Bir önceki blog yazımda bloguma yönetici yetkileri ile erişmek için kullanılan yöntemden kısaca bahsetmiştim. Bu yazımda bu konuyu biraz daha açacağım. Bu açığa ne sebep oldu. Nasıl önlemler almamız gerekiyor. Bu konulara değineceğim.
BlogEngine Kurulumu Sonrası...
Blogumu yeni sürüme taşımak için öncelikle tüm blogpostlarımı yedekledim ve yeni sürümü buradan indirip web sunucuma yükledim. Sonrasında eski temamı yükledim ve postlarımın yedeklerini yüklemek için App_Data klasörü içerisindeki posts dizinini olduğu gibi eski yerine koydum. Kalan ayarlarımı yapmak ve sitemin normal yayınına devam etmek için hemen Admin paneline varsayılan kullanıcı adı ve şifre olan admin - admin ile girdim. Sonrasında eski haliyle kullanımıma devam etmek için eski kullanıcı adımı ve şifremi Kullanıcılar bölümünden ekledim. Sonrasında eklediğim kullanıcı adı ve şifre ile giriş yapıp yeni bir blogpost girdim. Fakat bu arada atladığım çok önemli bir nokta vardı. Varsayılan kullanıcı adı ve şifresi olan admin - admin hala duruyordu. Ayarları tamamlarken onu silmeyi unutmuştum. Daha önce belirttiğim gibi bu açık tespit edildi.
Gördüğünüz gibi bir anlık bir dalgınlık sonucu varsayılan kullanıcı hesabını silmeyi unutmak sitemiz için çok ciddi bir güvenlik açığına yol açabiliyor. Bir önceki blog yazımda, tüm sunucularda loglar olduğu ve bu şekilde yazan kişiye ulaşılabileceğini belirtmiştim. Ancak yazan kişinin, genel kullanıma açık herhangi bir bilgisayardan bunu yapması, yada genel kullanıma sunulan bir kablosuz bağlantı üzerinden bunu gerçekleştirmesi, bulunmasını imkansız kılabilir. Hatta kablosuz ağını şifresiz olarak kullanan masum bir kullanıcı bile bu durumda suçlu duruma düşebilir.
Bu tip durumların önüne geçebilmek için yapılabilecek en iyi şey, kullanılan uygulama (BlogEngine yada diğer herhangi bir uygulama) hiçbir zaman varsayılan şifresi ile bırakılmamalıdır. BlogEngine için yapılması gerekenler sırasıyla:
-
Yönetim Paneline varsayılan kullanıcı adı ve şifre olan admin - admin ile giriş yapmak
-
Kullanıcılar menüsüne geçmek
-
Yeni kullanıcı oluşturma formunun altında yer alan bölümden admin kullanıcısını Delete seçeneği ile silmek veya Edit ile şifresini değiştirmek
Bilgilendirme yazısını yazmam yönünde fikir bildiren Microsoft'tan sayın hocam Tayfun Akçay'a teşekkürlerimi sunuyorum...
