php.ini Yapılandırılmasıyla Sitelerinizi Hackleme 2

spyajan Aktiflik : Mesaj Sayısı : 134 Yaş : 35 Kayıt tarihi : 23/07/08

Önerilen:

CODE:

1.
max_execution_time = 300

-------------------------

"max_input_time" (Güvenlik)

Scriptinizin aynı şekilde bir dataya ulaşmak için istek yolladığında maksimum geçen zaman

Önerilen:

CODE:

1.
max_input_time = 300

-------------------------

"ServerSignature" (Güvenlik ve Performans)

"ServerSignature" sitenizde bulunmayan bir dosyanın bakılması durumunda bu sayfanın altında serverla ilgili bir bilgi yer alır ve bu da performansı düşürür ayrıca kötü niyetli kişiler serverla ilgili bir bilgi öğrenmiş olurlar.

Önerilen:

CODE:

1.
ServerSignature = Off

-------------------------

"UseCanonicalName" (Performans)

Bu ayarın açık olması Apache self-referencing URL oluşturduğunda Server ismi ve porttan oluşan bir çözülmüş isim kullanır.

Önerilen:

CODE:

1.
UseCanonicalName = Off

-------------------------

"HostnameLookups" (Performans)

"HostnameLookups" açık olması performansın düşmesine neden olur. IP numarası DNS sunucusundan bakılarak adres öğrenilir buda performansı düşürür.

Önerilen:

CODE:

1.
HostnameLookups = Off

-------------------------

"ExtendedStatus" (Performans)

Serverın durumunu öğrenmek için server-status kullanılıyorsa Apache her an bu işlemcinin çağrılabileceğini beklediği için hazır bekler ve her an sistem saatini öğrenmesi gerekir bu da performansı düşürür.

Önerilen:

CODE:

1.
ExtendedStatus = off

-------------------------

"register_long_arrays" (Güvenlik ve Performans)

Bu değerin "on" açık olması durumunda sisteminizde her scri*t çalışmayacaktır install v.s yapmakta hatalarla karşılaşabilirsiniz ama iyi bir güvenlik ve performans için "off" duruma getirilir.

Önerilen:

CODE:

1.
register_long_arrays = Off

-------------------------

"allow_call_time_pass_reference" (Performans)

Fonksiyonların çağrılma zamanında yaşanan uyumsuzluklarla ilgili uyarı verir.

Önerilen:

CODE:

1.
allow_call_time_pass_reference = off

-------------------------

"enable_dl" (Güvenlik)

Bu değerin "off" kapalı olması gerekir aksi halde kişilerin sistemde php modüllerinde çalışma yapmasına olanak sağlar ve sistemde rahat dolaşmalarını sağlar güvenlik için kapalı olması gerekir.

Önerilen:

CODE:

1.
enable_dl = off

-------------------------

"track_errors" (Güvenlik ve Performans)

Sürücülerde meydana gelen hatalarda yetki verildiği taktirde hata mesajı errormsg olarak değişkende gösterilir.

Önerilen:

CODE:

1.
track_errors = Off

-------------------------

"file_uploads" (Güvenlik)

Açık olursa eğer sunucuda dosya yüklenmesine izin verilmiş olur ve bu da ciddi bir güvenlik açığına neden olur eğer kullandığınız scriptden herhangi bir dosya yüklemeniz gerekmiyorsa mutlaka kapalı duruma getiriniz. Bu sayede sitenize herhangi bir shell, scri*t inject edise bile kesinlikle dosya yüklenmesine izin vermez.

Önerilen:

CODE:

1.
file_uploads = off

-------------------------

"ignore_repeated_errors" (Güvenlik ve Performans)

Açık olursa tekrarlanan hataları loglamaz.

Önerilen:

CODE:

1.
ignore_repeated_errors = Off

-------------------------

"ignore_repeated_source" (Güvenlik ve Performans)

Tekrarlanan mesajlar engellendiğinde, mesaj kaynağını engeller Bu ayar açık yapıldığında hataları loglamayacaktır farklı dosyalardan ya da kaynaklardan tekrarlanan mesajlarla.

Önerilen:

CODE:

1.
ignore_repeated_source = Off

-------------------------

"display_startup_errors" (Güvenlik ve Performans)

"display_errors" değeri "on" açık olsa bile, Php'nin çalışma sırasında meydana gelen hatalar gözükmeyecektir. Bu değerin şiddetle "off" kapalı duruma getirilmesi önerilir.

Önerilen:

CODE:

1.
display_startup_errors = off

-------------------------

"safe_mode_gid" (Güvenlik)

UID - GID kontrollerini sadece UID ile yapmasına izin verir böylece aynı grupta dosyalar bulunsa bile göremezler yani serverda bulunan diğer clientların scriptlerini v.s görmeleri engellenir.

Önerilen:

CODE:

1.
safe_mode_gid = Off

-------------------------

"output_buffering = 4096" (Performans)

4 KB'lik bir tampon çıktısı ayarlar "output buffer"

Önerilen:

CODE:

1.
output_buffering = 4096

-------------------------

"register_argc_argv" (Performans)

Kapalı olursa gereksiz ARGV ve ARGC kayıtlarını önler. PHP nin ARGV ve ARGC değişkenlerini bildirip bildirmemesini anlatır.

Önerilen:

CODE:

1.
register_argc_argv = Off

-------------------------

"php_value session.use_trans_sid - php_value session.use_only_cookies"

Bu şekilde ayarlanması URL'deki PHPSESSID bilgilerini kaldırır.

Önerilen:

CODE:

1.
php_value session.use_trans_sid = 0
2.
php_value session.use_only_cookies = 1

-------------------------

"session.auto_start"

Oturum başlatmayı başlangıçta isteme

Önerilen:

CODE:

1.
session.auto_start = 0

-------------------------

"session.cookie_lifetime"

Cookie'nin zaman ayarı

Önerilen:

CODE:

1.
session.cookie_lifetime = 0

-------------------------

"memory_limit"

Scriptin tükettiği maksimum hafıza miktarı

Önerilen:

CODE:

1.
memory_limit = 8M

-------------------------

"post_max_size"

PHP'nin kabul edeceği maksimum POST data boyutu

Önerilen:

CODE:

1.
post_max_size = 256K

-------------------------

"upload_max_filesize"

Upload edilen dosyaların maksimum boyutu

Önerilen:

CODE:

1.
upload_max_filesize = 256K

-------------------------

"upload_tmp_dir"

Temporary klasörü HTTP'den gelen dosyalar, ayarlanmazsa default klasörü kullanacaktır.

Önerilen:

CODE:

1.
upload_tmp_dir = /path/to/www/belirlediginiz-dizin

-------------------------

"variables_order"

(Ortam, GET, POST, Çerez, Sunucu) bunların işlenmedeki sıralarını belirler.

Önerilen:

CODE:

1.
variables_order = "EGPCS"

Üstte belirttiğim kodları "php.ini" dosyanıza alt alta ekleyebilirsiniz.

EDİT//ALESTA
KONU BAŞLIKLARINA DİKKAT.
Her Kelimenin ilk harfi büyük olacak şekilde yazmalısınız
Aksi halde konular çöpe taşınır

Konu: güzell Salı Tem. 29, 2008 5:54 pm

gözelllll vallla