PHP Veritabansız Login Scripti

whatamnotsaying

Katılımcı Üye
29 Mar 2020
408
5
PHP Veritabansız Login Scripti


Script Özellikleri

-Sadece Türkiye'den girişlere izin veriyor.
-Bruteforce saldırılarını önlemek amacıyla 1 kere yanlış şifre girildiği an kendini Admin gelip müdahale edene kadar kilitliyor.
-Yanlış şifre giren ip adresslerini blackliste aldığından kiliti Admin kaldırdığında blacliste alından ip adres doğru şifreyi girse bile giriş yapamayacak hatta tekrar kilitlenmiyecek.
-Yanlış şifre girenin ne girdiği de blackvalue yani loglanmaktadır. Böylece Admin hangi şifrelerin denendiğini takip edip müdahale edebilir. Fakat 99 karakter uzunluğundan büyük olan şifreleri kaydetmez. Ayrıca ip adresi blackliste alınmış olduktan sonra tekrar o ip adresinden denenen şifreler kaydedilmez.
-Büyük bir iş için ideal değildir. Sadece kişisel bilgi saklamak için idealdir.
-PHP uzantısı saklanmaktadır.
-Bütün URL'leri anasayfaya yönlendirir. (query,hash ve ////// tarzı urller hariç)
-Çerez ve session kullanmaz. Forum post metodu üzerinden tüm işlemi halleder.
-Captcha eklenmemiştir. Çünkü zaten 1 yanlış şifre girişinde kendini direk kilitliyor.

-Hiçbir hata mesajı paylaşmaz ki saldırgan ne dönüp bittiğini anlamasın. Sadece kilitlendiğinde kilitlenmiş olduğunu söyler.
-Bir takım güvenlik headerları barındırmaktadır.

Not: Kiliti açmak için FTP'inize girip index.php kısmından sadece eklenmiş olan "exit" kısımlarını silmeniz gerekmektedir.
Not-2: Scriptin sahibi benim. İstediğiniz gibi düzenlemekte özgürsünüz. Fakat virüslü ya da kötü niyetli şekilde paylaşmakta özgür değilsiniz :)
Not-3: Tasarım üzerine odaklanılmadığından tasarım kısmı size bırakılmıştır. Ben güvenliğe odaklandım.

Demo: http://erasmus.mywebcommunity.org
İndirme Linki: https://www55.zippyshare.com/v/hEcuSkIr/file.html
Virustotal: https://www.virustotal.com/gui/file...1f33897a0098349cad4131173374e0ce9d6/detection


Yeni Güncelleme Getirdim !
Artık Hostinginiz bile hacklense verileriniz güvende olucaktır !

bAxJbW.jpg

~Yeni Özellikler~
-Saçma sapan kodlar kaldırıldı.
-Tasarım güzelleştirildi.
-Her sayfayı anasayfaya yönlendirme olayı kaldırıldı. Çünkü sitede sadece anasayfaya erişebilmek saçma geldi bana.
-Özel verilerinizi bundan sonra sadece anasayfaya koymak yerine başka sayfaya koyucaksınız.(İsterseniz kopyala yapıştır yaparak birden fazla sayfaya özel verilerinizi ayrı ayrı saklayabilirsiniz ancak include.php'yi düzenlemeyi kesinlikle unutmayın. Eğer PHP bilmiyorsanız hiç uğraşmayın.)
-Artık verilerinizi AES-256-CBC ile şifreleyip saklayacaksınız ! Yani login ekranı artık sadece şifre girince değil. şifre+aes-256-cbc-şifreleme-anahtarınız şeklinde giriceksiniz. Girdiğiniz zaman da ekrana özel verileriniz şifrelemesi çözülmüş halde gelicektir. Bu sayede hostinginiz hacklense bile verilenizi okuyamayacaklardır.


Anlayamayanlar İçin Örnek:
Şifrem: 123
Verilerimi AES-256-CBC İle Şifrelemede Kullandığım Anahtar: 321


123+321 şeklinde login yapıcaksınız.




