Google hacking Dersi + Md5 Şifreleme + Uygulama Güvenligi +Kayıp 1gün:)

Okuma konusunda tembel bir toplum olduğumuzdan dolayı ve konu bence çok önem arzettiği için google hacking hakkında varolan dökümanları okumayacağınızı düşündüğümden video örnekler hazırlıyorum arar ara.

Bugün bir video ile başladı yolculuğum. Amacım konulara merakı olan arkadaşlara ve nasıl güvende olmadığımızın farkındalığına varmaları için internet kullanıcılarına fayda sağlamaktı.

Bilişim sektöründe çözümler üreten firmalardan 1 tanesini örnek alarak biraz araştırma yapmaya başladım. (Yola çıktığım arama: intitle:index.of inurl:“/admin/”) Onlarca web projesine imza atmış bu firmanın muhtemelen farkında olmadığı ciddi bir web uygulama açığı tespit ettim. Sabahın il saatlerinden şuan 17.45 e kadar yaklaşık 50 müşteri sisteminde aynı hatayı tekrarladıklarını gördüm. Sıkıldığım ve üzüldüğüm için daha fazla örnek üzerine gitmedim.

Üzüldüğüm nokta ise bu firmadaki güvenlikten bi haber personelinin hatasının sonucunu firmanın çekecek olmasıydı. Günümüz bilişim şirketlerinin %80’i bu sorun ile karşı karşıya kalmaktadırlar. Uygulama güvenliği konusunda yetersiz koderlar 1 projede yaptıkları hataları aynı veritabanını / proje dosyalarını kopyalayarak diğer projelerede aynen uygulamaktadır. Bundan sonrası bir çorabın sökülmesi gibi…

Sizinde dikkat etmeniz gereken fark ettiğim ayrıntılar şunlar oldu:

  1. Bir web projesi üzerinde tek personel çalıştırmayın. (uygulama Körlüğü)
  2. Mümkünse projeyi merkezi bir kaynakta tutun. Github, subversion benzeri bir depo yönetim sistemi ile projeleriniz gelişimini izleyiniz (Kim ne yapmış bi görün)
  3. Kod yazacak kişileri bir güvenlik testinden geçirin, (mümkünse farklı bir firmaya)
  4. Bir web güvenlik prosedürü oluşturun / uygulayın (OWASP 2007 formu)
  5. Site üzerinden gereksiz veritabanı işlemlerinden kaçının.
  6. Tüm dizin içeriklerini gezintiye kapatın.
  7. Zİyaretçilerin görebileceği hata kodlarını ve sürüm bilgilerini gizleyiniz.
  8. Tüm şifrelerinizi md5 ile şifreledikten sonra tekrar farklı bir değer ile tekrar şifreleyin
  9. Bu şifreleri kesinlikle kullanmayınız:)
    fe01ce2a7fbac8fafaed7c982a04e229 MD5 : demo
    68eacb97d86f0c4621fa2b0e17cabd8c MD5 : Test123
    250cf8b51c773f3f8dc8b4be867a9a02 MD5 : 456
    5f4dcc3b5aa765d61d8327deb882cf99 MD5 : password
    e10adc3949ba59abbe56e057f20f883e MD5 : 123456
  10. Veritabanı dosyanız ele geçtiğinde kolay çözümlenecek şifreler sıkıntı olacaktır.
    http://www.md5decrypter.co.uk
    http://www.md5decrypter.com
    Sitelerinde çözümlenmiş binlerce şifre olduğunu unutmayın.

 

Not: Türkiye gerçeği olan projelerin değeri konusunun farkındayım ancak yine de analizlerimi genele göre yapmak durumundayım.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.