SK

Çerez Kullanımı

Bu web sitesi, deneyiminizi iyileştirmek ve site kullanımını analiz etmek için çerezler kullanmaktadır. Gizlilik Politikası sayfamızdan detaylı bilgi alabilirsiniz. Çerezleri kabul ederek, KVKK kapsamında verilerinizin işlenmesine onay vermiş olursunuz.

Samet Karabulut - Unrestricted File Upload Zafiyeti ve Önlemleri
#SIBERGüVENLIK #UNRESTRICTEDFILEUPLOAD #ZAFIYET #SıZMATESTI #WEBUYGULAMASı #GüVENLIK

Unrestricted File Upload Zafiyeti ve Önlemleri

Samet Karabulut

March 4, 2026

3 min read

Giriş

Unrestricted File Upload, siber güvenlik alanındaki kritik zafiyetlerden biridir. Sızma testlerinde sıklıkla karşılaşıyorum ve bu zafiyetin neden olduğu sorunları görüyorum. Bu makalede, Unrestricted File Upload zafiyetini, nedenlerini, nasıl tespit edildiğini ve sömürüldüğünü, ayrıca önlemler alınabileceğini anlatıyorum.

Unrestricted File Upload, bir web uygulamasının, kullanıcının yüklediği dosyaları herhangi bir kontrol olmadan sunucuya kaydetmesine izin vermesiyle ortaya çıkan bir zafiyettir. Bu, saldırganların zararlı dosyaları sunucuya yüklemelerine ve bu dosyaları çalıştırma imkanına sahip olmasına neden olabilir.

Unrestricted File Upload Zafiyeti

Unrestricted File Upload zafiyeti, genellikle web uygulamalarının, kullanıcıların yüklediği dosyaları kontrol etmemesinden kaynaklanır. Bu, saldırganların, zararlı dosyaları sunucuya yüklemelerine ve bu dosyaları çalıştırma imkanına sahip olmasına neden olabilir.

Zafiyetin Nedenleri

Zafiyetin nedenleri arasında, web uygulamalarının, kullanıcıların yüklediği dosyaları kontrol etmemesi, dosya uzantılarını kontrol etmemesi ve yüklenen dosyaları güvenli bir şekilde depolamaması sayılabilir.

Tespit

Zafiyeti tespit etmek için, Nmap, Nikto, SearchSploit gibi araçları kullanıyorum. Ayrıca, curl ile örnek istekleri çalıştırarak, zafiyetin varlığını kontrol edebilirim.

nmap -sV -p 80 example.com

Yukarıdaki komut, example.com adresindeki web sunucusunun açık portlarını ve servislerini tarayarak, zafiyetin varlığını kontrol edebilirim.

Sömürü

Zafiyeti sömürmek için, saldırganlar, zararlı dosyaları sunucuya yükleyerek, bu dosyaları çalıştırma imkanına sahip olabilirler. Örneğin, bir PHP dosyasını sunucuya yükleyerek, bu dosyayı çalıştırabilir ve sunucuyu kontrol edebilirler.

Yukarıdaki örnek, bir PHP dosyasını sunucuya yükleyerek, bu dosyayı çalıştırma imkanına sahip olabileceğini göstermektedir.

Çözüm ve Önlemler

Unrestricted File Upload zafiyetini önlemek için, web uygulamalarının, kullanıcıların yüklediği dosyaları kontrol etmesi, dosya uzantılarını kontrol etmesi ve yüklenen dosyaları güvenli bir şekilde depolaması gerekmektedir.

Ayrıca, web uygulamalarının, güncellenmesi ve güvenli bir şekilde yapılandırılması da önemlidir. Örneğin, Apache web sunucusu için, aşağıdaki yapılandırma değişikliği yapılabilir:

AddHandler cgi-script .cgi .pl .plx .ppl .perl

Yukarıdaki yapılandırma değişikliği, Apache web sunucusunun, CGI scriptlerini çalıştırmasına izin vererek, Unrestricted File Upload zafiyetini önleyebilir.

Sonuç

Unrestricted File Upload zafiyeti, siber güvenlik alanındaki kritik zafiyetlerden biridir. Sızma testlerinde sıklıkla karşılaşıyorum ve bu zafiyetin neden olduğu sorunları görüyorum. Web uygulamalarının, kullanıcıların yüklediği dosyaları kontrol etmesi, dosya uzantılarını kontrol etmesi ve yüklenen dosyaları güvenli bir şekilde depolaması gerekmektedir. Ayrıca, web uygulamalarının, güncellenmesi ve güvenli bir şekilde yapılandırılması da önemlidir.

Yorumlar

Henüz yorum yok. İlk yorumu sen yap.