Php Uzantısı Nasıl Gizlenir?

 




Bir önceki konumuzda bahsettiğimiz .htaccess ile .PHP & HTML uzantı gizleme konusuna değinmiştik .php uzantısı nasıl gizlenir, bunun bir çok yöntemi bulunmaktadır fakat en çok kullanılan ve aradığınız şeyi sizlere aşağıda göstereceğim.

Ben localhost'ta deniyorum, eğer siz windows server & apache server kullanıyorsanız sıkıntı etmeyin, vereceğim kodda isteğe göre ayarlayabilirsiniz.

Görmüş olduğunuz üzere .php uzantısı ile çalışıyor şimdi bir .htaccess dosyası oluşturalım ve bunun içini açıp aşağıda vereceğim kodları yapıştırıp kaydedin.

RewriteEngine on

RewriteRule ^([^.?]+)$ %{REQUEST_URI}.php [L]

# .php olarak girilmeye çalıştığı zaman bizi 404 sayfasına atsın
RewriteCond %{THE_REQUEST} "^[^ ]* .*?\.php[? ].*$"
RewriteRule .* - [L,R=404]

# Not: windows & apache kullanıyorsanız alttaki yorum satırını siliniz
# RewriteCond %{THE_REQUEST} "^[^ ]* .*?\.php[? ].*$" [NC]

.htaccess dosyamıza kaydettikten sonra localhost'umuza bir bakalım



Uzantısız girdiğimiz zaman tertemiz hiç bir sorun çıkarmadan çalışıyor
birde .php uzantısı ile girmeyi deniyelim


ve uzantı ile girdiğimiz zaman bizi hata sayfasına atıyor 


umarım sizlere yararlı olmuştur, bir sonraki post'ta görüşmek üzere :)
 
Devamını oku...

Türkiyedeki .bel.tr sitelerin güvenliği?


 

Türkiyedeki .bel.tr sitelerin güvenliği?

Evet duymuş olduğunuz üzere sizlere .bel.tr sitelerin ne kadar güvenli olduğunu göstericem, bunları göstermeden önce söyleceklerim var; Yani bu bel.tr sitelerin çoğu güvenliği o kadar kötü ki, cidden No Redirect açığı ve bir kısmı ise de Sql İnjection zafiyeti ile hackleniyor. Güvenlik açıkları bildirildiği halde güvenlik açıkları kapatılmıyor, kim bu bel.tr'in yazılımcıları hiç mi kodladığınız scriptler'e güvenlik testleri uygulamıyorsunuz? Yada başınızda hacking'den anlayan bir elemanınız bile mi yok? Pff... cidden yazık çok üzülüyorum sizlerin halinize.


Mirror kayıtlarından bir kaç kere örnek :) 








ve daha niceleri bulunmaktadır bunlar sadece bel.tr'lerin bir kısmı bunlar Allah sizlere akıl fikir versin nereye kadar ilerlicek bu cehalet?  nerede güvenlik? çok ciddi zarara uğruyorsunuz belki vatandaşların bilgileri bile sızdırılmıştır değil mi? umarım yazılımcıların aklı başına gelmesi dileğiyle :) 

Devamını oku...

Komut Satırında Gizlilik ~ Torghost Kurulumu + Kullanımı

 

Komut Satırında Gizlilik ~ Torghost Kurulumu + Kullanımı

Bilmiş olduğunuz üzere windowslar nasıl bilgisayarda yaptığımız işlemleri ip adresimi vs logluyorsa linuxlar da aynı şekil loglamaktadır, bunun önüne geçmek için sizlere Torghost aracını göstereceğim.


