NEUN
Uzman Üye
- Katılım
- 29 Mar 2021
- Mesajlar
- 701
- Beğeniler
- 180
Selamlar dostlarım ben Layota, bugün bir güvenlik açığından Bahsedeceğim. Bir Kaç Private Forum Dışında Bu Güvenlik Açığını Anlatan İnsana Rastlamadım.
İlk Önce Uygulamalı Şekilde İzleyelim Daha Sonra Mantığına Geçeriz.
Kendi Sitemden Örnek Göstereceğim.
Video'yu Çekmek İçin CF'yi Kapattım + Scriptteki 1 Satır Kodu Sildim.
Evet Videoyu İzlediniz, Forumdan Birkaç Satıcı Açıklı Script Kullanıyordu Biz Dahil.
Şuan İncelediklerim Arasından Güvenlik Zaafiyetli Script Kullanan 1 Satıcı Var
@Zenscript Kullandığı Scriptle 2-3 Ay Önce Stok Bilgilerine Ulaşmıştım Ancak Kullanma Gereği Duymadım Scriptini Değiştirmeni Öneririm Şuan İp Block Var Admin Panelinde Ancak Yinede Tedbirli Olun.
ZenScriptten Zamanında 1-2 Key Almıştım
ID : tinfinitym119511******* PW : b27**** (Aylık)
Satıcıyı Zarara Sokmak İstemem Oyüzden Paylaşmıyorum
Evet Şimdi Mantığına Geçebiliriz.
Web Sitesi :
Bu sitenin bir yönetim paneli olması gerekiyor. Diyelimki 'Admin' buraya kadar tamamsak asıl olayımıza geçiyorum.
Web Sitesi :
Sitemizin sonuna 'admin' ifadesini yazdım ve karşıma sol yukarıdaki gibi bir URL belirdi dostlarım.
'NoRedirect' eklentisinin mantığında şu yatar 'Yönlendirme' nedir bu yönlendirme kardeş diyeceksiniz.
Dostlarım eklentinin yönlendirmeden kastığı asıl olay şudur. 'index.php' adresi nedir 'Anasayfa' olarak adlandırabiliriz.
Bizler web sitesinin :
Web Sitesi :
Olan kısmını şu şekilde değiştirirsek.
Web Sitesi :
Otomatik olarak kendisi tekrardan şu hale gelecektir.
Web Sitesi :
Burada bizler index.php olarak değiştirdik ve site otomatikmen login.php ekranına geldi, yani sanki burada bir yönlendirme oldu değilmi ?
Kısa Bir Özet Geçelim
Bir web sitesi düşünün bu web sitesinin paneli sizin elinizde yani içerisine girebiliyorsunuz.
Web Sitesi :
Dostlarım web sitesine girmeden önceki ekran sol yukarıdaki gibi web sitesinin paneline girdikten sonraki ekran aynen şu şekilde olacaktır.
Web Sitesi :
İşte bu güvenlik açığının olayıda şu, yönetici panelin içerisine girdiği zaman panelin içerisindeki kategorilerin isimlerini tahminde bulunmak.
Dostlar mesela elimizde aşağıdaki gibi bir web sitesi var.
Web Sitesi :
Ben mantık yürütüyorum dostlarım büyük ihtimalle bunun yönlendirmesi şu olabilir 'anasayfa.php' ve /admin/ buraya ekliyorum anasayfa.php yi
sonrasında beni /admin/index.php adresine yönlendiriyor. Demek oluyorki tahminimiz tuttu ve bizi şifreyi bilmediğimiz için giriş yapmamız için
index.php yani anasayfa ekranına yönlendirdi
panelin içerisindeki kategorileri yönlendirmeleri nasıl bulacağı konusunda şaşkın aşağıda bir liste bırakacağım genel olarak bunlar olur.
anasayfa.php
giris.php
login.php
Bunlar çoğaltılabilirde ama en önemli konu ise dostlarım şudur sizler şöyle bir panelle karşılaşabilirsiniz.
Bunlara bir sürü örnek verebiliriz tek yapmanız gereken admin'den sonrasını silip index.php eklemeniz bu şekilde dostlarım bir yönlendirme olacaktır.
Sonrasında bunu direk olarak 'Noredirect' eklentisinin içerisine atabilirsiniz videoda detaylı bir şekilde gösterdim.
Konu ilgi Görür İse Zaafiyeti Nasıl Kapatacağınızı Ve Cloudflare Tarih Sorunun Çözümünü Göstereceğim.
Yazılı Anlatımı Daha Öncede Güzel Bir Dille Anlatan Birisi Olduğundan Tekrar Yazmadım.
İlk Önce Uygulamalı Şekilde İzleyelim Daha Sonra Mantığına Geçeriz.
Kendi Sitemden Örnek Göstereceğim.
Video'yu Çekmek İçin CF'yi Kapattım + Scriptteki 1 Satır Kodu Sildim.
