Google 'ye kaydedilen sitelerde oluşan güvenlik zaafiyeti ve korunma yolları
Web sitesi olupta googleye kaydetmeyenimiz yoktur her halde.Bu yazımızda googleye kaydedilen sitelerde oluşan güvenlik zaafiyetlerinden bahsedeceğiz.Şöyleki googleye bir site kaydettiğimizde google sitemize otomatik olarak bir bot gönderir.Bu botun görevi belirli bir algoritmaya göre sitedeki linkleri googleye içerik olarak eklemektir.Eklenen bu içerik google arama motorunda aratılan bir kelime ile eşleştiğinde sonuç olarak karşımıza çıkacaktır.İşin esası bu bot aslında sitemizde güvenlik zafiyeti yaratmamakta, tam aksine sitemizde mevcut bulunan bir zaafiyeti google kullanıcılarına açmaktadır.Diyelimki admin dosyasının erişim iznini yanlışlıkla 777 yaptık ve bu dosyanın içerisindede ftp bilgilerimiz var.Normalde google botu tarafından erişim sağlanamayan ve googleye içerik olarak eklenmeyen bilgiler dosya izni 777 yapıldığında bot tarafından erişim sağlanarak googleye eklenmektedir.Ancak ve ancak kötü niyetli bir kişi site tabanını çok iyi bilmesi halinde bu dosyaya erişim sağlayabilecekken google botu tarafından erişim sağlanan bu dosyaya artık sorgulaması eşleşen herkes ulaşabilecek ve dolayısıyla kötü niyetli kişi sayısı artacaktır.
Dosya izinlerinizde bir zaafiyet yoksa ve sunucunuzda güvenliyse korkulacak bir durum yok, zira bot bizzat güvenlik zaafiyeti oluşturmamakta aksine mevcut olan bir güvenlik zaafiyetini google kullanıcılarının kullanımına sunmaktadır.
Bu durumdan korunma yollarına gelince eğer sitemiz googleye kayıtlı ise bir robots.txt dosyası oluşturarak içerisine şunları yazıp sitemizin ana dizinine atıyoruz :
User-Agent: *
Disallow: /admin/
Disallow: /password/password.txt
Allow: /
Burada user agent botları temsil etmekte ve '' * '' ibaresi tüm botların bu siteye girebileceğini ifade etmekte olup, '' Disallow: /admin/ '' sorgusu botların admin klasöründen içerik eklemesini yasaklamakta ve yine aynı şekilde spesifik olarak bir klasörü değilde dosyayı yasaklamak istersek ; '' Disallow: /password/password.txt '' ibaresini kullanmaktayız. '' Allow: / '' sorgusu ise yukarıda engellenen içerik dışında botların diğer dosyalara erişim sağlamasına izin vermektedir.Eğer dosya izinleriniz ve sunucunuz güvenliyse her hangi bir kısıtlama yapmanıza gerek yoktur.Yukarıdaki sorgular ve kısıtlamalar için daha fazla bilgiyi googleden temin edebilirsiniz...
Kaynak : http://www.adaletinsesi.com/forum/in...p?topic=1021.0
Dosya izinlerinizde bir zaafiyet yoksa ve sunucunuzda güvenliyse korkulacak bir durum yok, zira bot bizzat güvenlik zaafiyeti oluşturmamakta aksine mevcut olan bir güvenlik zaafiyetini google kullanıcılarının kullanımına sunmaktadır.
Bu durumdan korunma yollarına gelince eğer sitemiz googleye kayıtlı ise bir robots.txt dosyası oluşturarak içerisine şunları yazıp sitemizin ana dizinine atıyoruz :
User-Agent: *
Disallow: /admin/
Disallow: /password/password.txt
Allow: /
Burada user agent botları temsil etmekte ve '' * '' ibaresi tüm botların bu siteye girebileceğini ifade etmekte olup, '' Disallow: /admin/ '' sorgusu botların admin klasöründen içerik eklemesini yasaklamakta ve yine aynı şekilde spesifik olarak bir klasörü değilde dosyayı yasaklamak istersek ; '' Disallow: /password/password.txt '' ibaresini kullanmaktayız. '' Allow: / '' sorgusu ise yukarıda engellenen içerik dışında botların diğer dosyalara erişim sağlamasına izin vermektedir.Eğer dosya izinleriniz ve sunucunuz güvenliyse her hangi bir kısıtlama yapmanıza gerek yoktur.Yukarıdaki sorgular ve kısıtlamalar için daha fazla bilgiyi googleden temin edebilirsiniz...
Kaynak : http://www.adaletinsesi.com/forum/in...p?topic=1021.0