Mybb Hakkında Soru ve Sorunlarız, Yardım ve Destek için MybbDepo external Adresini Ziyaret Ediniz.
Sponsor Reklam

duyuru Güncel Duyurular!
Güncel MyBB Dökümanları.. Güncel + Orijinal MyBB Sürümleri..
bilgi mybb

Konuyu Oyla:
  • Derecelendirme: 4.33/5 - 12 oy
  • 1
  • 2
  • 3
  • 4
  • 5

Derecelendirme: 4.33/5 - 12 oy
MyBB Açıkları Tam Liste Halinde + Önlemleri Ders :1
#1
Bilgi 
MyBB Açıkları Tam Liste Halinde+Önlemleri-Ders:1

Evet arkadaşlar bu yazımda sizlerle şöyle biraz MyBB'nin ilk günlerinden yani eski sürümlerinde yaşanan ve var olan gerçek ıspatlanmış olan MyBB Açıklarından bahsetmek istiyorum..!

Öncelikle Kısa bir şekilde MyBB'de bulunan açıkların listesini belirtmekte fayda var.!

MyBB Açıkları Listesi :[/color]
  • MyBulletin Board`un 1.2.2 ve öncesi versiyonlarını etkileyen SQL Enjeksiyon açığı.!

    Elekt tarafından raporlanan açığa göre;

    Sistemin kod'lanması esnasında CLIENT-IP modülünde yapılan kod'lama hataları nedeniyle sistem üzerinden uzaktan SQL sorguları çalıştırılabilmekte ve kullanıcı bilgilerine erişilebilmektedir,diye MyBB tarihine geçmiş açıklardan birisidir.(1.2 versiyonlarında Doğrulanmıştır.)Onay-Cevap

  • Bazılarının uyduruk yazılarına göre ise MyBB forum sitelerinde upload açığı olduğunu yazan makaleler.(saçmalık diyorum) Göz Kırp

  • Başka bir saldırı şekline göre ise cookiler yani bu yöntemi kullanıp admin paneline sızma yöntemi.(1.2 versiyonlarında Doğrulanmıştır.)Onay-Cevap

  • inc/datahandlers/pm.php dosyasına gönderilen girişler SQL sorgularında kullanılmadan önce doğru olarak filtrelenmemesi açıkları.(1.2 versiyonlarında Doğrulanmıştır.)Onay-Cevap

  • uygulama herhangi bir onaylama kontrolü olmadan kullanıcıların HTTP istekleri ile bazı işlemler yapmalarına izin verebiliyor. Bu açık ile moderatörlerin kötü amaçlı bir siteyi ziyaret etmesini sağlayarak içerik silme gibi işlemler yapılabiliyor.(1.2 versiyonlarında Doğrulanmıştır.)Onay-Cevap

  • MyBBRFI/LFI Açıkları ve (Shell Saldırısı);

    Bidiginiz gibi bu saldırı yönteminin bulundu zamanda MyBB neredeyse çığır başlatıcaktı ki patlama yapmasına sebeb olan bu açık Shell Saldırısı olmuştur.

    kısaca etkili olduğu sürümler;

    MyBB 1.4.4 (Doğrulanmıştır.)Onay-Cevap
    MyBB 1.4.5 (Doğrulanmıştır.)Onay-Cevap
    MyBB 1.4.6 (Doğrulanmıştır.)Onay-Cevap
    MyBB 1.4.7 (Doğrulanmıştır.)Onay-Cevap

    Bundan sonra çıkan sürüm güncellemeleri yani ;
    MyBB 1.4.8
    MyBB 1.4.9
    MyBB 1.4.10
    MyBB 1.4.11 (Ufak bir açık olup tehlikesiz atlatılmıştır..)
    MyBB 1.4.12
    MyBB 1.4.13 (Şu anki son Sürümümüz)
    Gibi Sürümler'de MyBB açıklarını tarihe gömerek bu saldırılara son vermiştir.Ünlem

    Hatırlarsanız ki MyBB kullanan arkadaşlarımız çok iyi bilirler bir ara destek sitelerinde sürekli sitem hack'lendi acil tardım gibi konular açarak çağrılarda bulunmuşlardı; işte perde arkasında kalan bu saldırının gerçek adı; (RFI/LFI Shell Saldırısı)'dır Diğer bi adını güvenlik için saklı tutuyorum.!

    Peki nedir bu (RFI/LFI Shell Saldırısı)? ;

    Hemen konuya dalıyorum MyBB'nin php kodlaması olduğunu hepimiz biliyoruz;işte bu kodlama esnasında değişken tanımlama olarak kullanılan kodlamalarda yanlışlıkla yapılan hatalardan kanaklanan açıktır.Ünlem

    Ciddi bir açık açıklaması örnekleri;
    Remote File İnclude: (RFI)

    Uzaktan dosya dahil etme anlamına gelen RFI da tanımlanmamış değişkenleri tanımlar ve açık varsa istenilen değere atanır... örnek kullanım yöntemi ise; shell(c99,r57 vs.vs.vs... ).Ünlem

    Local File İnclude (LFI)

    Yeral serverdan dosya dahil etme anlamına gelen bu açık RFI kadar etkili değildir. Ünlem

    Önemli Açıklama;
    VARIABLE : Değişken anlamına gelmektedir.Bizim açığımız da bu kodlamadan kaynaklanmaktadır.! Yani örneğin ; include ile bi dosya, sayfaya dahil edilirken komutun içinde değişkenler de bulunur (örnek bi değişken : $external).gibi Bu değişken aynı sayfada define edilmezse yani tanımlanmazsa burda açık var demektir ve saldırıla bilir...

