1. Bu site çerezler kullanır. Bu siteyi kullanmaya devam ederek çerez kullanımımızı kabul etmiş olursunuz. Daha Fazla Bilgi.

.htaccess ile site güvenliği nasıl yapılır?

'Web Güvenliği - Web Security' forumunda Evils tarafından 23 Eylül 2019 tarihinde açılan konu

  1. Evils

    Evils root@evils:~$ Administrator

    Katılım:
    11 Eylül 2019
    Mesaj:
    1,034
    Alınan Beğeniler:
    500
    Cinsiyet:
    Erkek
    Şehir:
    Germany
    Web Sitesi:
    >> Başlangıç olarak .htaccess nedir?
    .htaccess (hypertext access file) Genelde sunucunun ana dizininde olan adı olmayan ayarlar uygulamalar yapılan dosyadır. Güvenlik, yetki, düzenleme, ayarlar, kısıtlama vs.. işlemleri yapabiliyoruz. Daha onlarca işlem mevcut ama ben sadece güvenliğin bir kısmını ele alacağım iyi seyirler arkdşlar xd

    >> Dizin şifreleme (htaccess giriş sistemi)

    [​IMG]

    Hedef site saldırılarında çok büyük engel olarak görüyorum bunu. Mesala sql inj yaptık user bilgilerini çektik admine login olacaz. olamıyoz allah allah niye acaba? neyse koyulduk paneli aramaya /admin/ yazdık karşımıza yukarıdaki resim gibi
    giriş çıktı artık bu konuda deneme yanılmadan başka çaremiz kalmaz ve bu önümüze kalın bir duvar gibi engel olur.


    >> Dizin şifreleme (htaccess giriş sistemi) nasıl yapılır?
    Şifreleme için iki adet dosya oluşturmamız lazım aşağıda isimlerini vericem.
    ".htaccess - .htpasswd"

    >> .htaccess içeriği
    Kod:
    AuthType Basic
    AuthName "Klasör Açıklaması"
    AuthUserFile /home/kullanıcı/şifrelenecekdizin/.htpasswd
    <Limit GET>
    require valid-user
    </Limit>
    >> .htpasswd oluşturma
    Bu dosyanın içeriğini kullanıcı adı ve şifremizi yazıcağız yalnız dili ascii karekterlerden oluşturuldugundan dolayı vereceğim siteden kullancı adı ve şifre oluşturacağız.


    4WebHelp - Online Tools: .htpasswd Encryption Tool

    "Name" bölümüne kullanıcı adınızı. "Password" ve "Password Again" bölümüne şifrenizi yazın.
    Daha sonta "encrypt" butonuna tıklayın.
    Çıkan kodu kopyalıyıp oluşturdgumuz
    .htpasswd için yapıştırıyoruz.

    >> .htpasswd örneği
    user:sifre

    Yukarıdaki siteden oluşturduğunuz kullanıcı adı ve şifreyi yukarıda örnek olarak gösterdiğim gibi .htpasswd içine yapıştırıyorsunuz.


    >> Web scannerlardan korunma yöntemi
    Bu konu çok önemli biz bu sayede Acunetix ve sqlmap gibi
    scannerlardan korunmamızı sağlıyor bunu yapamak için .htaccess dosyamızın ana dizinde olması
    lazım. Aşağıdaki kodları kendinize göre düzenleyebilirsiniz veya çoğalta bilirsiniz.


    >> Web scannerlardan korunma .htaccess içeriği
    Kod:
    RewriteEngine On
    <IfModule mod_rewrite.c>
    RewriteCond %{HTTP_USER_AGENT} Acunetix [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} dirbuster [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} jbrofuzz [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} webshag [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} nikto [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} SF [OR]
    RewriteCond %{HTTP_USER_AGENT} sqlmap [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} fimap [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} nessus [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} whatweb [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} Openvas [NC,OR]
    RewriteCond %{HTTP:Acunetix-Product} ^WVS
    RewriteRule ^.* http://127.0.0.1/ [R=301,L]
    </IfModule>

    >> Sql inj korunma yöntemi
    Günümüzdeki en önemli açıklarından biride sitemizde bulunan sql açıkları. Belki kod bilgimiz yok ve açıgı kapatamıyoruz veya güvenlik için yapmak istiyoruz bunu için .htaccess dosyamızın içerisine vereceğim kodu Katıyoruz ve engellemiş oluyoruz ana dizine koymanız gerekmektedir.