Terminalimizi açıyoruz 
curl icanhazip.com 
yazıyoruz


ilk ip adresimizi kontrol ediyoruz şuanda bizim normal ip adresimiz bu

şimdi Torghost'u kuralım 
git clone https://github.com/SusmithKrishnan/torghost.git
Bunun ardından 
cd torghost
sonra ise
ls


build.sh'a yetki vereceğiz 

chmod +x build.sh
yetkiyi verdikten sonra terminale 

torghost --help

yazıyoruz ve nasıl çalıştığını öğreniyoruz

gördüğünüz gibi

--start ile çalıştırılıyor
--stop ile durduluyor 
gayet basit çalışıyor şimdi bunu çalıştıralım

 

gördüğünüz gibi bize yeni bir ip adresi atadı 51.210.242.144

bu ip 10 dakika da bir değişicektir

tekrar bir göz atalım curl icanhazip.com


 ve torghost'u kapatalım 



Torghost'u kapattığımızda da eski ip'yi atadı 

ileri ki zamanda linux'da log kayıtlarını silmeyi göstereceğim görüşmek üzere ;)

Devamını oku...

Uzaklara bir dalış bir bakış...


Bazen bir bankta, kimisi evde yalnizken oturup anlık bir dalmasıyla uzun düşüncelere yol açabiliyor 

Örneğin; Hiç dostu olmayan bir 'çocuk' dışarı çıktığı zaman gördüğü bir manzara da şudur... "Sağ'ı sessizlik, Sol'u ise derin bir çukur!" 


Yalnız çocuk "Sağ" taraf yani sessiz yolu tercih edip, elleri cebi içinde yürümeye başlar, giderken hayatın her saniyesini ne yapmalıyım diye düşünürken, hayatın görünen kısmı ise hayatı yaşayanları seyretmek. Kimsenin hayatına göz koyulmuyor, tabiki de söz konusu hayatın sizin için ne kadar değerli olduğudur, özellikle iyi niyeti suistimal edilen bir insan ne kadar kaldırabilir ki? Eğer "Güçlü" iseniz bunu hiç sayabilirsiniz. Biliyorum hiçte kolay değil, bir insanın derdini anlamak  için aynı köprüden geçmeniz gerekiyor buda psikolojik travma, depresyon vesaire birisinin asla iyi niyetini sakın suistimal etmeyin ettirmeyin. Bir karar alırken "Bir" değil "İki" kez düşünmelisiniz sırf bunun için yanınıza gelen birisinin kalçasına tekmeyi atmanıza asla gerek yok, yanınıza gelen kişiyi tanıyın ve sizi dinleyen birisi varsa iyi bir dertlesmeniz gerekebilir.


Uzaklara bir dalış bir bakış ✍️


Bugün içimden bunu yazmak geldi bir sonraki yazımda görüşmek üzere.

 

Devamını oku...

HTML Injection - Reflected (POST)

 


HTML Injection - Reflected (POST)

HTML Injection nedir? Web geliştiricileri, bir web tasarımı yaparken güvenlik tarafını bazen unutuyorlar, bazen ise pek önemsemiyorlar. Elbette hepsi için geçerli değil ancak büyük çoğunluğu bu şekilde olabiliyor. HTML kodlarını yazarken bazı mantık hataları ve bazı güvenlik önlemlerinin alınmaması yüzünden kötü niyetli insanlar HTML kodlarına müdahale edip kendi hazırladıkları kodları, geliştiricinin hazırladığı kodların arasına sıkıştırabilmektedir. Sıkıştırılan kodlar ile web sayfasının bütün içeriğini değiştirebilir ve örnek olarak kötü niyetli bir hacker kendi hazırladığı kodu HTML açığı olan web sitesinin içine gömüp o kod sayesinde saldırgan kişinin kendi hazırladığı kötü niyetli web sitesine yönlendirme yapabilir. Bahsettiğim gibi web sitesinin içindeki içerikleri veya resimleri değiştirebilmektedir.



(GET) Html İnjection'da kullandığımız yöntemleri burada da kullanabiliyoruz

 






Gördüğünüz gibi verdiğim kodları çalıştırdı istiyorsanız daha net bakalım



Kodlarımız gördüğünüz gibi sıkıştırılmış halde 


Bunu istiyorsanız burp suite aracılığıyla da yapabilirsiniz


İlk normal olarak çalıştırdığımız da sarı yerdede işaretli biz buraya kendi kodlarımızı enjekte ederek POST isteği gönderip çalıştırabiliriz



 Kodlar enjtekte edildiği zaman:



 Bu yöntemlerle Sosyal Mühendislik işlemleri yapabilirsiniz kendinize göre method'lar geliştirebilirsiniz sizin hayal gücünüze orantılıdır...


