Flood için koruma - Webmaster Forumu

Gizlen · #1 (**permalink**) 13-01-2007, 01:48:52

Arkadaşlar sahip olduğum sitemdeki arama kısmına ne olur ne olmaz die, flood koruması koymak istedim. Ziyaretçi min 30sn de bir arama yapabilsin istiyorum.

Extra olarak hangi kodu modifiye etmem gerekir? Ayrıca 30sn den önce arama yaparsa uyarıda çıkarsa fena olmaz ama zorunlu deil.

~~aytug~~ · #2 (**permalink**) 13-01-2007, 13:51:57

güvenlik kodu koymayı deneyebilirsin ..

Gizlen · #3 (**permalink**) 13-01-2007, 16:42:17

saol arkd. guvenlık kodunu dusundum ama cok detay gerektircek bi sistem istemedim sadece

kokulusilgi · #4 (**permalink**) 19-01-2007, 20:02:54

PHP- Kodu:

  session_start(); 
 
// session a kaydedilen zamani kontrol et 30 saniye gecmemisse arama ekraninin cikartma
if(@$_SESSION['zaman'] + 30 > time()) { 
$kalan=$_SESSION['zaman']-time()+30;
echo 'İkinci kez arama yapmak için '.$kalan.' saniye beklemelisiniz.';
exit; 

// eger 30 saniye gecmisse arama bolumunu goster 
} else {
    
// arama
echo "tamam arama yap.";


// arama bolumunun en sonuna yeniden session a zaman degerini yazdiriyoruz ki bir sonraki aramasinda kontrolumuzu saglayabilelim
$_SESSION['zaman'] = time(); 
}

session kontrolu daha basit

Guray · #5 (**permalink**) 19-01-2007, 21:14:04

Madem basit bir şey istiyorsun
Oluştur bir random key .. Al dosyaya yaz ..
Onu da Formda hidden olarak sakla
Form Submit edildikten sonra da dosyadaki key ile formdan gelen keyi karşılştır

Bu kadar basit

Yns · #6 (**permalink**) 20-01-2007, 02:29:43

@kokulusilgi;

PHPSESSID, her istekde rastgele olarak yollanirsa verdigin onlem sadece kod kalabaligi yapar.

@guray;

Senin dedigin yontem CSRF'yi önlemekte kullanılıyor, flood konusunda script kiddy'leri engellese de yine akıllı bir programcı tarafından kırılabilir.Örneğin, örnek bir kod yazarsanız spoof eden betigi hazirlayabilirim.

soyturk · #7 (**permalink**) 20-01-2007, 07:18:30

Alıntı:

Yns´isimli üyeden Alıntı

@kokulusilgi;

PHPSESSID, her istekde rastgele olarak yollanirsa verdigin onlem sadece kod kalabaligi yapar.

@guray;

Senin dedigin yontem CSRF'yi önlemekte kullanılıyor, flood konusunda script kiddy'leri engellese de yine akıllı bir programcı tarafından kırılabilir.Örneğin, örnek bir kod yazarsanız spoof eden betigi hazirlayabilirim.

@kokulusilgi nin verdiği örnekte PHPSESSID yok zaten. çokda güzel çalışır.

Guray · #8 (**permalink**) 20-01-2007, 07:44:50

Alıntı:

Yns´isimli üyeden Alıntı

@guray;

Senin dedigin yontem CSRF'yi önlemekte kullanılıyor, flood konusunda script kiddy'leri engellese de yine akıllı bir programcı tarafından kırılabilir.Örneğin, örnek bir kod yazarsanız spoof eden betigi hazirlayabilirim.

PHP- Kodu:

      $gizli_degerim = md5(time());

    $fp = fopen("./temp/".$_SERVER[REMOTE_ADDR]."_gizli_degeri", "w");

    fwrite($fp, "$gizli_degerim");

    fclose($fp);

Formun icinde hidden var diyelim ...
o da gizli_degerim e esitleniyor ...
Form submit ten sonra da gelen hidden değerle dosyadaki değer karşılaştırılıyor

PHP- Kodu:

      $gizlenen_degerim = file("./temp/".$_SERVER[REMOTE_ADDR]."_gizli_degeri");

    if (in_array($gizli_degerim, $gizlenen_degerim)){

Kod genel hatlarıyla bundan ibaret ...

Yns · #9 (**permalink**) 20-01-2007, 12:51:46

Alıntı:

soyturk´isimli üyeden Alıntı

@kokulusilgi nin verdiği örnekte PHPSESSID yok zaten. çokda güzel çalışır.

Bir betikte session varsa PHPSESSID mutlaka vardır.kokulusilginin'in ornegini kiran kodu yazdim, her seferinde farkli bir session_id yollandigi icin ornek caresiz kaliyor.

PHP- Kodu:

 
<?

/* 
   Proof Of Concept: Session Tabanli flood korumalarini kirma 
   [url]http://www.zone.org/php/994-flood-icin-koruma.html[/url]
*/

$istekSayisi = 10;
$i           = 0;

while($i < 10) {
    $i++;

    /* Her istekte yollanacak farkli session ID */ 
    $rasgeleSession = md5(rand(0,99).time());

    /* >> HTTP istegi */
    $ch = curl_init("http://localhost/x.php");
    curl_setopt($ch,CURLOPT_COOKIE,"PHPSESSID=$rasgeleSession");
    curl_exec($ch);
    curl_close($ch);
    /* HTTP istegi >> */

}

?>

Yns · #10 (**permalink**) 20-01-2007, 12:55:11

Guray, senin verdigin ornekte kirilabiliyor, yine curl ve regexp yardimiyla sayfaya istek yapilip hidden input'un degeri alinip, ondan sonra sayfaya post edilirse senin korumada caresiz kaliyor.

Fakat hic yoktan iyidir, Türkiye'de bu tür korumaları kirabilen kişilerin flood gibi şeylerle uğraşacağını sanmıyorum.

Seçenekler
Yazdırılabilir şekli göster Sayfayı E-Mail olarak gönder
Stil
Normal Hybrid-Şeklinde gösterime geç Ağaç şeklinde gösterime geç

Benzer Konular
Konu	Konuyu Başlatan	Forum	Cevaplar	Son Mesaj
botnet ve syn flood saldırısını önleme	LucifeR	Sunucu Yönetimi	3	15-08-2007 00:07:19
WordPress Admin Koruma Duvarı	Sercan	Wordpress	1	17-04-2007 18:02:42
Oyun Koruma vs..	BaRaN	Radyo/Eggdrop/BNC/TCL	3	29-03-2007 15:53:35

Konuyu Toplam 1 Üye okuyor. (0 Kayıtlı üye ve 1 Misafir)