Duyuru! Opencart 3X Ve 4X Tüm Sürümlerinde Ciddi Güvenlik Açığı Tespit Edildi !!!

yusufozcelik

yusufozcelik

Yönetici
Opencart Uzmanı
Katılım
19 Şubat 2012
Mesajlar
127
Çözümler
8
Tepkime puanı
23
Puanları
100
Web sitesi
www.opencartfrm.com
Merhaba,

yıllardır opencart alt yapısı üzerinde geliştirmeler ve optimizasyonlar yapmaktayım. Bazı güvenlik testlerim sonucunda çok ciddi bir güvenlik açığı tespit ettik. Bu açık şimdiye kadar gördüğüm en büyük güvenlik açığı.

NOT : Bu açığın oluşu opencart'ı güvensiz hale getirmez. Açık kaynaklı sistemlerde bu tür açıklar olabiliyor. Hazır ve özel yazılımlarda dahi vardır. Gerekli düzenlemeleri yaptıktan sonra benzeri güvenlik açıklarını da sitenizden kaldırmış olacaksınız.


Sunucunuzda güvenlik ve exploit eklentileri kurulu olsa bile bunu aşmanın yöntemleri maalesef var.
Cpanel ve Plesk panel son sürümlerinde denenmiştir. Centos, Ubuntu olması fark etmiyor.

Açıktan kısaca bahsedelim.

Admin panelini özellikle admin paneli dizini içerisinde çalışabilen ve kullanıcı grup yetkilerinden kaynaklı bir açık. Admin paneli dizinini değiştirmek ekstra güvenlik kazandırsa da açığı kapatmış olmuyorsunuz. Bu dizin fark edildiğinde aynı işlemleri tekrarlayabilirler.



Sitemde bu açık varsa beni ne gibi bir tehlike bekliyor ?

  • ✨FTP şifreleri olmasa dahi tüm dosyalarına erişebilir,silebilir,indirebilirler.✨
  • ✨Sitenizde bu açık varsa öncelikle sitenize yüklenecek kod ile tüm üst ve alt klasörlere erişimi olacaktır. Cpanel ve plesk güvenlik eklentileri olsa dahi bu güvenliği aşabilmek mümkün. (Bu kodu nasıl ekleyecekler diyebilirsiniz orasını güvenlik deneniyle yazmayacağım.)✨
  • ✨Mysql erişimi yapabilirler. Tüm veritabanı bilgilerinizi okuyabilirler.✨
  • ✨Kredi kartı bilgilerine kadar kolaylıkla alabilirler.✨
  • ✨Sitenizi backlink gibi SEO çalışmalarına dahil edebilirler.✨
  • ✨Sitenizi arama motorundan düşürebilirler.✨
  • ✨FTP şifreleri olmasa dahi tüm dosyalarına erişebilir,silebilir,indirebilirler.✨
  • ✨Sunucunuzdaki açıklar kapalı değilse, root yetkisine sahip olmuş gibi /home klasöründeki tüm sitelerinize erişim sağlayabilirler✨

Warez Eklenti ve Temalara Dikkat !

İnternet ortamından indirdiğiniz tema ve eklentilere çok dikkat etmelisiniz. Lisanslı eklentileri ücretsiz dağıtan kişilerden ve sitelerden uzak durmalısınız. Bazı eklentiler içerisine eklenmiş gizli kodlar bulunmakta. Bu kodlar ile istenildiğinde sitenize erişim sağlayabilirler. Bu kodların çoğunu kod bilginiz yok ise anlayamazsınız. Modül hatasız çalışıyor diyerek uzun süre FTP klasörlerinizde dosyaları tutmuş olursunuz.

Çalıştığınız Kişilere Dikkat Edin !

Sitenizde düzenleme yaptırmak için çalıştığınız kişilere dikkat etmelisiniz. Her ne kadar işini iyi yapan ahlaklı insanlar olsa da bunu kötü niyete çevirebilecek kişiler çıkmakta.
Çalıştığınız kişiler ile kod düzenlemesi yaptırdığınız da ve erişim verdiğinizde uzak masaüstü ortamında çalışmalarını isteyebilirsiniz.

Açığı Nasıl Kapatabiliriz ?

Öncelikle açığın ilk olarak opencart yazılımından kaynaklı olduğunu bilmelisiniz. Opencart üzerinde açık kapatıldıktan sonra sunucu güvenliği için Php ayarlarının daha güvenli hale getirilmesi gerekiyor. Sunucuyu güvenlik için optimize edip önerilen güvenlik eklentilerinin yapılandırmalarını sisteme kurmak gerekiyor. Daha önce sunucu optimizasyonu yaptırdım diyebilirsiniz. Yaptırdığınız sucunudaki sitenizde bu açığı kullanıp kapatılıp kapatılmadığını anlayabilirsiniz.


İletişime geçerek detayları öğrenebilirsiniz.




whatsapp_iletisim1.png
 
Son düzenleme:

Yorum yapmak için giriş yapın veya Kayıt olun

Yorum yapabilmek için üye olmalısınız

Hesap oluştur

Forumumuzda bir hesap oluşturun. Çok kolay!

Giriş yap

Zaten bir hesabınız var mı? Buradan giriş yapın.

Etiketler:
Etiketler
opencart opencart açık opencart dizin güvenliği opencart güvenli hale getirme opencart güvenli mi opencart güvenli yapma opencart güvenlik opencart güvenlik açığı opencart güvenlik duvarı opencart hack opencart hacklenme opencart panel güvenliği opencart php ayarları opencart sunucu güvenliği
Konuyu Okuyanlar (Toplam: 0)