    >> Sql inj korunma .htaccess içeriği
    Kod:
    RewriteEngine On
    RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC,OR]
    RewriteCond %{HTTP_REFERER} ^(.*)(<|>|’|%0A|%0D|’|<|>|).* [NC,OR]
    RewriteCond %{REQUEST_URI} ^/(,|;|<|>|/{2,999}).* [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} ^(java|curl|wget).* [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} ^.*(winhttp|HTTrack|clshttp|archiver|loader|email| harvest|extract|grab|miner).* [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} ^.*(libwww|curl|wget|python|scan).* [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} ^.*(<|>|’|%0A|%0D|’|<|>|).* [NC,OR]
    RewriteCond %{HTTP_COOKIE} ^.*(<|>|’|%0A|%0D|’|<|>|).* [NC,OR]
    RewriteCond %{QUERY_STRING} ^.*(localhost|loopback|127\\.0\\.0\\.1).* [NC,OR]
    RewriteCond %{QUERY_STRING} ^.*(<|>|’|%0A|%0D|’|<|>|).* [NC,OR]
    RewriteCond %{QUERY_STRING} [^a-z](|order|union|declare|char|set|cast|convert|delete |drop|exec|insert|met*|script|select|truncate|upda te)[^a-z] [NC]
    RewriteRule (.*) - [F]
    >> XSS açığından korunma yöntemi
    Geleceğin en büyük açıklarından biri olan xss çok tehlikeli sonuçlar doğurabiliyor. Bunun kesin çözümü açıgı kapatmak bir diğer yöntem ise .htaccess ile engelleme Bu yöntemle muhtemel saldırılarıda 403 hatası verdirerek önüne geçiyoruz.


    >> XSS açığından korunma .htaccess içeriği
    Kod:
    RewriteEngine On
    RewriteCond %{QUERY_STRING} base64_encode.*\\(.*\\) [OR]
    RewriteCond %{QUERY_STRING} (\\<|<).*script.*(\\>|>) [NC,OR]
    RewriteCond %{QUERY_STRING} GLOBALS(=|\\[|\\%[0-9A-Z]{0,2}) [OR]
    RewriteCond %{QUERY_STRING} _REQUEST(=|\\[|\\%[0-9A-Z]{0,2})
    RewriteRule ^(.*)$ index.php|forum.php|yaz.php [F,L]

     
    Son Düzenleme: 25 Eylül 2019
    3xpl0it, Scrumple ve SchutzTCP bunu beğendi.
  2. MrX

    MrX ~ʀ00ᴛ@ᴍʀx: ꜰ*ᴄᴋ ᴅʀᴇᴀᴍꜱ.. Legendary

    Katılım:
    22 Eylül 2019
    Mesaj:
    828
    Alınan Beğeniler:
    295
    Cinsiyet:
    Erkek
    Şehir:
    Ağın İçindeki Ağ!
    eline sağlıkk
     
  3. Evils

    Evils root@evils:~$ Administrator

    Katılım:
    11 Eylül 2019
    Mesaj:
    1,034
    Alınan Beğeniler:
    500
    Cinsiyet:
    Erkek
    Şehir:
    Germany
    Web Sitesi:
    eyv
     
  4. Scrumple

    Scrumple New Member New Member

    Katılım:
    24 Eylül 2019
    Mesaj:
    135
    Alınan Beğeniler:
    49
    Cinsiyet:
    Erkek
    Şehir:
    İstanbul
    Eline sağlık bro :)
     
  5. 3xpl0it

    3xpl0it I L L E G A L Defacer Crew

    Katılım:
    20 Kasım 2019
    Mesaj:
    139
    Alınan Beğeniler:
    93
    Şehir:
    Server
    Web Sitesi:
    eline sağlık reis
     
    3vil4org bunu beğendi.