Sahibinden.com Açığı
25 Temmuz 2011
Merhabalar,
Bu sabah ilginç bir şey ile karşılaştım. Sahibinden.com adresine girdiğimde ve herhangi bir şey aradığımda bir kod parçacığı önüme döküldü. Genelde olabilir böyle şeyler, bir syntax hatası yapılır ve anlamsız kodlar önünüze gelir. Yok yok bu böyle değildi, kaynağını görüntülediğimde o korkunç görüntü ile karşılaştım, evet bunlar kaynak kodlardı.
İşin garip yanı hata search kısmındaydı yani burayla ilgili sonuçlar bekleyebilirdik fakat gördüğüm tamamen config dosyalarıydı. Yani sahibinden.com'un web farm bilgilerinden, ftp şifrelerine, mongo database bilgilerinden session parametrelerine kadar her şey. Oysa ki hata çok ama çok basit bir şeyden kaynaklanmıştı, < yazmak yerine bir üst tuş olan a harfine basılmıştı. Yani <?php yerine a?php.
İşte hala Türkiye'de yazılım anlayışının oturmadığının kanıtı. Production servera atılacak her dosya test edilmelidir. İlginçtir ki bu dosya local development ortamında da böyle gözükürdü, gerçekten büyük aceleleri vardı sanırım bir hotfix belki?
Sözün özü muhtemelen tüm altyapı değişecek, bu gibi durumların oluşmaması için ara katmanlar eklenecek ve daha iyi bir development processi geliştirilecektir, en azından böyle umuyorum ben.
Bu açığı bulduğumda yetkililere nereden ulaşabileceğimi bilemedim, ama sanırım onlar da fazla sürmeden farkettiler. Fakat yine de 1 dakika bile uzun bir süre ki sanırım 15 dakika yayınlandı bunlar.
Şimdiden sahibinden.com'a geçmiş olsun diler, bu durumdan iyi bir ders çıkartmış olduklarına inanmak isterim. Bir iki kişiye suçu atıp olayı örtbas etmektense tüm ekibin toparlanıp acil kararlar almasını dilerim, zira Türkiye'de genelde suç atma vb. durumlarla bu iş temizlenir anlayışı vardır.
Her ne kadar sahibinden.com'dan bana ulaşılmamış olsa da, ekşi sözlük'te yorum yapan tahminimce bir sahibinden.com developerının belirttiğine göre problemin sebebi basit bir hata değilmiş. Günde 2 milyon hit alan sahibinden.com'un bir saldırı sonucu Php interpreterı çökmüş ve bizler config parametreleri ile karşılaşmışız. Bunun yanında kredi kartlarının vs. risk durumu yok arkadaşlar.