Bu sözlükte, güvenlik dokümanlarımızda referans verilen teknik terimler derlenmiştir.
- Yönetici ayrıcalıkları
- Bir sistemdeki en yüksek düzeyde izne sahip hesap ayarı. Bu ayrıcalıklar; sitenin tamamını silme, şifreleri sıfırlama veya dosya yükleme gibi işlemlere izin verir.
- Arka kapı
- Kimlik doğrulama denetimlerini atlamak ve bilgisayar korsanının sisteme erişimini sürdürmek için sisteme yüklenmiş bir program.
- Gizleme
Gerçek kullanıcılara ve arama motorlarına farklı içerik veya URL'ler sunma uygulaması.
Örneğin, dinamik komut dosyaları ve
.htaccesskuralları, işlenen isteklere dayalı olarak durum kodları döndürebilir. Bilgisayar korsanları, belirli IP adreslerine veya tarayıcılara 404 ya da 500 hata kodu döndürerek izlerini gizlemek için gizlemeyi kullanırken diğer IP adreslerine veya tarayıcılara spam ileti sunarlar.- Yapılandırma dosyaları
Dinamik siteler için veritabanı konumu ve kimlik bilgileri gibi bilgileri depolayan dosyalar.
- İçerik Yönetim Sistemi (CMS)
Kullanıcıların web sitesi oluşturup düzenlemesine yardımcı olan yazılım paketleri. WordPress, Drupal ve Joomla! örnekleri olsa da, bazıları özel olarak tasarlanmış olanlar da dahil olmak üzere pek çok başka program da vardır.
- Dijital adli tıp uzmanları
Sitenizi temizlemenize ve sitenizin güvenliğinin nasıl ihlal edildiğini belirlemenize yardımcı olabilecek kişiler veya ekipler.
- Statik web sayfası
Bir web sitesinin içeriğini görüntüleyen tek ve değişmeyen bir dosyadan oluşan web sayfası.
- Dinamik web sayfası
Sitede içerik oluşturmak için komut dosyalarını ve şablonları kullanan bir web sayfasıdır. Söz konusu sayfa her istendiğinde her sayfayı yeniden oluşturur.
eval()Bir dizeyi değerlendiren ve sonucu döndüren bir PHP ve JavaScript işlevi. Eval işlevleri saldırganların kötü amaçlı kodlara gizlice (örneğin, zararlı PHP komutları yerleştirerek) erişim sağlamalarına olanak tanıdığından, sitede kullanıcı girişleri söz konusu olduğunda bu işlevlerin kullanılması önerilmez.
- Dosya Aktarım Protokolü (FTP)
Dosyaları bir makineden diğerine aktarmak için kullanılan protokoldür.
- Gizli dosyalar
Varsayılan olarak dizinde görünmeyen dosyalar. Önemli bilgilerin yanlışlıkla değiştirilmesini önlemek için
.htaccessgibi dosyalar genellikle gizlenir. Dosya sisteminizi, gizli dosyaları görüp düzenlemenizi sağlayacak şekilde yapılandırmanız gerekir.- HTTP Durum Kodları
Kullanıcılar bir sayfayla etkileşimde bulunmaya çalıştığında (ör. bir sayfayı yüklerken veya yorum gönderirken web sunucularının içerikle birlikte döndürdüğü standart yanıtlar). Bu kodlar, kullanıcıların web sitesinin nasıl yanıt verdiğini anlamasına veya hataları tespit etmesine yardımcı olur. Durum kodlarının tam listesi ve anlamları için World Wide Web Konsorsiyumu'nun Durum Kodu sayfasına bakın.
- iFrame
Web sayfasının bir sayfadaki içeriği başka bir sayfada göstermesine olanak tanıyan kod. Gizli iframe'ler, kullanıcıları sitelerine yönlendirmek için bilgisayar korsanları tarafından yaygın olarak kullanılan bir taktiktir.
- Günlük dosyası
Sunucuda gerçekleştirilen tüm etkinlikleri izlemek için web sunucularının kullanıcı isteklerini kaydettiği dosyalar. Günlük dosyalarını inceleyerek saldırı girişimlerini veya şüpheli trafiği tespit edebilirsiniz.
- Kötü amaçlı yazılım
Bilgisayara, çalıştırdığı yazılıma veya kullanıcılarına zarar vermek için özel olarak tasarlanmış her türlü yazılım. Daha fazla bilgi edinmek için Kötü amaçlı ve istenmeyen yazılımlar bölümünü inceleyin.