Geldik İlk MyBB açıkları dersimizin sonuna arkadaşlar bu makalemde MyBB'de bulunan açıkları ilk günlerden itibaren aklımda kalanları paylaştım ;tabi bu demek değildir ki bu kadarmıydı yazıcakların hayır bu kadar değil daha önemlisi son günlerde yapmış olduğum araştımalarım ve denemelerim sonucunda ortaya çıkan extra bir saldırı yöntemi olan ref saldırısı çıkmış tabi bu saldırı yeni olan birşey değil MyBB aleminde 2008 yılarının ortalarında yaşanan saldırı yöntemi bunun için alınacak önlemleri resimli olarak anlattım siteyi takip edenler bilir, bilmiyenler varsa hemen alttaki link'ten konuya bakabilirler.

Ref saldırıları+ÖnlemleriDahili url link - internal url <-tılklayın.

Şimdi konumuza son vermeden her zaman olduğu gibi konu ile ilgili soru veya sorunlarınızı yine bu konu alttından sorabilirsiniz.. Göz Kırp

Konu (07-01-2010 Tarih'inde) Tekrar Gücelleştirilmiştir.!
MyBB.Com.TR Sağ Ok XpSerkan.Com Sağ Ok FB.Com/XpSerkan
Google: +MyBBGrup Sağ Ok FaceBook: #MyBBGrup Sağ Ok Twitter: @MyBBGrup Sağ Ok YouTube: ►MyBBGrup
MyBB Destek Sağ Ok MyBB Tema Sağ Ok MyBB Eklenti Sağ Ok MyBB Seo
≧◔◡◔≦ I Love You MyBB (>‿)
Ara
Cevapla
#2
Konu aktif edilmiştir.2'ci dersimizde açıkların önlemleri hakkında önemli bilgileri paylaşıcaz.!
MyBB.Com.TR Sağ Ok XpSerkan.Com Sağ Ok FB.Com/XpSerkan
Google: +MyBBGrup Sağ Ok FaceBook: #MyBBGrup Sağ Ok Twitter: @MyBBGrup Sağ Ok YouTube: ►MyBBGrup
MyBB Destek Sağ Ok MyBB Tema Sağ Ok MyBB Eklenti Sağ Ok MyBB Seo
≧◔◡◔≦ I Love You MyBB (>‿)
Ara
Cevapla
#3
PAylasım icin ve emeğin için tesekkürler...
Ara
Cevapla
#4
Rica ederim SysteM yanlız yarın akşam 2'ci dersi mutlaka takip et yep yeni bilgilerle geliyoruz.!
MyBB.Com.TR Sağ Ok XpSerkan.Com Sağ Ok FB.Com/XpSerkan
Google: +MyBBGrup Sağ Ok FaceBook: #MyBBGrup Sağ Ok Twitter: @MyBBGrup Sağ Ok YouTube: ►MyBBGrup
MyBB Destek Sağ Ok MyBB Tema Sağ Ok MyBB Eklenti Sağ Ok MyBB Seo
≧◔◡◔≦ I Love You MyBB (>‿)
Ara
Cevapla
#5
Yarın aksam burdayım
Ara
Cevapla
#6
teşekkürler (1)(/1) ım... derli toplu bir çalışma olmuş mybb kullanıcıları için çok yararlı olacağına eminim devamını bekliyoruz. Kolaylıklar dilerim. sevgiler...
Ara
Cevapla
#7
(26.12.2009, Saat: 20:18)halil Adlı Kullanıcıdan Alıntı: teşekkürler (1)(/1) ım... derli toplu bir çalışma olmuş mybb kullanıcıları için çok yararlı olacağına eminim devamını bekliyoruz. Kolaylıklar dilerim. sevgiler...

Rica ederim ne demek tabiki devamı gelicek hatta bu akşam için yeni bir ders hazırlığı içerisindeyim yorum için de ben teşekkür ederim..
MyBB.Com.TR Sağ Ok XpSerkan.Com Sağ Ok FB.Com/XpSerkan
Google: +MyBBGrup Sağ Ok FaceBook: #MyBBGrup Sağ Ok Twitter: @MyBBGrup Sağ Ok YouTube: ►MyBBGrup
MyBB Destek Sağ Ok MyBB Tema Sağ Ok MyBB Eklenti Sağ Ok MyBB Seo
≧◔◡◔≦ I Love You MyBB (>‿)
Ara
Cevapla

Konu ile Alakalı Benzer Konular
Konular Yazar Yorumlar Okunma Son Yorum
Güvenlik [Bilgi] ChangUonDyu sohbet güvenlik tedbirleri [Ders] 007combatant 16 30,983 22.04.2012, Saat: 22:00
Son Yorum: 007combatant



Konuyu Okuyanlar: 1 Ziyaretçi
© 2009-2017 MyBB.Com.TR Internet Hizmetleri, MyBBGrup.Com Alt Kuruluşudur.

Web sitemiz dahilindeki tüm sayfalar, bu sayfaları gösteren tüm ekranlar ve içerdiği her türlü bilgi ve bağlı materyal, yerleşim ve öğeler, (çözüm ortaklarının logoları ve yasal hakları hariç) MyBB.Com.TR'ye aittir.
Yazılı izin olmaksızın ve kaynak belirtilmedikçe, (Kaynak göstererek alıntı yapılabilir.) kopyalanamaz ya da yayınlanamaz. MyBB.Com.TR sitesindeki içerik-ler 5070 sayılı kanun kapsamında dijital zaman damgasıyla ve DMCA tarafından korunmaktadır.
Tüm hakları, (insafiyet ile) saklıdır.
teknoloji forumu , tekel haberleri , Kodak Distribütörü , Türkçe dublaj filmler , vds kiralama