Maxwebportal Güvenlik Için Alinacak Önlemler

[AdmiN]

Bu forum konusunda sadece öneriler ve çözümler yazilacak.
Aksi davranista bulunan üyeler uyarilip üyelikleri durdurulacaktir.
Buradaki genel uyarılar tüm maxwebportal sürümleri içindir.Kod deŞişiklikleri ise 2.0 sürümü ve üzeri içindir.FCK Editör 2.0 ve üzeri sürümlerde kullanılmaktadır.

Çünkü bu konu iyi veya kötü yönde kodlarin yayinlanabilecegi hassas bir konudur.

1- Maxwebportal 2.0 sürümünde sql injection açiklari bulunmaktadir.
- Bu açiklardan etkilenmemek için 2.11 sürümünü kullanabilirsiniz.

2- Tüm Maxwebportal sürümlerinde, password.asp dosyasinda yönetici sifresi sifirlama açigi bulunmaktadir.
- Bu dosya sadece sifre hatirlamaya yarar.Bu dosyayi sitenizden silmeniz veya adini degistirmeniz önerilir.Baska bir yöntem olarak 2.11 sürümündeki password.asp dosyasini kullanabilirsiniz.

3- site_setup.asp, createdb.asp ve createdb2.asp dosyalari ile sitenize sql kodlari kullanilarak saldiri yapilabilir.Saldiri sonucu veritabanina zarar verilebilir.Bu yüzden sitenizi kurduktan sonra bu üç dosyayi sitenizden silmeniz veya isimlerini degistirmeniz önerilir.

[AdmiN]

--bilgi yazdı--

4- inc_DBFunctions.asp dosyasını acilen sitenizden kaldırın.

Bu dosya inc yapısında olduğu için tek başına çalışmaz ve hiçbir fonksiyonu yoktur. Ama içerisindeki bazı SQL ve functions kodları DB zarar vermek isteyenlerin işini kolaylaştırabilir..

5- FCKEditor kullananlar. Bu editor beraberinde kapsamlı bir config sayfasıda de getiriyor. Eger gerekli düzenlemeleri yapmazsanız resim, link ve flash ekleme bölümlerinde upload seçeneklerine herkes ulaşıp sunucuya dosya gönderebilir. Yapılması gerekenler

Link, Resim ve Flash upload seçeneklerini kapatmak için FCKEditor/fckconfig.js sayfasını açın.

Resim Link ve Flash eklemek için üyelerin root içindeki dosyaları görmelerini önlemek için bu satırlardaki true değerlerini false olarak değiştirin

oFCKeditor.Config[ "ImageBrowser" ] = false ;
oFCKeditor.Config[ "LinkBrowser" ] = false ;
oFCKeditor.Config[ "FlashBrowser" ] = false ;


Resim Link ve Flash uploadlarını önlemek için bu satırlardaki true değerlerini false olarak değiştirin

oFCKeditor.Config[ "ImageUpload" ] = false ;
oFCKeditor.Config[ "LinkUpload" ] = false ;
oFCKeditor.Config[ "FlashUpload" ] = false ;

[AdmiN]

MWP Download bölümünde, normalde üye olmayanlar dosya indiremiyor.Ama kullanıcı dl_info.asp dosyasının geçip, id numarasını dl_goto.asp dosyası ile kullanırsa üye olmadan da dosya indirebiliyor.Bunu önlemek için, dl_goto.asp dosyasını açın;


<!-- #INCLUDE FILE="inc_functions.asp" -->
satırının altına

<% if not strDBNTUserName = "" Then %>

kodunu ekleyin.Daha sonra kodların en altına da aşağıdaki kodu ekleyin.Açık kapatılmış olacaktır.


<%else%>
<center><font face="verdana" size="2" color="#000080">SADECE ÜYELER DOSYA İNDİREBYLİR.</FONT></center>
<%end if%>

[AdmiN]

--vazgectimsenden.com yazdı --
search.asp deki tüm forumlarda ara satırını silin.. Zaten kategoriler tek tek belli girsin ilgili kategoride arasın arayan aksi takdirde basit bir program ile host hesabınızı kilitletebilir isteyen..

[AdmiN]

-- bilgi yazdı --

Uploadlarda intUploads açığı.
Portal Sürümü: mwp2 ve üzeri

MaxWebPortal içinde bilinen en güzel özellik config.asp sayfasındaki öntanımlı değerlerdir. Yşte size bu değerlerden birtane. Ve yanlış kodlama sonucu oluşan intUploads açığı. Siz sitenizin güvenliği için bu değeri intUploads = 0 yapmanıza rağmen FSO ile index yemeniz kaçınılmaz. Üstelik bu değeri 0 yaptığınızda bile UploadBar gizlenmiyor ve sadece DB içineki yetki sahibi üyelere görülebiliyor. Ylginç bir hata ve ben bu hatayı hasberkader yönetim panelinden tüm upload izinlerini kapatmaya çalışırken buldum. Birtürlü kapanmayan upload ayarına yol açan sorun config.asp içinde gizliydi.

