Site paneli açiğini kapatmak için içeri gir sw en hacklenmes

Arkadaşlar Site Panelinde Login Bölümü Olan Tüm Server Sahipleri Bu Açıkla Karşı Karşıyadır.

Bu Açığın Mantıgı Site Panelinizin Login Bölümü Varsa Login Bölümünden Mysql Bilgilerinizi Edinirler.

Ve Mysql a Girip Account Player vb Sql Dosyalarınızı Silebilirler

Bu 1. Çözüm Yolu

Küçük bir Session Açığı PHP Kodlamayı Bilen Herkes Bu Sorunu Ve Çözümünü Bilir

Açığın Nedeni Şu

index.php en Üst Satırında Bulunan



session_name("m2hp_")

Komutunun butun panellerde aynı olması dolayısıyla 1. serverin paneline girdiğinizde sizin sessionunuzu m2hp_askdsakhdjas olarak kayıt eder. 2. Serverin panelinede girdiğinizde aynı tarayıcı olduğunuz için sizi m2hp_askdsakhdjas olarak algılar ve o ID den giriş yapar.

Mesela 1. Serverda ID niz 1000 ise 2. server paneline girdiğinizde 1000 id sinde olan kişinin hesabına bağlanırsınız.




session_name("m2hp_ss_111_11")

Olarak değiştirip çözümü bulabilirsiniz.



2. Çözüm Yolu İse

Bu Yol İse head.inc.php Kullananlar İçindir.

head.inc.php nin İçerisinde Şöyle Bir Yer Vardır





if(!empty($_POST['userid']) && !empty($_POST['userpass'])




Bu Kodların Yanına Şu Eklenince Açık Kalkıyor.






if(!empty($_POST['userid']) && !empty($_POST['userpass']))