Web Notlarım

Apache ve PHP versiyonunun gösterilmesi  açıklık olarak görülebilir. Netsparker Community edition tarama yapabilirsiz. Apache'de sürüm bilgisini engellemek için  ServerTokens değerini Prod yapmalısınız. ServerTokens Prod Prod seçilirse sadece web sunucusunun türü(Apache) yazar. Başka bir bilgi görünmez. ServerTokens parametresinin alacağı değerlerin tam listesini  http://httpd.apache.org/docs/2.2/mod/core.html#servertokens adresinden bulabilirsiniz. PHP'deki sürüm bilgisini kapatmak içinde /etc/php.ini dosyasındaki expose parametresi off yapılır. ; Decides whether PHP may expose the fact that it is installed on the server ; (e.g. by adding its signature to the Web server header).  It is no security ; threat in any way, but it makes it possible to determine whether you use PHP ; on your server or not. ; http://www.php.net/manual/en/ini.core.php#ini.expose-php expose_php = off Değişikliklerin etkinleşmesi için Apache yeniden başlatılmalıdır. # /etc...

Linuxda  root yetkisi ile SSH üzerinden gerçekleştirmelisiniz.  php.ini dosyamızın yolunu öğrenme. php -i | grep php.ini Sunucunuz cPanel ise aşağıdaki gibi çıkacaktır ; /usr/local/lib/php.ini Panel yüklü değil ise; /etc/php5/cli/php.ini diye çıkar. biz panel yüklü olmayan sunucuda işlem yapıyoruz. php.ini dosyamızı açıyoruz ; sudo nano /etc/php5/cli/php.ini  safe_mode açıyoruz ; safe_mod = On; Eğer kapatmak isterseniz ; safe_mod = Off; ÖNEMLİ NOT: Safe mode, sunucular için geliştirilmiş bir güvenlik önlemi almak için kullanılır. Sunucularda otomatik yüklemeyi engellemek için kullanılır. Bu özellik ile sunuculara zararlı yazılımların yüklenmesi engellenmiş olmaktadır. Bazı hazır scriptlerin çalışması için safe mode özelliğinin kapalı olması gerekmektedir. Hazır scriptinizin bulunduğu dizine bir tane php.ini dosyası oluşturarak bu özelliği kapatmanız mümkündür. Bu işlem için yapmanız gereken adımlar şu şekildedir. *  Bilgisa...

Joomlada özelleştirilmemiş hata sayfası yapımı 404.html sayfası yapımı 404.html adında html sayfası oluşturuyoruz. Daha sonra bu sayfayı ana dizine atıyoruz.   Daha sonra; .htaccess dosyasına ağaşıdaki kodu yazıyoruz. Errordocument 404 /404.html < html > < head > < title >404 Sayfa Bulunamadı</ title > < style type = "text/css" > body { background-color:   #fff; margin:40px; font-family:Lucida Grande, Verdana, Sans-serif; font-size:12px; color:#000; } #content  { border:#999 1px solid; background-color:   #fff; padding:    20px 20px 12px 20px; } h1 { font-weight:normal; font-size:14px; color:#990000; margin:0 0 4px 0; } .dort {      font-weight:bold;      font-size: 36px;      color:#990000; } </ style > </ head > < body >      ...

XSS açığı temelde HTML etiketlerinin kötüye kullanımına dayanan bir metoddur. Genellikle html içine kötü niyetli kişiler tarafından <script>, <object>, <applet> ve <embed> etiketlerinin yerleştirilmesi ve buraya yazılan betiklerin sizden gizlice bilgi çalması esasına dayanır. PHP Dilinde strip_tags fonksiyonu ile korunabiliriz. Bu şekilde HTML yönlendirmelerin önünü kesebiliriz Bir diğer çözüm ise .htaccess dosyasını yapılandırmak. Site kök dizininde bulunan .htaccess dosyasına aşağıdaki kodları eklediğiniz takdirde xss açıklarına karşı korunmuş oluruz. RewriteEngine On RewriteCond %{QUERY_STRING} base64_encode.*\\(.*\\) [OR] RewriteCond %{QUERY_STRING} (\\<|<).*script.*(\\>|>) [NC,OR] RewriteCond %{QUERY_STRING} GLOBALS(=|\\[|\\%[0-9A-Z]{0,2}) [OR] RewriteCond %{QUERY_STRING} _REQUEST(=|\\[|\\%[0-9A-Z]{0,2}) RewriteRule ^(.*)$ index.php [F,L]