Server Side Includes (SSI) Açığı-Korunma yolları (Kısa)




Merhaba arkadaşlar bugun sizlere Server Sıde İnclude Injection yanı kısaltımı ile SSI İnjection ve SSI İnjection'dan korunma yollarından bahsedeceğim.

Kısaca SSI Nedir ?

SSI Web Uygulamalarında,Sayfalarında statik yapılı sayfalara dinamik içerik ekleyebilmenize olanak sağlayan bir yapıdır.
Yani Örnek olarak html bir sayfa düşünün ve Copyright bölümünü değiştirmek için tüm indexlerde (iletişim,hakkımızda gibi) değişiklik yapmanız gerekecek peki ya ben bir sayfamı her sayfada Copyright veya Footer gibi yerleri göstermek istiyorsam bu yerde SSI yani Server Sıde İnclude ile yapılıyor.
Fakat veri tabanına sızma gibi açıklar yaratabilir.

SSI İnjection nasıl kullanılır ?

Arama veya kayıt olma gibi yerlerde 
Örnek olarak;
<!--#exec cmd="ls"-->
yazarak site içindeki dosyaları görürüz.
burada örnek olarak /adminpass/pass.php gördük diyelim ki
<!--#exec cmd="cd /adminpass/pass.php"--> şekilde girebilir ve password'u çalabiliriz
Bunun gibi
<!--#ecec cmd"cd /path"-->
gibi birçok kritik bilgilere ulaşabilirsiniz.

Korunma Yolları

1.Sadece Çok gerekli ise kullanın
2.Sitenizde Özel karakterler filtrelenebilir.