-Sadece Türkiyeden girişe izin veren .htaccess listesi güncellendi.
-Artık direk kitlenme olayı yoktur. Neden mi ? Çünkü ilk sürümde gelen geçen şifre deneyerek logini kilitliyordu dolayısıyla ben açtıkça canı sıkılan kapatıyordu. Onun yerine 1 kere yanlış şifre girenin ip adresi banlanıcaktır üzerine girdiği değer 99 karakterden küçükse kaydedilecektir. Eğer 15 ip adresi banlanırsa artık login kendini kilitleyecektir. Siz FTP'ye girip müdahale etmek durumundasınız.
-İlk versiyonun da kilitlendiğinde sadece kilitlendiğini söyleyen hata paylaşırdı, artık hiçbir hata mesajı paylaşılmayacaktır ki saldırgan ne dönüp bittiğini anlamasın.
-Logout butonu eklendi.


~Tavsiyeler~
-PHP bilmiyorsanız kafanıza göre oynama yapmayın.
-Eğer bedava hostinge kurucaksanız siteye girip login yapmak yerine "<iframe src='loginadresiniz' sandbox></iframe>" şeklinde başka bir sayfadan girmenizi tavsiye ediyorum. Çünkü böylelikle hostinginiz hacklenip içine zararlı kodlar yerleştirilirse sandbox zararlı kodu çalıştırmayacağından sizi koruyacaktır. Ya da onun yerine tarayıcınızdan javascriptinizi ve flashınızı vs... kapatıpta giriş yapabilirsiniz. Ya da giriş yapmadan önceden kaynak kodunu inceledikten sonra giriş yapabilirsiniz ama ben son iki seçeneği pek tavsiye etmiyorum. Sandbox daha mantıklı geliyo.
-Güvenilir olmayan wifilerde giriş yapmayın.
-Güvenilir olmayan cihazlardan giriş yapmayın.
-İzlenebileceğiniz mekanlarda giriş yapmayın.
-Sitenizde bi zahmet SSL olsun.


Not: Scriptin sahibi benim. İstediğiniz gibi düzenleyip kullanmakta özgürsünüz. Fakat kötü niyetli düzenlemek/paylaşmak/kullanmakta özgür değilsiniz.
Not-2: Soruları olan veya eklenmesini istediğiniz yeni özellikler vs... olan varsa söyleyebilir.
Not-3: Hostinginiz hacklense bile verileriniz okunamayacaktır dedim aslında doğru. Fakat akıllı bir hacker FTP'nize sızıp login ekranında hiçbir değişiklik yapmayarak arkaplanda bir takım kodlar ekleyerek siz normal bir şekilde login yaptıktan sonra AES-256-CBC için kullandığınız anahtarı depolayan bir kod ekleyip sizin anahtarınızı çalabilir. Dolayısıyla bir daha ki konumda size hostinginizin hacklenmesinin sonucu anahtarınızın çalınma riskini ortadan kaldıran bir fikirle gelicem. Konuyu yayınlayınca bu postumun en altına linkini ekliyecem.

İndirme Linki: https://www8.zippyshare.com/v/GzBCbK2G/file.html

Virustotal: https://www.virustotal.com/gui/file/8f713e0ec7f90c7f0443536c74baed6a517aa52fe97ee5d7762bd400ad0c338e/detection
 
Moderatör tarafında düzenlendi:

DoD404

Yeni üye
1 Ara 2020
6
0
PHP Veritabansız Login Scripti


Script Özellikleri

-Sadece Türkiye'den girişlere izin veriyor.
-Bruteforce saldırılarını önlemek amacıyla 1 kere yanlış şifre girildiği an kendini Admin gelip müdahale edene kadar kilitliyor.
-Yanlış şifre giren ip adresslerini blackliste aldığından kiliti Admin kaldırdığında blacliste alından ip adres doğru şifreyi girse bile giriş yapamayacak hatta tekrar kilitlenmiyecek.
-Yanlış şifre girenin ne girdiği de blackvalue yani loglanmaktadır. Böylece Admin hangi şifrelerin denendiğini takip edip müdahale edebilir. Fakat 99 karakter uzunluğundan büyük olan şifreleri kaydetmez. Ayrıca ip adresi blackliste alınmış olduktan sonra tekrar o ip adresinden denenen şifreler kaydedilmez.
-Büyük bir iş için ideal değildir. Sadece kişisel bilgi saklamak için idealdir.
-PHP uzantısı saklanmaktadır.
-Bütün URL'leri anasayfaya yönlendirir. (query,hash ve ////// tarzı urller hariç)
-Çerez ve session kullanmaz. Forum post metodu üzerinden tüm işlemi halleder.
-Captcha eklenmemiştir. Çünkü zaten 1 yanlış şifre girişinde kendini direk kilitliyor.

-Hiçbir hata mesajı paylaşmaz ki saldırgan ne dönüp bittiğini anlamasın. Sadece kilitlendiğinde kilitlenmiş olduğunu söyler.
-Bir takım güvenlik headerları barındırmaktadır.

Not: Kiliti açmak için FTP'inize girip index.php kısmından sadece eklenmiş olan "exit" kısımlarını silmeniz gerekmektedir.
Not-2: Scriptin sahibi benim. İstediğiniz gibi düzenlemekte özgürsünüz. Fakat virüslü ya da kötü niyetli şekilde paylaşmakta özgür değilsiniz :)
Not-3: Tasarım üzerine odaklanılmadığından tasarım kısmı size bırakılmıştır. Ben güvenliğe odaklandım.

Demo: http://erasmus.mywebcommunity.org
İndirme Linki: https://www55.zippyshare.com/v/hEcuSkIr/file.html
Virustotal: https://www.virustotal.com/gui/file...1f33897a0098349cad4131173374e0ce9d6/detection


Yeni Güncelleme Getirdim !
Artık Hostinginiz bile hacklense verileriniz güvende olucaktır !

bAxJbW.jpg

~Yeni Özellikler~
-Saçma sapan kodlar kaldırıldı.
-Tasarım güzelleştirildi.
-Her sayfayı anasayfaya yönlendirme olayı kaldırıldı. Çünkü sitede sadece anasayfaya erişebilmek saçma geldi bana.
-Özel verilerinizi bundan sonra sadece anasayfaya koymak yerine başka sayfaya koyucaksınız.(İsterseniz kopyala yapıştır yaparak birden fazla sayfaya özel verilerinizi ayrı ayrı saklayabilirsiniz ancak include.php'yi düzenlemeyi kesinlikle unutmayın. Eğer PHP bilmiyorsanız hiç uğraşmayın.)
-Artık verilerinizi AES-256-CBC ile şifreleyip saklayacaksınız ! Yani login ekranı artık sadece şifre girince değil. şifre+aes-256-cbc-şifreleme-anahtarınız şeklinde giriceksiniz. Girdiğiniz zaman da ekrana özel verileriniz şifrelemesi çözülmüş halde gelicektir. Bu sayede hostinginiz hacklense bile verilenizi okuyamayacaklardır.


Anlayamayanlar İçin Örnek:
Şifrem: 123
Verilerimi AES-256-CBC İle Şifrelemede Kullandığım Anahtar: 321


123+321 şeklinde login yapıcaksınız.




-Sadece Türkiyeden girişe izin veren .htaccess listesi güncellendi.
-Artık direk kitlenme olayı yoktur. Neden mi ? Çünkü ilk sürümde gelen geçen şifre deneyerek logini kilitliyordu dolayısıyla ben açtıkça canı sıkılan kapatıyordu. Onun yerine 1 kere yanlış şifre girenin ip adresi banlanıcaktır üzerine girdiği değer 99 karakterden küçükse kaydedilecektir. Eğer 15 ip adresi banlanırsa artık login kendini kilitleyecektir. Siz FTP'ye girip müdahale etmek durumundasınız.
-İlk versiyonun da kilitlendiğinde sadece kilitlendiğini söyleyen hata paylaşırdı, artık hiçbir hata mesajı paylaşılmayacaktır ki saldırgan ne dönüp bittiğini anlamasın.
-Logout butonu eklendi.


~Tavsiyeler~
-PHP bilmiyorsanız kafanıza göre oynama yapmayın.
-Eğer bedava hostinge kurucaksanız siteye girip login yapmak yerine "<iframe src='loginadresiniz' sandbox></iframe>" şeklinde başka bir sayfadan girmenizi tavsiye ediyorum. Çünkü böylelikle hostinginiz hacklenip içine zararlı kodlar yerleştirilirse sandbox zararlı kodu çalıştırmayacağından sizi koruyacaktır. Ya da onun yerine tarayıcınızdan javascriptinizi ve flashınızı vs... kapatıpta giriş yapabilirsiniz. Ya da giriş yapmadan önceden kaynak kodunu inceledikten sonra giriş yapabilirsiniz ama ben son iki seçeneği pek tavsiye etmiyorum. Sandbox daha mantıklı geliyo.
-Güvenilir olmayan wifilerde giriş yapmayın.
-Güvenilir olmayan cihazlardan giriş yapmayın.
-İzlenebileceğiniz mekanlarda giriş yapmayın.
-Sitenizde bi zahmet SSL olsun.


Not: Scriptin sahibi benim. İstediğiniz gibi düzenleyip kullanmakta özgürsünüz. Fakat kötü niyetli düzenlemek/paylaşmak/kullanmakta özgür değilsiniz.
Not-2: Soruları olan veya eklenmesini istediğiniz yeni özellikler vs... olan varsa söyleyebilir.
Not-3: Hostinginiz hacklense bile verileriniz okunamayacaktır dedim aslında doğru. Fakat akıllı bir hacker FTP'nize sızıp login ekranında hiçbir değişiklik yapmayarak arkaplanda bir takım kodlar ekleyerek siz normal bir şekilde login yaptıktan sonra AES-256-CBC için kullandığınız anahtarı depolayan bir kod ekleyip sizin anahtarınızı çalabilir. Dolayısıyla bir daha ki konumda size hostinginizin hacklenmesinin sonucu anahtarınızın çalınma riskini ortadan kaldıran bir fikirle gelicem. Konuyu yayınlayınca bu postumun en altına linkini ekliyecem.

İndirme Linki: https://www8.zippyshare.com/v/GzBCbK2G/file.html

Virustotal: https://www.virustotal.com/gui/file/8f713e0ec7f90c7f0443536c74baed6a517aa52fe97ee5d7762bd400ad0c338e/detection
Tekear yüklermisiniz linke
 

DoD404

Yeni üye
1 Ara 2020
6
0
PHP Veritabansız Login Scripti


Script Özellikleri

-Sadece Türkiye'den girişlere izin veriyor.
-Bruteforce saldırılarını önlemek amacıyla 1 kere yanlış şifre girildiği an kendini Admin gelip müdahale edene kadar kilitliyor.
-Yanlış şifre giren ip adresslerini blackliste aldığından kiliti Admin kaldırdığında blacliste alından ip adres doğru şifreyi girse bile giriş yapamayacak hatta tekrar kilitlenmiyecek.
-Yanlış şifre girenin ne girdiği de blackvalue yani loglanmaktadır. Böylece Admin hangi şifrelerin denendiğini takip edip müdahale edebilir. Fakat 99 karakter uzunluğundan büyük olan şifreleri kaydetmez. Ayrıca ip adresi blackliste alınmış olduktan sonra tekrar o ip adresinden denenen şifreler kaydedilmez.
-Büyük bir iş için ideal değildir. Sadece kişisel bilgi saklamak için idealdir.
-PHP uzantısı saklanmaktadır.
-Bütün URL'leri anasayfaya yönlendirir. (query,hash ve ////// tarzı urller hariç)
-Çerez ve session kullanmaz. Forum post metodu üzerinden tüm işlemi halleder.
-Captcha eklenmemiştir. Çünkü zaten 1 yanlış şifre girişinde kendini direk kilitliyor.

-Hiçbir hata mesajı paylaşmaz ki saldırgan ne dönüp bittiğini anlamasın. Sadece kilitlendiğinde kilitlenmiş olduğunu söyler.
-Bir takım güvenlik headerları barındırmaktadır.

Not: Kiliti açmak için FTP'inize girip index.php kısmından sadece eklenmiş olan "exit" kısımlarını silmeniz gerekmektedir.
Not-2: Scriptin sahibi benim. İstediğiniz gibi düzenlemekte özgürsünüz. Fakat virüslü ya da kötü niyetli şekilde paylaşmakta özgür değilsiniz :)
Not-3: Tasarım üzerine odaklanılmadığından tasarım kısmı size bırakılmıştır. Ben güvenliğe odaklandım.

Demo: http://erasmus.mywebcommunity.org
İndirme Linki: https://www55.zippyshare.com/v/hEcuSkIr/file.html
Virustotal: https://www.virustotal.com/gui/file...1f33897a0098349cad4131173374e0ce9d6/detection


Yeni Güncelleme Getirdim !
Artık Hostinginiz bile hacklense verileriniz güvende olucaktır !

