Sing in RSS

Özlem Hancıoğlu

"Bir şeyi gerçekten bilmek, onu anlatmakla olur"

BlogEngine Kurulumu ve Varsayılan Şifre

by ozlem 12. Ağustos 2008 23:08

Bir önceki blog yazımda bloguma yönetici yetkileri ile erişmek için kullanılan yöntemden kısaca bahsetmiştim. Bu yazımda bu konuyu biraz daha açacağım. Bu açığa ne sebep oldu. Nasıl önlemler almamız gerekiyor. Bu konulara değineceğim.

BlogEngine Kurulumu Sonrası...

Blogumu yeni sürüme taşımak için öncelikle tüm blogpostlarımı yedekledim ve yeni sürümü buradan indirip web sunucuma yükledim. Sonrasında eski temamı yükledim ve postlarımın yedeklerini yüklemek için App_Data klasörü içerisindeki posts dizinini olduğu gibi eski yerine koydum. Kalan ayarlarımı yapmak ve sitemin normal yayınına devam etmek için hemen Admin paneline varsayılan kullanıcı adı ve şifre olan admin - admin ile girdim. Sonrasında eski haliyle kullanımıma devam etmek için eski kullanıcı adımı ve şifremi Kullanıcılar bölümünden ekledim. Sonrasında eklediğim kullanıcı adı ve şifre ile giriş yapıp yeni bir blogpost girdim. Fakat bu arada atladığım çok önemli bir nokta vardı. Varsayılan kullanıcı adı ve şifresi olan admin - admin hala duruyordu. Ayarları tamamlarken onu silmeyi unutmuştum. Daha önce belirttiğim gibi bu açık tespit edildi.

Gördüğünüz gibi bir anlık bir dalgınlık sonucu varsayılan kullanıcı hesabını silmeyi unutmak sitemiz için çok ciddi bir güvenlik açığına yol açabiliyor. Bir önceki blog yazımda, tüm sunucularda loglar olduğu ve bu şekilde yazan kişiye ulaşılabileceğini belirtmiştim. Ancak yazan kişinin, genel kullanıma açık herhangi bir bilgisayardan bunu yapması, yada genel kullanıma sunulan bir kablosuz bağlantı üzerinden bunu gerçekleştirmesi, bulunmasını imkansız kılabilir. Hatta kablosuz ağını şifresiz olarak kullanan masum bir kullanıcı bile bu durumda suçlu duruma düşebilir.

Bu tip durumların önüne geçebilmek için yapılabilecek en iyi şey, kullanılan uygulama (BlogEngine yada diğer herhangi bir uygulama) hiçbir zaman varsayılan şifresi ile bırakılmamalıdır. BlogEngine için yapılması gerekenler sırasıyla:

  • Yönetim Paneline varsayılan kullanıcı adı ve şifre olan admin - admin ile giriş yapmak
  • Kullanıcılar menüsüne geçmek
  • Yeni kullanıcı oluşturma formunun altında yer alan bölümden admin kullanıcısını Delete seçeneği ile silmek veya Edit ile şifresini değiştirmek

Bilgilendirme yazısını yazmam yönünde fikir bildiren Microsoft'tan sayın hocam Tayfun Akçay'a teşekkürlerimi sunuyorum...

Tags:

E-mail | Kick it! | DZone it! | del.icio.us
Permalink | Yorumlar (6) | Post RSSRSS comment feed

Yorumlar

10.02.2010 20:20:17 #

mario oyunları

Detaylı anlatımınız için çok teşekkürler.

mario oyunları Turkey

11.02.2010 09:45:29 #

Resimler

Detaylı anlatım için teşekkürler.

<a href="www.resimlerim.gen.tr/">Resim</a>

Resimler Turkey

17.02.2010 00:58:38 #

kadınlar

Anlatım için teşekkürler.

kadınlar Turkey

21.02.2010 18:40:28 #

tarih

bilgi için teşekkürler

tarih Turkey

24.02.2010 12:20:27 #

msn indir

çok saol teşekkürler

msn indir Turkey

04.03.2010 21:13:13 #

sohbet odaları

Bilgi için teşekkürler elinize sağlık.

sohbet odaları Turkey

Yorum ekle


(Gravatar simgesini gösterecek)

  Country flag


biuquote
  • Yorum
  • Canlı önizleme
Loading