yusufozcelik
Yönetici
Opencart Uzmanı
Merhaba,
yıllardır opencart alt yapısı üzerinde geliştirmeler ve optimizasyonlar yapmaktayım. Bazı güvenlik testlerim sonucunda çok ciddi bir güvenlik açığı tespit ettik. Bu açık şimdiye kadar gördüğüm en büyük güvenlik açığı.
NOT : Bu açığın oluşu opencart'ı güvensiz hale getirmez. Açık kaynaklı sistemlerde bu tür açıklar olabiliyor. Hazır ve özel yazılımlarda dahi vardır. Gerekli düzenlemeleri yaptıktan sonra benzeri güvenlik açıklarını da sitenizden kaldırmış olacaksınız.
Sunucunuzda güvenlik ve exploit eklentileri kurulu olsa bile bunu aşmanın yöntemleri maalesef var.
Cpanel ve Plesk panel son sürümlerinde denenmiştir. Centos, Ubuntu olması fark etmiyor.
Açıktan kısaca bahsedelim.
Admin panelini özellikle admin paneli dizini içerisinde çalışabilen ve kullanıcı grup yetkilerinden kaynaklı bir açık. Admin paneli dizinini değiştirmek ekstra güvenlik kazandırsa da açığı kapatmış olmuyorsunuz. Bu dizin fark edildiğinde aynı işlemleri tekrarlayabilirler.
Sitemde bu açık varsa beni ne gibi bir tehlike bekliyor ?
Warez Eklenti ve Temalara Dikkat !
İnternet ortamından indirdiğiniz tema ve eklentilere çok dikkat etmelisiniz. Lisanslı eklentileri ücretsiz dağıtan kişilerden ve sitelerden uzak durmalısınız. Bazı eklentiler içerisine eklenmiş gizli kodlar bulunmakta. Bu kodlar ile istenildiğinde sitenize erişim sağlayabilirler. Bu kodların çoğunu kod bilginiz yok ise anlayamazsınız. Modül hatasız çalışıyor diyerek uzun süre FTP klasörlerinizde dosyaları tutmuş olursunuz.
Çalıştığınız Kişilere Dikkat Edin !
Sitenizde düzenleme yaptırmak için çalıştığınız kişilere dikkat etmelisiniz. Her ne kadar işini iyi yapan ahlaklı insanlar olsa da bunu kötü niyete çevirebilecek kişiler çıkmakta.
Çalıştığınız kişiler ile kod düzenlemesi yaptırdığınız da ve erişim verdiğinizde uzak masaüstü ortamında çalışmalarını isteyebilirsiniz.
Açığı Nasıl Kapatabiliriz ?
Öncelikle açığın ilk olarak opencart yazılımından kaynaklı olduğunu bilmelisiniz. Opencart üzerinde açık kapatıldıktan sonra sunucu güvenliği için Php ayarlarının daha güvenli hale getirilmesi gerekiyor. Sunucuyu güvenlik için optimize edip önerilen güvenlik eklentilerinin yapılandırmalarını sisteme kurmak gerekiyor. Daha önce sunucu optimizasyonu yaptırdım diyebilirsiniz. Yaptırdığınız sucunudaki sitenizde bu açığı kullanıp kapatılıp kapatılmadığını anlayabilirsiniz.
İletişime geçerek detayları öğrenebilirsiniz.
yıllardır opencart alt yapısı üzerinde geliştirmeler ve optimizasyonlar yapmaktayım. Bazı güvenlik testlerim sonucunda çok ciddi bir güvenlik açığı tespit ettik. Bu açık şimdiye kadar gördüğüm en büyük güvenlik açığı.
NOT : Bu açığın oluşu opencart'ı güvensiz hale getirmez. Açık kaynaklı sistemlerde bu tür açıklar olabiliyor. Hazır ve özel yazılımlarda dahi vardır. Gerekli düzenlemeleri yaptıktan sonra benzeri güvenlik açıklarını da sitenizden kaldırmış olacaksınız.
Sunucunuzda güvenlik ve exploit eklentileri kurulu olsa bile bunu aşmanın yöntemleri maalesef var.
Cpanel ve Plesk panel son sürümlerinde denenmiştir. Centos, Ubuntu olması fark etmiyor.
Açıktan kısaca bahsedelim.
Admin panelini özellikle admin paneli dizini içerisinde çalışabilen ve kullanıcı grup yetkilerinden kaynaklı bir açık. Admin paneli dizinini değiştirmek ekstra güvenlik kazandırsa da açığı kapatmış olmuyorsunuz. Bu dizin fark edildiğinde aynı işlemleri tekrarlayabilirler.
Sitemde bu açık varsa beni ne gibi bir tehlike bekliyor ?
- FTP şifreleri olmasa dahi tüm dosyalarına erişebilir,silebilir,indirebilirler.
- Sitenizde bu açık varsa öncelikle sitenize yüklenecek kod ile tüm üst ve alt klasörlere erişimi olacaktır. Cpanel ve plesk güvenlik eklentileri olsa dahi bu güvenliği aşabilmek mümkün. (Bu kodu nasıl ekleyecekler diyebilirsiniz orasını güvenlik deneniyle yazmayacağım.)
- Mysql erişimi yapabilirler. Tüm veritabanı bilgilerinizi okuyabilirler.
- Kredi kartı bilgilerine kadar kolaylıkla alabilirler.
- Sitenizi backlink gibi SEO çalışmalarına dahil edebilirler.
- Sitenizi arama motorundan düşürebilirler.
- FTP şifreleri olmasa dahi tüm dosyalarına erişebilir,silebilir,indirebilirler.
- Sunucunuzdaki açıklar kapalı değilse, root yetkisine sahip olmuş gibi /home klasöründeki tüm sitelerinize erişim sağlayabilirler
Warez Eklenti ve Temalara Dikkat !
İnternet ortamından indirdiğiniz tema ve eklentilere çok dikkat etmelisiniz. Lisanslı eklentileri ücretsiz dağıtan kişilerden ve sitelerden uzak durmalısınız. Bazı eklentiler içerisine eklenmiş gizli kodlar bulunmakta. Bu kodlar ile istenildiğinde sitenize erişim sağlayabilirler. Bu kodların çoğunu kod bilginiz yok ise anlayamazsınız. Modül hatasız çalışıyor diyerek uzun süre FTP klasörlerinizde dosyaları tutmuş olursunuz.
Çalıştığınız Kişilere Dikkat Edin !
Sitenizde düzenleme yaptırmak için çalıştığınız kişilere dikkat etmelisiniz. Her ne kadar işini iyi yapan ahlaklı insanlar olsa da bunu kötü niyete çevirebilecek kişiler çıkmakta.
Çalıştığınız kişiler ile kod düzenlemesi yaptırdığınız da ve erişim verdiğinizde uzak masaüstü ortamında çalışmalarını isteyebilirsiniz.
Açığı Nasıl Kapatabiliriz ?
Öncelikle açığın ilk olarak opencart yazılımından kaynaklı olduğunu bilmelisiniz. Opencart üzerinde açık kapatıldıktan sonra sunucu güvenliği için Php ayarlarının daha güvenli hale getirilmesi gerekiyor. Sunucuyu güvenlik için optimize edip önerilen güvenlik eklentilerinin yapılandırmalarını sisteme kurmak gerekiyor. Daha önce sunucu optimizasyonu yaptırdım diyebilirsiniz. Yaptırdığınız sucunudaki sitenizde bu açığı kullanıp kapatılıp kapatılmadığını anlayabilirsiniz.
İletişime geçerek detayları öğrenebilirsiniz.
Son düzenleme: