Az sonra yazacaklarım tamamen benim bilgim, hiçbir yerden alınmamıştır. Ne bir saldırgan ne de bir güvenlik uzamanıyım (ama güvenlik sertifikam var !), bilgiler eksiklik olabilir.
----------------------------------------------------------------
Bu güne kadar, anında yaması yayınlanan birkaç çerez çalma açığı dışında phpBB de (phpBB2) hiçbir açık rastlamadım. Geriye de üç önemli yöntem kalıyor.
1. XSS (Cross-site scripting)Bu tür saldırıların en büyük kaynağı kullanıcıların, eklentilerin cazibesine ve heyacanına kapılarak, işi bir an önce bitirme duygusu ile ekledikleri eklentiler/modlardır.
Herkes kolayca eklenti yazabilir, ama her eklenti kullanılmaz. Saldırgan hatalı kodlamadan kaynaklanan açıkları kullanarak uzaktan dosya çalıştırabilir, sunucu üzerinde pek çok işlem yapmaya yarayan dosyaları 777 olan dizinlere atıp çalıştırabilir.
Bunu önlemek basit, ancak temel php güvenliğinden haberdar olmak ve kodları tanımak lazım, keza eklentiye uzaktan yönetim için kodlar sonradan da eklenebilir ve bir paylaşım sitesine yüklenebilir. Bu yüzden eklentileri sadece kendi sitesinden, veya güvenilir olduğüuna emin olduğunuz phpbb sitelerinden indiriniz. Asla bir paylaşım (rapidshare) sitesine atılmış bir yazılımı bir eklentiyi kullanmayınız, bu doysa phpbbturkiye.net veya phpbb.com da verilmiş olsa bile.
Eklenti eklerken, kodlar mutlaka ne yaptığımızı anlayarak eklenmelidir. Açık oluşturabilecek kodlar değiştirilmelidir.
2. SQL injectionBu yöntemin kaynağı yukarıdaki yöntem ile aynıdır, sadece oluşan açık farklıdır. Bu yöntem ile saldırgan adres çubuğundan veya kendi oluşturduğu bir uzak dosya ile veritabanımız üzerinde işlem yapar.
Bunu önlemek için, kullanıcılardan alınan form bilgilerinden html kodları ve zararlı kodlar ayıklanmalıdır. phpBB3'te POST ve GET ile zaten direk bilgi alınmaz, request_var() fonksiyonu ile alınır ve zararlı kodlar süzülür. Ancak es kaza amatör ve bu fonksiyonu bilmeyen bir geliştirici direk $_POST veya $_GET ile veri alır ve bunlar için bir temizleme yapmazsa, bu potansiyel bir açık oluşturur.
3. Sunucu ve kullanıcı hatalarıBu en kolay ve yaygın yöntemdir. İçerisinde pek çok yöntem barındırır. Yönetici e-postasınızın çalınıp yeni şifre istenmesi, sunucu sahibiniz ile kankalık kurup sitenize erişilmesi, başka bir sitenin açığını kullanarak tüm sunucuya sızma sonucu size de zarar vermesi, FTP veya panel parolanızı tahmin etmesi, brute force ile kırması, alan adınızın olduğu firmaya e-posta atıp alan adında işlem yapmak (superonline başına gelmişti)
Bundan korunmak için buraya yazamayacağım ve hemen herkesin bildiği bir sürü konu var, önemli yerklerde hotmail, yahoo gibi gibi servis e-postaları kullanmamak, cpanel de e-posta tanımlamamak (reseller ve root sahipler), karmaşık parola kullanmak, gizli sorulara, alakasız yanıt vermek vb..
----------------------------------------------------
Saldırı yolları şimdilik bu kadar, phpBB3 te olabilecek ve daha önce geliştiricilerimiz ile konuştuğumuz bazı eklemeler iyi olur diye düşünüyorum, mesela ctrackerde olan özelliklerden bazısı olabilir:
* "user agent" banlama,
* tek kullanımlık "e-posta sistemlerini banlama"
---------------------------------------------------
Ayrıca güvenlik diye bir kategorimiz zaten mevcut:
guvenlik-f26/--------------------------------------------------
Canı sıkılıp, çok sıkıcı konular okumak isteyenler:
http://agguvenligi.blogspot.com/=======================================
Yazar: Sevdin Filiz aka ALEXIS