- Kod karıştırma (obfuscation)
Bilgisayar korsanlarının, kodun okunmasını zorlaştırarak diğer kullanıcıların kodlarını yorumlarken kafalarını karıştırmak için kullandıkları bir taktiktir. Bilgisayar korsanları tarafından yaygın olarak kullanılan kod karartma yöntemleri arasında karakter değiştirme, değişken adlarını kasıtlı olarak karıştırma,
base64,rot13,gzipgibi kodlamalar, URL kodlaması, onaltılık kodlama veya bunların bir birleşimini kullanma bulunmaktadır. Web kabuklarının tamamı gibi büyük miktarda kodu sıkıştırmak ve gizlemek içinbase64vegzipgibi bazı kod karartma yöntemleri de kullanılır.- Kimlik avı
Güvenilir bir kaynağı taklit ederek, kullanıcı adı veya şifre gibi hassas bilgileri paylaşmaları için kullanıcıları kandıran bir sosyal mühendislik biçimidir. Örneğin, kimlik avcıları, bankalarının kimliğine bürünerek potansiyel bir kurbana e-posta gönderip banka hesap bilgilerini isteyebilir. Daha fazla bilgi edinmek için Kimlik avı saldırılarını önleme ve bildirme konusuna bakın.
- Search Console
Google tarafından sunulan ve Google Arama sonuçlarında sitenizin nasıl yer aldığını izlemenize ve yönetmenize yardımcı olan ücretsiz bir hizmet. Google, web sitesi sorunlarıyla ilgili olarak site sahipleriyle iletişim kurmak için de Search Console'u kullanır. Daha fazla bilgi için Search Console hakkında konusuna bakın.
- Site haritası
Arama motorlarına sitenin içeriğinin düzenlemesiyle ilgili bilgi veren, bir sitedeki web sayfalarının listesini içeren bir dosya. Daha fazla bilgi edinmek için Site haritaları hakkında bilgi edinme bölümüne bakın.
- Sosyal mühendislik
Doğrudan koda saldırmak yerine kullanıcıları kandırarak erişim sağlamaları için kandırmayı deneyerek hassas bilgilere erişim veya bu bilgileri kontrol etme yöntemidir. Kimlik avı, en yaygın sosyal mühendislik biçimlerinden biridir. Daha fazla bilgi edinmek için Sosyal mühendislik (kimlik avı ve aldatıcı siteler) bölümünü inceleyin.
- Trafikte ani artış
Web sitesi trafiğinde ani veya beklenmeyen artış.
- İki faktörlü kimlik doğrulama (2FA)
En az iki jeton değerinde kanıt gerektirerek hesaba girişi koruyan bir güvenlik mekanizması. Örneğin, iki faktörlü kimlik doğrulama kullanan bir kullanıcı, hesabına erişmek için hem şifreye hem de SMS ile alınan bir güvenlik koduna ihtiyaç duyabilir.
- Web barındırma hizmeti
Kullanıcılara sitelerini bir web sunucusunda barındırmaları için alan sağlayan (ör. Google Sites) bir hizmet. Hizmete bağlı olarak ek özellikler veya araçlar bulunabilir.
- Web komut dosyası dilleri
Bir siteye form işleme, yorum denetleme veya özel görsel efektler gibi ekstra özellikler eklemek için genellikle HTML ile birlikte kullanılan kodlama dilleri. Kurtarma kılavuzlarında, PHP veya JavaScript'e referans vermek için komut dosyası dili kullanılır.
PHP, sunucu tarafı bir kodlama dilidir. Yani, komutlar web sunucusu tarafından yorumlanır ve yürütülür. Javascript temel olarak bir istemci tarafı dilidir. Yani, komutlar kullanıcının tarayıcısı tarafından yorumlanır ve yürütülür.
- Web sunucusu
Bir web sitesiyle ilgili web sayfalarını ve diğer dosyaları barındıran ve kontrol eden makine ve yazılım.
- Web kabuğu
Saldırganların sunucuya erişim sağlamaya devam etmesine olanak tanıyan bir arka kapı komut dosyasıdır.
- Web spam'i
Arama motorlarını yanıltarak ve manipüle ederek bir sitenin sıralamasını veya popülerliğini yükseltmeye çalışan yanıltıcı arama motoru optimizasyonu (SEO) taktikleri veya spam içeriği.