***Az Zonasındakı Boşluqların aşkar edilməsi zamanı əgər məqsədiniz onlara ziyan vermək deyil əksinə kömək etmək və ya xəbərdarlıqdırsa və xəbərdarlığı kimə etmək lazım olduğunu bilmirsinizsə info@ ünvanına yazaraq lazımı boşluq barədə məlumat verərək həmin qurum və ya şirkətə olan xəbərdarlığınızı rəsmi olaraq bizim vasitimzlə edə bilərsiniz.
Qeyd: Xəbərdarlıq istəsəniz kimliyiniz məxfi olaraq, istəsəniz müəllif hüquqi kimi sizin adınızdan gedə bilər.
Müharibədə Torpaqlarımızın bütövlüyünü, Virual Müharibədə isə ***Az zonasının bütövlüyünü qorumaq hər birimizin borcudur.
Tam ətraflı təffərrüatı ilə deməyəcəyəm harda nə var nə yox (səbəb isə burda ermənilər də reg olunub sakitcə "şpionit") edirlər.
Həm də kütləvi yanaşmaq üçün problemə:
CMS-lərdəki vulnlar cəhənnəmə yerli İSP və onların administering etdikləri web hostinglər düzgün administering edilmir.
Ən çox server side vulnlar:
Apache direktiv vasitəsilə cgi execution.
OS based symlink (ln -s metodu)
Apache direktiv vasitəsilə SSİ execution.
Mysql server vasitəsilə load local infile + load file.
symlink (istər php funksiyası istər perl vasitəsilə(2-ci cgi execution vasitəsilə edilir)
Vulnerable PHP (symlink metodu-design flaw http://cxsecurity.com/issue/WLB-2005090062)
Alterable php.ini (custom php.ini vasitəsilə +.htaccess vasitəsilə safe_mode-off disable_functions-ları yenidən aktiv etmə)
Nəticədə nəyə gətirir bu? 1-serverdəki sayta girib shell upload edən attacker bütün serverdəki saytların configlərini oxuyub başlıyır bir-bir hamısını vurmağa.
Web serverlərdə ən azından mod_security-nin olmaması attackerin işini asanlaşdırır.
+Suhosin-inin tətbiqi mütləqdir.
Suphp+Suexec imkan daxilində olsa lap gözəl.
Clam antivirus -un olması da əksər hallarda web shell-ləri aşkar etmək üçün + trace etmək üçün attackeri lazımdır.
Daima softu up2date saxlamaq serverdə.
Əslinə qaldıqda isə bu problemlərin kökü ondadırki Penetration testerlər yoxdur.Bu barədə maarifləndirmə yoxdur.
Çox yox 20-30 nəfərdən ibarət savadlı + yerli Pentesterləri bu işə nəzarətə cəlb etsələr böyük nailiyyətlər əldə etmək olar.Əfsuski bəzi orqanlara bu çatmıyıb hələ.
Sadə bir misal göstərim bu yaxınlarda erməni lamerlərinin mincom.gov.az-ı vurması
(elə ermənilərin öz saytlarından prinscreenləri bura copy paste edirəm)
(Fakt bunu edən erməniləri dəfələrlə cırıq-cırıq vəziyyətə salmışıq yəni adi bir erməni lameridirlər)
Bunlarda skill adlanan şey yoxdur.
Bu mövzunu mən 1 il bundan əvvəl açmışam * AZ Domaini İhbar Hattı *
+++ bizlərdə yalan vədlər vemirik hansısa sənəd sünədlə eşələnmirik öz əməllərimizlə sübut edirik.
Aşkarlanan boşluqlarda saytımızın mütəxəsisləri tərəfindən vaxtında fixlənir.
Mövzuya ehtiyac yoxdu. BlackMinD yazdığı dəyərli məlumatlara görə silmirəm mövzunu.
Mövzu Kilid.