bAxJbW.jpg

~Yeni Özellikler~
-Saçma sapan kodlar kaldırıldı.
-Tasarım güzelleştirildi.
-Her sayfayı anasayfaya yönlendirme olayı kaldırıldı. Çünkü sitede sadece anasayfaya erişebilmek saçma geldi bana.
-Özel verilerinizi bundan sonra sadece anasayfaya koymak yerine başka sayfaya koyucaksınız.(İsterseniz kopyala yapıştır yaparak birden fazla sayfaya özel verilerinizi ayrı ayrı saklayabilirsiniz ancak include.php'yi düzenlemeyi kesinlikle unutmayın. Eğer PHP bilmiyorsanız hiç uğraşmayın.)
-Artık verilerinizi AES-256-CBC ile şifreleyip saklayacaksınız ! Yani login ekranı artık sadece şifre girince değil. şifre+aes-256-cbc-şifreleme-anahtarınız şeklinde giriceksiniz. Girdiğiniz zaman da ekrana özel verileriniz şifrelemesi çözülmüş halde gelicektir. Bu sayede hostinginiz hacklense bile verilenizi okuyamayacaklardır.


Anlayamayanlar İçin Örnek:
Şifrem: 123
Verilerimi AES-256-CBC İle Şifrelemede Kullandığım Anahtar: 321


123+321 şeklinde login yapıcaksınız.




-Sadece Türkiyeden girişe izin veren .htaccess listesi güncellendi.
-Artık direk kitlenme olayı yoktur. Neden mi ? Çünkü ilk sürümde gelen geçen şifre deneyerek logini kilitliyordu dolayısıyla ben açtıkça canı sıkılan kapatıyordu. Onun yerine 1 kere yanlış şifre girenin ip adresi banlanıcaktır üzerine girdiği değer 99 karakterden küçükse kaydedilecektir. Eğer 15 ip adresi banlanırsa artık login kendini kilitleyecektir. Siz FTP'ye girip müdahale etmek durumundasınız.
-İlk versiyonun da kilitlendiğinde sadece kilitlendiğini söyleyen hata paylaşırdı, artık hiçbir hata mesajı paylaşılmayacaktır ki saldırgan ne dönüp bittiğini anlamasın.
-Logout butonu eklendi.


~Tavsiyeler~
-PHP bilmiyorsanız kafanıza göre oynama yapmayın.
-Eğer bedava hostinge kurucaksanız siteye girip login yapmak yerine "<iframe src='loginadresiniz' sandbox></iframe>" şeklinde başka bir sayfadan girmenizi tavsiye ediyorum. Çünkü böylelikle hostinginiz hacklenip içine zararlı kodlar yerleştirilirse sandbox zararlı kodu çalıştırmayacağından sizi koruyacaktır. Ya da onun yerine tarayıcınızdan javascriptinizi ve flashınızı vs... kapatıpta giriş yapabilirsiniz. Ya da giriş yapmadan önceden kaynak kodunu inceledikten sonra giriş yapabilirsiniz ama ben son iki seçeneği pek tavsiye etmiyorum. Sandbox daha mantıklı geliyo.
-Güvenilir olmayan wifilerde giriş yapmayın.
-Güvenilir olmayan cihazlardan giriş yapmayın.
-İzlenebileceğiniz mekanlarda giriş yapmayın.
-Sitenizde bi zahmet SSL olsun.


Not: Scriptin sahibi benim. İstediğiniz gibi düzenleyip kullanmakta özgürsünüz. Fakat kötü niyetli düzenlemek/paylaşmak/kullanmakta özgür değilsiniz.
Not-2: Soruları olan veya eklenmesini istediğiniz yeni özellikler vs... olan varsa söyleyebilir.
Not-3: Hostinginiz hacklense bile verileriniz okunamayacaktır dedim aslında doğru. Fakat akıllı bir hacker FTP'nize sızıp login ekranında hiçbir değişiklik yapmayarak arkaplanda bir takım kodlar ekleyerek siz normal bir şekilde login yaptıktan sonra AES-256-CBC için kullandığınız anahtarı depolayan bir kod ekleyip sizin anahtarınızı çalabilir. Dolayısıyla bir daha ki konumda size hostinginizin hacklenmesinin sonucu anahtarınızın çalınma riskini ortadan kaldıran bir fikirle gelicem. Konuyu yayınlayınca bu postumun en altına linkini ekliyecem.

İndirme Linki: https://www8.zippyshare.com/v/GzBCbK2G/file.html

Virustotal: https://www.virustotal.com/gui/file/8f713e0ec7f90c7f0443536c74baed6a517aa52fe97ee5d7762bd400ad0c338e/detection
Tekear yüklermisiniz linke
 
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.