18.01.2012, Saat: 04:17
Değerli mybb.com.tr yöneticisi ve üye arkadaşlar. Bir süre önce sohbet paneli üzerinden html şeklinde bir yönlendirme yapan xss kodu sayesinde sohbet paneline giren herkesi hack sayfasına yönlendiren bir olay hakkında konu açmıştım. bakınız
Şimdi aynı mevzunun diğer bir haliyle karşılaştım. Bugün sitem sabah 11 gibi hacklendi. Siteyi komple kaldırdım tabiikide hemen. Fakat ne database'de ne ftp dosyalarımda bir açık / hacking dosyası kodu bulamadım.
Uzun aramalardan sonra farkettimki, üyelerden birinin aldığı üyelik ismi bu bahsettiğim chat panelinde yapılanın aynı bir benzeri olarak üye ismine konularak alınmış.
Yani üye adı html kod ile alınmış bu sayede adam nereye girerse orası hack indexine dönüşüyor. Sonuç olarak bu adamın forumu nasıl hacklediğini geçte olsa tespit ettim.
Asıl sorum şudur, bu adam mybb maximum üye karakter limitini aştığı halde bu html kodu ile nasıl üyelik alabildi?
Sitem 10.000 tekil hitli büyük ve popüler bir forumdur. Bir çok detayında özen gösteririm güvenlik önlemlerini alırım. Bu forum bu şekilde hacklenebiliyorsa bir çok kişide aynı yönlemle rahatlıkla hacklenebilir. Ben şimdilik tüm üyelik alımlarımı admin onaylı yaparak kendimi güvene aldım.
Peki arkadaşlar bu adam nasıl xss kodu ile üyelik alabildi?
Şimdi aynı mevzunun diğer bir haliyle karşılaştım. Bugün sitem sabah 11 gibi hacklendi. Siteyi komple kaldırdım tabiikide hemen. Fakat ne database'de ne ftp dosyalarımda bir açık / hacking dosyası kodu bulamadım.
Uzun aramalardan sonra farkettimki, üyelerden birinin aldığı üyelik ismi bu bahsettiğim chat panelinde yapılanın aynı bir benzeri olarak üye ismine konularak alınmış.
Yani üye adı html kod ile alınmış bu sayede adam nereye girerse orası hack indexine dönüşüyor. Sonuç olarak bu adamın forumu nasıl hacklediğini geçte olsa tespit ettim.
Asıl sorum şudur, bu adam mybb maximum üye karakter limitini aştığı halde bu html kodu ile nasıl üyelik alabildi?
Sitem 10.000 tekil hitli büyük ve popüler bir forumdur. Bir çok detayında özen gösteririm güvenlik önlemlerini alırım. Bu forum bu şekilde hacklenebiliyorsa bir çok kişide aynı yönlemle rahatlıkla hacklenebilir. Ben şimdilik tüm üyelik alımlarımı admin onaylı yaparak kendimi güvene aldım.
Peki arkadaşlar bu adam nasıl xss kodu ile üyelik alabildi?