Evet Videoyu İzlediniz, Forumdan Birkaç Satıcı Açıklı Script Kullanıyordu Biz Dahil.
Şuan İncelediklerim Arasından Güvenlik Zaafiyetli Script Kullanan 1 Satıcı Var
@Zenscript Kullandığı Scriptle 2-3 Ay Önce Stok Bilgilerine Ulaşmıştım Ancak Kullanma Gereği Duymadım Scriptini Değiştirmeni Öneririm Şuan İp Block Var Admin Panelinde Ancak Yinede Tedbirli Olun.
ZenScriptten Zamanında 1-2 Key Almıştım
ID : tinfinitym119511******* PW : b27**** (Aylık)
Satıcıyı Zarara Sokmak İstemem Oyüzden Paylaşmıyorum
Evet Şimdi Mantığına Geçebiliriz.
Web Sitesi :
Linkleri görebilmek için kayıt olmanız gerekmektedir
olsun.Bu sitenin bir yönetim paneli olması gerekiyor. Diyelimki 'Admin' buraya kadar tamamsak asıl olayımıza geçiyorum.
Web Sitesi :
Linkleri görebilmek için kayıt olmanız gerekmektedir
Sitemizin sonuna 'admin' ifadesini yazdım ve karşıma sol yukarıdaki gibi bir URL belirdi dostlarım.
'NoRedirect' eklentisinin mantığında şu yatar 'Yönlendirme' nedir bu yönlendirme kardeş diyeceksiniz.
Dostlarım eklentinin yönlendirmeden kastığı asıl olay şudur. 'index.php' adresi nedir 'Anasayfa' olarak adlandırabiliriz.
Bizler web sitesinin :
Web Sitesi :
Linkleri görebilmek için kayıt olmanız gerekmektedir
Olan kısmını şu şekilde değiştirirsek.
Web Sitesi :
Linkleri görebilmek için kayıt olmanız gerekmektedir
Otomatik olarak kendisi tekrardan şu hale gelecektir.
Web Sitesi :
Linkleri görebilmek için kayıt olmanız gerekmektedir
Burada bizler index.php olarak değiştirdik ve site otomatikmen login.php ekranına geldi, yani sanki burada bir yönlendirme oldu değilmi ?
Kısa Bir Özet Geçelim
Bir web sitesi düşünün bu web sitesinin paneli sizin elinizde yani içerisine girebiliyorsunuz.
Web Sitesi :
Linkleri görebilmek için kayıt olmanız gerekmektedir
Dostlarım web sitesine girmeden önceki ekran sol yukarıdaki gibi web sitesinin paneline girdikten sonraki ekran aynen şu şekilde olacaktır.
Web Sitesi :
Linkleri görebilmek için kayıt olmanız gerekmektedir
İşte bu güvenlik açığının olayıda şu, yönetici panelin içerisine girdiği zaman panelin içerisindeki kategorilerin isimlerini tahminde bulunmak.
Dostlar mesela elimizde aşağıdaki gibi bir web sitesi var.
Web Sitesi :
Linkleri görebilmek için kayıt olmanız gerekmektedir
Ben mantık yürütüyorum dostlarım büyük ihtimalle bunun yönlendirmesi şu olabilir 'anasayfa.php' ve /admin/ buraya ekliyorum anasayfa.php yi
sonrasında beni /admin/index.php adresine yönlendiriyor. Demek oluyorki tahminimiz tuttu ve bizi şifreyi bilmediğimiz için giriş yapmamız için
index.php yani anasayfa ekranına yönlendirdi
panelin içerisindeki kategorileri yönlendirmeleri nasıl bulacağı konusunda şaşkın aşağıda bir liste bırakacağım genel olarak bunlar olur.
anasayfa.php
giris.php
login.php
Bunlar çoğaltılabilirde ama en önemli konu ise dostlarım şudur sizler şöyle bir panelle karşılaşabilirsiniz.
Linkleri görebilmek için kayıt olmanız gerekmektedir
Linkleri görebilmek için kayıt olmanız gerekmektedir
Linkleri görebilmek için kayıt olmanız gerekmektedir
Bunlara bir sürü örnek verebiliriz tek yapmanız gereken admin'den sonrasını silip index.php eklemeniz bu şekilde dostlarım bir yönlendirme olacaktır.
Sonrasında bunu direk olarak 'Noredirect' eklentisinin içerisine atabilirsiniz videoda detaylı bir şekilde gösterdim.
Linkleri görebilmek için kayıt olmanız gerekmektedir
Linkleri görebilmek için kayıt olmanız gerekmektedir
Linkleri görebilmek için kayıt olmanız gerekmektedir
Konu ilgi Görür İse Zaafiyeti Nasıl Kapatacağınızı Ve Cloudflare Tarih Sorunun Çözümünü Göstereceğim.
Yazılı Anlatımı Daha Öncede Güzel Bir Dille Anlatan Birisi Olduğundan Tekrar Yazmadım.
Son düzenleme:
