FatalZ - Beyond Borders | Private illegal Topluluk - Hack Forum - Nulled Forum - Crack Forum

FatalZ.ORG, Sınır Topraklarına Hoş geldiniz! Lütfen Giriş Yapın ya da Kayıt Olun.

.htaccess ile site güvenliği nasıl yapılır?

Evils

root@evils:~$
Administrator
Status
Messages
1,097
Joined
Sep 11, 2019
Reaction score
608
Points
8,800
Location
Lübeck
Trade Score: 0 / 0 / 0
>> Başlangıç olarak .htaccess nedir?
.htaccess (hypertext access file) Genelde sunucunun ana dizininde olan adı olmayan ayarlar uygulamalar yapılan dosyadır. Güvenlik, yetki, düzenleme, ayarlar, kısıtlama vs.. işlemleri yapabiliyoruz. Daha onlarca işlem mevcut ama ben sadece güvenliğin bir kısmını ele alacağım iyi seyirler arkdşlar xd

>> Dizin şifreleme (htaccess giriş sistemi)



Hedef site saldırılarında çok büyük engel olarak görüyorum bunu. Mesala sql inj yaptık user bilgilerini çektik admine login olacaz. olamıyoz allah allah niye acaba? neyse koyulduk paneli aramaya /admin/ yazdık karşımıza yukarıdaki resim gibi
giriş çıktı artık bu konuda deneme yanılmadan başka çaremiz kalmaz ve bu önümüze kalın bir duvar gibi engel olur.


>> Dizin şifreleme (htaccess giriş sistemi) nasıl yapılır?
Şifreleme için iki adet dosya oluşturmamız lazım aşağıda isimlerini vericem.
".htaccess - .htpasswd"

>> .htaccess içeriği
Code:
AuthType Basic
AuthName "Klasör Açıklaması"
AuthUserFile /home/kullanıcı/şifrelenecekdizin/.htpasswd
<Limit GET>
require valid-user
</Limit>

>> .htpasswd oluşturma
Bu dosyanın içeriğini kullanıcı adı ve şifremizi yazıcağız yalnız dili ascii karekterlerden oluşturuldugundan dolayı vereceğim siteden kullancı adı ve şifre oluşturacağız.


4WebHelp - Online Tools: .htpasswd Encryption Tool

"Name" bölümüne kullanıcı adınızı. "Password" ve "Password Again" bölümüne şifrenizi yazın.
Daha sonta "encrypt" butonuna tıklayın.
Çıkan kodu kopyalıyıp oluşturdgumuz
.htpasswd için yapıştırıyoruz.

>> .htpasswd örneği
user:sifre

Yukarıdaki siteden oluşturduğunuz kullanıcı adı ve şifreyi yukarıda örnek olarak gösterdiğim gibi .htpasswd içine yapıştırıyorsunuz.


>> Web scannerlardan korunma yöntemi
Bu konu çok önemli biz bu sayede Acunetix ve sqlmap gibi
scannerlardan korunmamızı sağlıyor bunu yapamak için .htaccess dosyamızın ana dizinde olması
lazım. Aşağıdaki kodları kendinize göre düzenleyebilirsiniz veya çoğalta bilirsiniz.


>> Web scannerlardan korunma .htaccess içeriği
Code:
RewriteEngine On
<IfModule mod_rewrite.c>
RewriteCond %{HTTP_USER_AGENT} Acunetix [NC,OR]
RewriteCond %{HTTP_USER_AGENT} dirbuster [NC,OR]
RewriteCond %{HTTP_USER_AGENT} jbrofuzz [NC,OR]
RewriteCond %{HTTP_USER_AGENT} webshag [NC,OR]
RewriteCond %{HTTP_USER_AGENT} nikto [NC,OR]
RewriteCond %{HTTP_USER_AGENT} SF [OR]
RewriteCond %{HTTP_USER_AGENT} sqlmap [NC,OR]
RewriteCond %{HTTP_USER_AGENT} fimap [NC,OR]
RewriteCond %{HTTP_USER_AGENT} nessus [NC,OR]
RewriteCond %{HTTP_USER_AGENT} whatweb [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Openvas [NC,OR]
RewriteCond %{HTTP:Acunetix-Product} ^WVS
RewriteRule ^.* http://127.0.0.1/ [R=301,L]
</IfModule>

>> Sql inj korunma yöntemi
Günümüzdeki en önemli açıklarından biride sitemizde bulunan sql açıkları. Belki kod bilgimiz yok ve açıgı kapatamıyoruz veya güvenlik için yapmak istiyoruz bunu için .htaccess dosyamızın içerisine vereceğim kodu Katıyoruz ve engellemiş oluyoruz ana dizine koymanız gerekmektedir.

>> Sql inj korunma .htaccess içeriği
Code:
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC,OR]
RewriteCond %{HTTP_REFERER} ^(.*)(<|>|’|%0A|%0D|’|<|>|).* [NC,OR]
RewriteCond %{REQUEST_URI} ^/(,|;|<|>|/{2,999}).* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(java|curl|wget).* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*(winhttp|HTTrack|clshttp|archiver|loader|email| harvest|extract|grab|miner).* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*(libwww|curl|wget|python|scan).* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*(<|>|’|%0A|%0D|’|<|>|).* [NC,OR]
RewriteCond %{HTTP_COOKIE} ^.*(<|>|’|%0A|%0D|’|<|>|).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(localhost|loopback|127\\.0\\.0\\.1).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(<|>|’|%0A|%0D|’|<|>|).* [NC,OR]
RewriteCond %{QUERY_STRING} [^a-z](|order|union|declare|char|set|cast|convert|delete |drop|exec|insert|met*|script|select|truncate|upda te)[^a-z] [NC]
RewriteRule (.*) - [F]

>> XSS açığından korunma yöntemi
Geleceğin en büyük açıklarından biri olan xss çok tehlikeli sonuçlar doğurabiliyor. Bunun kesin çözümü açıgı kapatmak bir diğer yöntem ise .htaccess ile engelleme Bu yöntemle muhtemel saldırılarıda 403 hatası verdirerek önüne geçiyoruz.


>> XSS açığından korunma .htaccess içeriği
Code:
RewriteEngine On
RewriteCond %{QUERY_STRING} base64_encode.*\\(.*\\) [OR]
RewriteCond %{QUERY_STRING} (\\<|<).*script.*(\\>|>) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\\[|\\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\\[|\\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php|forum.php|yaz.php [F,L]
 
Last edited:
SPAM MESAJ ATMAK YASAKTIR!
  • Örnek: teşekkürler, sağol, çok iyi, asdqwe, eline sağlık, ty, eyv vb!
  • Örnek: Aynı mesajı sürekli olarak yazmak! teşekkürler, tşk gibi!
  • Başkalarının mesajlarını kopyalayıp aynısını yazmak yasaktır.
  • Bilginizin olmadığı konulara yorum sayınız artsın diye mesaj atmak yasaktır!
  • Yorum yaparken kendi fikrinizi yazınız! Spam mesaj atanlar yasaklanacaktır!
  • Konulara spam mesaj atan görürseniz RAPOR tuşu ile bize bildiriniz!

  • Hesap Yükseltme butonundan hesabınızı yükselterek yeni üyelere özel kısıtlamalardan kurtulabilirsiniz.

Users who are viewing this thread