• 04-02-2026, 19:14:37
    #1
    Projemizi sizlere nisan ayı veya bir kaç ay önce hizmete sunmayı planlıyorum. Fakat kontrollerimizi yaparken gözümüzden kaçan detayları yapay zeka desteği ile hızlıca fark edip fixledik. Sizlere tavsiyem ya kendiniz yada uzman kişiler tarafından bunları fixlemeniz. hiç aklınızın mantığınızın almadığı güvenlik zaafiyetleri var maalesef.

    https://hizliresim.com/3ofvzei

    Neler Yaptık?

    Güvenlik raporundaki en riskli (Kırmızı) maddeler tamamen modernize edildi:
    • MD5 Şifreleme Modernizasyonu: Güvenlik raporunda belirtilen zayıf MD5 algoritması terk edildi. Yerine, brute-force saldırılarına karşı dirençli olan bcrypt/argon2 hashleme yapısına geçiş yapıldı.
    • CSRF (Cross-Site Request Forgery) Koruması:
      • Tüm AJAX işlemlerine ve form gönderimlerine dinamik CSRF token kontrolü eklendi.
      • Tokenlar için 1 saatlik süre sınırı (Expiration) ve her işlemde zaman kontrolü mekanizması kuruldu.
      • Güvenli karşılaştırma için hash_equals() fonksiyonu kullanılarak "Timing Attack" riskleri ortadan kaldırıldı.
      • Login ve şifre yenileme gibi kritik işlemler sonrası tokenların otomatik olarak yenilenmesi (Regeneration) sağlandı.
    • Güvenli Veri İşleme: Raporun uyarı verdiği unserialize() fonksiyonu yerine, veri manipülasyonunu engelleyen daha güvenli veri işleme yöntemleri benimsendi.
    • Dinamik Şifreleme Anahtarları: Global değişkenlerde duran sabit "encryption key" (şifreleme anahtarı) yapısı yerine, daha güvenli ve dinamik bir anahtar yönetim sistemine geçildi.

      Kullanıcı oturumlarını ve verilerini korumak amacıyla çerez politikaları en üst seviye güvenlik standartlarına (OWASP önerileri) uygun hale getirildi:
      • HttpOnly Bayrağı: Çerezlerin JavaScript tarafından okunması engellendi. Bu sayede olası bir XSS (Cross-Site Scripting) saldırısında kullanıcı oturum bilgilerinin (Session ID) çalınma riski ortadan kaldırıldı.
      • Secure Bayrağı: Çerezlerin sadece HTTPS (güvenli bağlantı) üzerinden iletilmesi zorunlu kılındı. Bu, "Man-in-the-Middle" (aradaki adam) saldırılarıyla verilerin düz metin olarak ele geçirilmesini engeller.
      • SameSite=Strict Yapılandırması: Çerezlerin yalnızca sitenin kendi içindeki isteklerle gönderilmesi sağlandı. Bu adım, CSRF (Cross-Site Request Forgery) saldırılarına karşı tarayıcı seviyesinde en güçlü koruma kalkanını oluşturur.
  • 04-02-2026, 19:17:40
    #2
    Bunlar çok çok temel açıklar daha projenin en başında zaten olmaması gereken açıklar. Önemli olan bunlar değil. Neden değil çünkü çoğu framework sayesinde bunlar zaten artık otomatik olarak engellenmiş şekilde geliyor. Önemli olan api ve auth manipülasyonları bunlara dikkat etmeniz gerek.
  • 04-02-2026, 19:17:43
    #3
    Yapay zekayı en verimli şekilde kullanmak budur işte Ben de projem bitince şunu kontrol et, bunu test et diye genel bir check-up yaptırıyorum.
  • 04-02-2026, 19:19:10
    #4
    CanKilinc adlı üyeden alıntı: mesajı görüntüle
    Bunlar çok çok temel açıklar daha projenin en başında zaten olmaması gereken açıklar. Önemli olan bunlar değil. Neden değil çünkü çoğu framework sayesinde bunlar zaten artık otomatik olarak engellenmiş şekilde geliyor. Önemli olan api ve auth manipülasyonları bunlara dikkat etmeniz gerek.
    biz fremwork kullanmıyoruz 16 bin sayfa tek tek kodlandı. ve bunları unutmuş olmamız normal sıfır hazır kod ! ayrıca binlerce çalışan personelim yok sadece bu projeyi 2 kişi olarak 4 yılda ayağa kaldırdık. biz bu projeye başladığımızda yapay zeka felan yoktu el emeği göz nuru. hatta arayüzlerine kadar kendim çizgim forumda adam gibi arayüz çizen bulamadığımız için
  • 04-02-2026, 19:21:00
    #5
    Login ve şifre sıfırlama tarafına rate limit koyun, bu iş şakaya gelmez. Brute force hâlâ en çok patlayan yer.
    Ekstra olarak cookie ayarları mutlaka yapılmalı Bunlar yoksa session çalmak çocuk oyuncağı.
    uploads, logs gibi klasörlerin izinlerini düzgün ayarlayın, çalıştırılabilir dosya falan kesinlikle olmamalı.
    Ama en kritik nokta şu: hatalı login denemelerini mutlaka loglayın.
    Her şeyi yapıp log tutmuyorsanız geçmiş olsun, bir gün patladığınızda “ne oldu” diye bakacak veri bile bulamazsınız
    Yapay zekayı böyle kullandığınız için tebrikler
  • 04-02-2026, 19:22:23
    #6
    ArasTasarim adlı üyeden alıntı: mesajı görüntüle
    Login ve şifre sıfırlama tarafına rate limit koyun, bu iş şakaya gelmez. Brute force hâlâ en çok patlayan yer.
    Ekstra olarak cookie ayarları mutlaka yapılmalı Bunlar yoksa session çalmak çocuk oyuncağı.
    uploads, logs gibi klasörlerin izinlerini düzgün ayarlayın, çalıştırılabilir dosya falan kesinlikle olmamalı.
    Ama en kritik nokta şu: hatalı login denemelerini mutlaka loglayın.
    Her şeyi yapıp log tutmuyorsanız geçmiş olsun, bir gün patladığınızda “ne oldu” diye bakacak veri bile bulamazsınız
    Yapay zekayı böyle kullandığınız için tebrikler
    google recaptcha bu işi kökten çözdü hocam o kolay lokla ama bilgi için çok teşekkür ederim.

    ek olarak sunucular birbirineden bağımsız yan i upload edilen dosyalar ayrı sitenin fiziki dosyaları ayrı hatta admin panel vb. site dosyaları bile birbirinden bağımsız sunucularda çalışıyor ek olarak sunucularımızın hepsi ekstra olarak güvenlik ve hız optimizasyonları yapılmış tamamı lisanslı. yani biraz paraya kıyıp lisansları parayla aldık crack falan yok