak kurallarına sığar.

    Konu ile ilgili inceleme sonrası o kadar rahatsız oldum ki çok detay vermek istemiyorum; bu doğru olmaz. Açıklar veya diğer konular ile ilgili bilgileri paylaşmayacağım. Ancak tavsiyem, bu tür yazılımları kullanmadan önce iki kez düşünmenizdir.

    Dipnot: Kimse "Açık kaynak kodlu halini atar mısın?", "Açıklar konusunda yardımcı olur musun?" veya benzeri mesajlarla gelmez ise sevinirim. Açık kaynak kodlu hali kesinlikle kimseyle paylaşılmayacak. Kodlar yalnızca kontrol amaçlı ionCube şifreleri kırılarak incelenmiş ve tamamen kaldırılmıştır. Yardım hususunda elbette destek olmak isterdim. Ancak yazılımın neredeyse tamamı şifreli ve kritik noktaların düzeltilmesi gereken yerlerine erişiminiz yok. Bu yüzden bu konuda da destek sağlamam mümkün değildir.
    Siz şimdi açık açık, ticari olarak satışı yapılan ve tescilli bir markanın lisanslı ürününün kaynak kodlarını, firmadan hiçbir şekilde izin almadan, illegal yollarla kırdığınızı mı itiraf ediyorsunuz? Anladım.
  • 12-04-2025, 08:18:28
    #5
    Levirora
    Levirora
    CSA adlı üyeden alıntı: mesajı görüntüle
    Siz şimdi açık açık, ticari olarak satışı yapılan ve tescilli bir markanın lisanslı ürününün kaynak kodlarını, firmadan hiçbir şekilde izin almadan, illegal yollarla kırdığınızı mı itiraf ediyorsunuz? Anladım.
    Satışı yapılmadığı sürece, bunun bir mahsuru yok hocam
  • 12-04-2025, 08:29:16
    #6
    CSA
    CSA
    Digital Agency
    Levirora adlı üyeden alıntı: mesajı görüntüle
    Satışı yapılmadığı sürece, bunun bir mahsuru yok hocam
    Gönül ister ki öyle olsun, lakin;
    Hukuki gerçekler, kişisel yorumlardan bağımsızdır.
    Yazılımın satılması sadece cezai sorumluluğu artırır.
    Temel mesele, erişim korumasını aşmaktır ve bu da hem Türkiye'de hem de uluslararası hukukta açıkça yasaklanmıştır.
    Dolayısıyla "satılmadıysa bir şey olmaz" gibi bir durum hukuken yoktur.
    Bilginize.
  • 12-04-2025, 09:22:57
    #7
    Levirora
    Levirora
    CSA adlı üyeden alıntı: mesajı görüntüle
    Gönül ister ki öyle olsun, lakin;
    Hukuki gerçekler, kişisel yorumlardan bağımsızdır.
    Yazılımın satılması sadece cezai sorumluluğu artırır.
    Temel mesele, erişim korumasını aşmaktır ve bu da hem Türkiye'de hem de uluslararası hukukta açıkça yasaklanmıştır.
    Dolayısıyla "satılmadıysa bir şey olmaz" gibi bir durum hukuken yoktur.
    Bilginize.
    Hukuk karşısında “ben onu hava olsun diye söyledim ya, öyle bir şey yok” bile dese sıyrılabileceği gerçeğini de eklemek lazım. Malum, günümüz şartlarında Türkiye Cumhuriyeti.
  • 12-04-2025, 14:25:29
    #8
    Sirketio
    Sirketio
    CSA adlı üyeden alıntı: mesajı görüntüle
    Siz şimdi açık açık, ticari olarak satışı yapılan ve tescilli bir markanın lisanslı ürününün kaynak kodlarını, firmadan hiçbir şekilde izin almadan, illegal yollarla kırdığınızı mı itiraf ediyorsunuz? Anladım.
    Siz tam olarak açıkları ve güvenlik ihlalleri olan bir yazılımın kırılmasına değil de, tam olarak buraya mı takıldınız?


    CSA adlı üyeden alıntı: mesajı görüntüle
    Gönül ister ki öyle olsun, lakin;
    Hukuki gerçekler, kişisel yorumlardan bağımsızdır.
    Yazılımın satılması sadece cezai sorumluluğu artırır.
    Temel mesele, erişim korumasını aşmaktır ve bu da hem Türkiye'de hem de uluslararası hukukta açıkça yasaklanmıştır.
    Dolayısıyla "satılmadıysa bir şey olmaz" gibi bir durum hukuken yoktur.
    Bilginize.
    Şöyle belirteyim, durum şu: Bugün Apple gibi bir şirket bile güvenlik açıkları ve sorunlar tespit edildiğinde ceza değil ödül verir. Bilmem anlatabildim mi? Her neyse, gözlemlediğim kadarıyla gelir kapınızın o yazılımla alakalı olduğunu hatırlıyorum. Fazlası vardır yoktur, bilemiyorum; yüksek ihtimal bu tavrınız onunla alakalı. İsteyen kişi veya kurumlar istedikleri yere başvurabilirler. Durumu kendilerine de aktarmıştım. Kontrollerim sonrası gizli bir e-posta veya bilinmeyen kaynaklardan iletmedim; açık ve net bir şekilde geliştirici hesabımın olduğu hesapla iletmiştim, bilginize.


    Levirora adlı üyeden alıntı: mesajı görüntüle
    Hukuk karşısında “ben onu hava olsun diye söyledim ya, öyle bir şey yok” bile dese sıyrılabileceği gerçeğini de eklemek lazım. Malum, günümüz şartlarında Türkiye Cumhuriyeti.
    Buna gerçekten gerek yok ,eğer bir güvenlik açığını tespit ettikten sonra bunu kötü niyetle (örneğin, verileri çalmak, zarar vermek veya fidye talep etmek amacıyla) kullanmıyorsanız, bu kesinlikle yasadışı değildir.
  • 20-04-2025, 03:09:48
    #9
    dogantuysuz
    dogantuysuz
    Tamda wisecp kullanmayı planlarken bu yazıyı görmem korkuttu beni açıkcası. Ee ne kullancağız o zaman dedim kendi kendime.

    İnceleme için çok teşekkürler gerçekten. Hukuki olarak bakarsak bir firma sızma testi veya saldırı testi istemediyse başkalarının bunu yapması suçtur. Yani bir kurumda açık aramak suç, bulunca bir şey yapmasanız hatta o firmaya bildirseniz bile suç. Hukuk çok farklı bir kafada

    Arkadaşlar wisecp yerine ne kullanabilirim? Uygun fiyatlı olması tercih sebebi tabi.