Fazla uzatmadan config.asp sayfasını açın ve aşağıdaki kodu bulun. (Sayfanın en altlarında)


if intUploads <> strAllowUploads then
  strAllowUploads = intUploads
end if


'if intUploads <> strAllowUploads then
'  strAllowUploads = intUploads
'end if
if intUploads <> strAllowUploads or intUploads = "0" or strAllowUploads = "0" then
   FSOenabled = false
end if


Birinci adım bitti. Bu kodla config.asp içindeki öntanımlı intUploads değerini DB içindeki upload izinlerine eşit olup olmadığını kontrol ediyoruz. Eğer bu değerler eşit değilse sistem FSO Bileşenini kapalı konumuna getiriyor. Böylece biraz da olsa hackerlerin yolunu kesiyorsunuz.

Ykinci adım biraz daha zahmetli. Çünkü sırası ile download, link, galeri ve ilan panosu modüllerinin konu ekleme forumlarını tek tek açacağız.
dl_add_form.asp
pic_add_form.asp
link_add_form.asp
classified_add_form.asp

Bu sayfalarda aşağdaki kodu veya bu kodun benzerini bulmanız gerekiyor.


If FSOenabled = true and strAllowUploads = 1 and uActive = 1 and mLev >= uAllowed Then

Bulduktan sonra tek tek intUploads = 1 değerini bu tanımın içine eklemelisiniz. Örneği aşağıya yazıyorum.

If FSOenabled = true and intUploads = 1 and strAllowUploads = 1 and uActive = 1 and mLev >= uAllowed Then

[AdmiN]

-- bilgi yazdı --

Forum Raporlamada http-equiv="Refresh" Meta girdisi açığı.
Portal Sürümü: mwp2 ve üzeri
Tehlike Konumu: HTML açık durumu

Bazıları bu açıkları bulup bulup yayınladığım için bana kızıyor olabilir ama inanın elimde değil. Saldırı için kullanmaktansa geliştirmek için bulmayı tercih ediyorum.

Yukarıda bahsettiğim açık pop_report_post.asp üzerinden gelebilecek olası bir yönlendirme metası ile sitenizin report_post_moderate.asp sayfasını başka bir içeriğe yönlendirilmesine neden olabilir. Çözüm için inc_functions.asp içerisine yeni bir replace satırı ekleyip HTML açık konumunda güvenliğimizi sağlayacağız.

Evet Başlıyoruz ;

inc_functions.asp sayfasını açın ve ChkString = chkHtmlCode(fString) satırını bulun. Bu satıra bağlı kodlar aşağıdaki gibi olabilir. Aşağıya eklediğim kodlar muhtemelen sizdeki inc_functions.asp içinde daha farklı olacaktır. Çünkü buraya eklenen orjinal kodlar Sitenin inc_functions.asp sayfasındaki replace komutuna mağruz kalıp değiştiriliyor. Bu yüzden farklılığa aldırmayın ve sadece işlemi uygulayın.


'fString = HTMLEncode(fString)
fString=replace(fString,"'","''")
fString=replace(fString,"%>","%>")
fString=replace(fString,"<%","<%")
'fString=replace(fString,"%>","")
'fString=replace(fString,"<%","")
fString=replace(fString,"<object","<object")
fString=replace(fString,"/object","</object")
fString=replace(fString,"<embed","<embed")
fString=replace(fString,"/embed","</embed")
fString=replace(fString,"<script","<.script")
fString=replace(fString,"javascript","java script")
fString=replace(fString,"alert(","al ert(")
'ChkString = fString
ChkString = chkHtmlCode(fString)


bu bölümü bulduktan sonra kodların arasına aşağıdaki satırı ekleyip kaydedin.


fString=replace(fString,"http-equiv","http_equiv")

[AdmiN]

-- bilgi yazdı --

Formun altında upload açığının nasıl kapatılacağını yazdım. Onu oku istersen. Yönetim panelindeki genel ayarlardan tüm uploadları kapat yada config.asp içinden upload satırını bulup değerini 0 (sıfır) yap.

ikinci önlem de FCKEditor dosyasındaki filemaneger dosyasını sil. daha sonra FCKEditor upload açığı için FCKEditor klasöründeki fckconfig.js dosyasını aç ve aşağıdaki kodları tek tek bulup değerlerini false yap.


oFCKeditor.Config[ "ImageBrowser" ] = false ;
oFCKeditor.Config[ "LinkBrowser" ] = false ;
oFCKeditor.Config[ "FlashBrowser" ] = false ;

oFCKeditor.Config[ "ImageUpload" ] = false ;
oFCKeditor.Config[ "LinkUpload" ] = false ;
oFCKeditor.Config[ "FlashUpload" ] = false ;

[Rıza]

paylaşımarınız için teşekkürler.ben mwp 2.11 sizin eski siteden indirmiştim.sizdeki sürümde bu açıklar giderilmişmiydi.Yoksa bizim düzeltmemiz mi lazım.

[AdmiN]

Bir kısmı düzeltilmiş, geri klanı kullanıya özgü olduğu için kısıtlamam getirmeme adına değiştirşlmemiştir.Yakında bir güncelleme paketi yayınlayacağım.Bu açıkları ve bir kaç hatayı düzeltmiş olacağım.