Forum

Döngüsel Post Saldı...
 
Bildirimler
Hepsini Temizle

[Çözüldü] Döngüsel Post Saldırısı Alıyorum.

Azad Azadoğlu
(@AzadAzadoglu)
Üye

Merhaba arkadaşlar,

umarım doğru tespit etmişimdir ve doğru bir şekilde aktarabilirim.
Amatör yazılımcıyım, bir araç kiralama ve yıkama şirketimiz var ve google ads ile reklam yayınlıyoruz.
Başvuru yapanların bilgilerini takip etmek için bir takip paneli kullanıyoruz. Yani, kişi başvuru yaptığında alt alta kayıt olarak sıralanan bir ekranımız var, oradan takip ediyoruz.
Sorun şu : biri geliyor sitemize giriyor ve bir anda 20-30-40 tane veri gönderiyor ve veritabanına karmaşık saçma sapan veriler kayıt oluyor ve siteyi kapatmadığım sürede bu şekilde devam ediyor.
IP adresini değiştiriyor engellesem de önlem değil. Gönderdiği verilerde dikkatimi çeken isimler var vulnweb ve acunetix gibi isimler oluyor.
Ayrıca; örneğin isim girilmesi gereken bir alan var ve o alan en az 3 karakter girilmesi zorunlu olduğu halde 1 rakam yazıp veya bir harf yazıp gönderebiliyor, benim aklım hafzalam almıyor bu durumu.
Araştırmalarım sanırım bana bunun csrf veya xss saldırısı gibi sonuçlar çıkardı.
Alakası bile olmayabilir.
Bu saldırının adı nedir? Nasıl bir engel için ne aramalıyım, bana yardımcı olabilir misiniz?

Mesela telefon numarası kısmına 1acuDSeeB58vnR böyle bir veri, ad kısmına 1 yazılmış, soy isim kısmına 112011 böyle yazılmış ama sürekli aynı şekilde gelmiyor. Her yeni kayıtta daha değişik ve acayip kayıtlar geliyor.
Tam olarak anlatabilmişimdir umarım.

 

Inputlara girilmesi gereken harf ise harf, rakam ise rakam olduğunu anlatır js ile destekledim hatta post edildiği sayfada boş geliyorsa post etmeyide ekledim. Fakat ne oluyorsa tüm kurallarımı yıkıyor ve arka arkaya flood post atılabiliyor.

Bu aleni olarak saldırıdır, google reklamlarından müşteriye ulaşmak ayrı dert birde bununla uğraşmak ayrı bir dert.

Bana bu saldırının adını ve önlemlerini nasıl alınacağı konusunda ön açarsanız çok sevinirim, kendım arastırıp cozmek ıstıyorum.

Saygılar;

Alıntı
Topic starter Gönderildi : 23/04/2021 02:32
Konu Etiketleri
Kadir YAPAR
(@kadiryapar)
Üye Forum Yöneticisi

Merhabalar,

 

Kontrolleriniz dediklerinizden anladığım frontend tarafında. İlgili kontrolleri backend tarafında yaptığınız taktirde kurallarinizi geçemeyecektir. Frontend tarafına yapılan işlemler sadece işi bilmeyenleri engeller. 

Atakları yapan arkadaş acunetix denilen ücretli zafiyet tarama aracını kullanmaktadır. Form alanlarına captcha eklerseniz bu tip sorunları engelleyebilirsiniz.

 

Acunetix üzerinde bir çok zafiyet testi gerçekleştirebilir. SQLi, XSS, CSRF bunların hepsi mümkün. XSS client side da olan bir saldırıdır, sql backend tarafınızı ilgilendirir. Eğer parametrik şekilde sorgularınızı yazdıysanız veya PDO kullandıysanız bu saldırıya mağruz kalmazsınız. Frontendde ise html encoding yaparak XSS için de önlem almış olursunuz. 

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 23/04/2021 17:49
Azad Azadoğlu
(@AzadAzadoglu)
Üye

@kadiryapar

Daha farklı bir fikir geldi aklıma ama nasıl yapacagım konusunda karmasık durumdayım.

Fikrim su : 1 IP adresinden bir istek geldikten sonra 5veya daha uzun süreli olarak post gonderemesı, gonderdıgını sansın veya bir uyarı alsın, bunu nasıl yapabılırım ?

CevapAlıntı
Topic starter Gönderildi : 23/04/2021 19:10
Kadir YAPAR
(@kadiryapar)
Üye Forum Yöneticisi

Bence çok efektif bir çözüm değil, heleki ip değiştirme bu kadar sık otomatize yapılabiliyorken.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 24/04/2021 13:07
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Bu konuda bir uzmana danışın derim bu bilgi ile çok yorulacağa benziyorsunuz. Bu işin bir WAF gibi, firewall gibi aslında güvenlik bölümü var, bir diğer kısmı ise yazılımsal güvelik ve kontrol. Siz yazılımcı olduğunuz için yazılım tarafında araştırma veya destek alabilirsiniz ancak en güvenli yazılımlar bile WAF gibi ürünler ile korunmak zorundaki bu ve benzeri atakları kaldırablirsin.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 24/04/2021 19:17
Azad Azadoğlu
(@AzadAzadoglu)
Üye

@hakanuzuner

Merhaba Hakan Hocam;

Sorunu şu şekilde çözüme kavuşturdum,

gelen tüm post verilerini önce sql tarafında kontrol ettiriyorum ardından olması gerektiği gibi mi gelmiş onu kontrol ettiriyorum, eğer doğru ise ve veritabanında aynı ip den farklı kayıt varsa 5 dakika boyunca kayıt post ettirmesini engelliyorum. 

5 saniye içerisinde 3 ten fazla post gönderme çabasındaysa cpanel üzerinden forbidden a düşürüyorum.

Şu an rahatladık , nereye kadar ip değiştirebilir merak ediyorum, kendi uğraşsın artık 🙂

Konuyu yazmak için zamanım olmadı , cevabını bu şekilde vereyim dedim. Şu anlık çok problememiz kalmadı .

CevapAlıntı
Topic starter Gönderildi : 25/04/2021 00:09
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Geri dönüş ve bilgi için teşekkürler, elinize sağlık.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 25/04/2021 01:53
Paylaş: