0
Kayıt Ol

Upload güvenliği

4

437

  • 29-06-2010, 01:33:27
    #1
    Dogukan
    Dogukan
    Pek bilinmeyen bir yöntemden bahsedeceğim sizlere. Sizinde aklınıza gelmiş olabilir ama genede anlatalım. Aslında scriptlerde kullandığımız upload yöntemiyle çok rahat hacklenebiliriz! Ve bunu ancak sniffer yardımı ile anlayabiliriz. Ben anlatayım siz nasıl önlem alırsınız bilmiyorum. Çok basit bir php upload scripti...

    $gelendosya = 'C:\Documents and Settings\Administrator\Application Data\GlobalSCAPE\CuteFTP Pro\8.0\sm.dat';
$a = rand();
$yol = '/upload/';
$newdosya = $yol.$a;

if (move_uploaded_file($gelendosya, $newdosya)) {
  echo "Dosya geldi...";
} else {
   echo "Hata oluştu...";
}
    Anladınız mı anlatmak istediği mi? Tabii bu en basit örneği. Anlayamayanlar için kullanıcı adı Administrator ve CuteFTP Pro 8.0 kullanan birisinin sm.dat yani ftp şifrelerinin saklandığı dosyayı hostingimize çektik. Eğer kullanıcı adınız administrator değilse sorun yok. Tabii bu sadece bir örnek yani istediğiniz dosyayı izinsizce upload edilebileceğinize dair bir örnek.
    Daha tehlikelisi FileZilla çünkü versionlarda veritabanının kaydedildiği yer değişmiyor.Doğrusu veritabanı bile değil direk xml e açık bir şekilde kaydediliyor.

    "C:\Documents and Settings\Administrator\Application Data\FileZilla\recentservers.xml"

    Bu konuda bilgilendirebildiysem ne mutlu bana. Kullanıcı adınız eğer Administrator 'se değiştirmenizi öneririm.

    Not : Uykulu olarak hazırladığım için dökümanı kodlamalarda hata yapmış olabilirim.
  • 29-06-2010, 08:10:17
    #2
    sdemirkeser
    sdemirkeser
    Üyeliği durduruldu
    paylasimli sunucularda calismaz. bu anca kendi bilgisayarinizda calisir. kendi kendiniz hacklemekten oteye gidemezsiniz yani
  • 29-06-2010, 08:15:15
    #3
    Brave09
    Brave09
    Üyeliği durduruldu
    sdemirkeser adlı üyeden alıntı: mesajı görüntüle
    paylasimli sunucularda calismaz. bu anca kendi bilgisayarinizda calisir. kendi kendiniz hacklemekten oteye gidemezsiniz yani
    Demek istediği galiba siteye giren kişilerin bilgilerini çekmek
  • 29-06-2010, 08:30:05
    #4
    sdemirkeser
    sdemirkeser
    Üyeliği durduruldu
    Brave09 adlı üyeden alıntı: mesajı görüntüle
    Demek istediği galiba siteye giren kişilerin bilgilerini çekmek
    bu şekilde siteye giren kişilerin bilgisine erişemezki. bu direk sunucuda local erişimi sağlar. zaten movo_uploaded_file a gerek yok. direk copy komutunu denesenizde olur. paylasimli hostlarda zaten bu tarz erişimi gerçekleştiremezsiniz. open base dir set edilmişse bile calismaz. php.ini den elle set edip deneyebilirsiniz
  • 29-06-2010, 10:10:19
    #5
    Dogukan
    Dogukan
    Hocam ancak ajax ile gizli bir şekilde post yaptırılırsada olabilir. Haklısınız upload hakkında pek bilgim yoktu sadece bir tahmin ile böyle birşey hazırladım biraz önce araştırmıştım bu konuyu gece olduğu için sadece bilgi vermek istedim.