İyi günler :) 

Devamını oku...

Bilgi Güvenliği Nedir Nasıl Sağlanır?

 


Bilgi Güvenliği Nedir?

Bilgi Güvenliği, sizin kişisel verilerininizinn (data'nızın) mail hesaplarınız yada sosyal medya hesaplarınız olsun fark etmez. İzinsiz kullanım,izinsiz ifşa etmek, bilgisayarınıza izinsiz erişim, dosyalara zarar vermek gibi (İllegal) şekilde sağlanan her izinsiz işlem'in hasarlardan korunmasına (Bilgi Güvenliği) denir.

Bilgi Güvenliği Nasıl Sağlanır?

Günlük hayatımız da daima sosyal medya kullanırız örneğin: İnstagram,Twitter,Facebook,Snatchat,Discord,Telegram,İcq gibi yerlerde herkes (Parola) ve (Mail) adresi kullanır onlar dışında da herşey geçerlidir...


  1. Her yerde aynı şifreyi kullanmayın.
  2. Hiç kimseye kişileseniz olan, mail, şifrelerinizi vermeyin.
  3. Karışık şifre türü kullanın örn: (kP&'so,bc@ExMFJj!p+I$AVLP
  4. Her dosyayı bilgisayarınıza indirip açmayın
  5. (https) olmayan E-Ticar'i sitelerden alışveriş yapmayınız...
  6. Bilgisayarınızdaki özeliniz olan şeyleri bir klasör içine atıp şifreleyiniz
  7. Sanaldan konuştuğunuz kişilere ev adreslerinizi ifşa etmeyin
  8. Özel mahrem fotoğraflarınızı başkalarına atmayın
  9. Üzerinizde Sosyal Mühendislik yöntemleriyle sizi kandırmaya çalışanlara kanmayın.
  10. Bilgisayarlarınız da daima Anti Virüs programları olmalıdır


Bilişimci olmak isteyen kardeşlerimiz varsa atacağım bu tür postlar işinize yarayacaktır
İyi günler :)

Devamını oku...

.htaccess ile .PHP & .HTML Uzantı Gizleme

 






.htaccess ile .PHP & .HTML Uzantı Gizleme

.htaccess nedir?

.htaccess, Apache Web Server yazılımını çalıştıran web sunucularında kullanım için bir yapılandırma dosyasıdır. Bir .htaccess dosyası ‘Apache Web Sunucusu üzerinden yüklenen’ bir dizine yerleştirildiğinde, .htaccess dosyası Apache Web Sunucusu yazılımı tarafından algılanır ve yürütülür. Bu .htaccess dosyaları, Apache Web Server yazılımının sunduğu ek işlevleri ve özellikleri etkinleştirmek, devre dışı bırakmak üzere Apache Web Sunucusu yazılımının yapılandırmasını değiştirmek için kullanılabilir. Bu özellikler, örneğin bir 404 dosya bulunamadığında bir hata oluştuğunda veya içerik şifresi koruması veya görüntüdeki hot link engellemesi gibi daha gelişmiş işlevler için temel yönlendirme işlevselliğini içerir.


.PHP uzantısını silmek için:
 RewriteEngine On
RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule ^([^\.]+)$ $1.php [NC,L]

 

.HTML uzantısını silmek için:
 RewriteEngine On
RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule ^([^\.]+)$ $1.html [NC,L]


+++ diğer yöntem

Options +FollowSymlinks
RewriteEngine On
RewriteRule ^index.*$ index.php [NC]
RewriteRule ^<strong>dosyaismi</strong>.* <strong>dosyaismi</strong>.php [NC]
RewriteRule ^<strong>dosyaismi2</strong>.* <strong>dosyaismi2</strong>.php [NC]
RewriteRule ^<strong>dosyaismi3</strong>.* <strong>dosyaismi3</strong>.php [NC]
RewriteRule ^<strong>dosyaismi4</strong>.* <strong>dosyaismi4</strong>.php [NC]
ErrorDocument 404 /404.php

Devamını oku...
orcun@orcunrootsecurity.com