MegaforBB artık çok daha güvenli. Sistemin kaportasındaki gedikleri kapattık,
Özel Konu Gizliliği (BOLA):
is_private=1olarak işaretlenen konuların sitemap, API veya yan menüler üzerinden yetkisiz kullanıcılara sızması tamamen engellendi.İşlem Güvenliği (CSRF): Admin panelindeki Import ve Reset gibi veritabanını sıfırlayabilecek kritik işlemlere CSRF koruması eklendi.
XSS Savunması: HTML filtresi, tırnaksız (unquoted) attribute'lar üzerinden yapılan kod enjeksiyonu denemelerini yakalayacak şekilde güncellendi.
API Tahkimatı: API mutation noktaları ve performans test alanları artık sadece CSRF token ve POST isteği ile çalışıyor.
Görsel ve Veri Güvenliği: Yüklenen resimler otomatik WebP formatına çevriliyor ve içerdikleri gizli meta veriler (EXIF/Konum) sistem tarafından temizleniyor.
Oturum Koruması: HTTPS aktif olan sunucularda çerezlerin (cookie) güvenliğini sağlamak için 'Secure' flag kullanımı zorunlu hale getirildi.
Anlık Takip: Kritik sistem hataları ve moderasyon hareketleri anlık olarak Telegram üzerinden yönetim ekibine raporlanıyor. (Henüz geliştirme aşamasında ilerde yayınlanacaktır.)
Bu güvenlik testlerini Tamamen yapay zeka'ya sistemi inceletip kapsamlı analizini yaptırıp olası güvenlik açıkalrının tespitinde son derece yakından kullanıyoruz. Bu güvenlik güncellemesinde Dvina.ai Güvenlik tarama ve analiz sisteminden yardım aldık. Bu sayede kullanıcı bazlı belki de yıllarca fark edilmeyecek olan güvenlik açıklarını bizim için aramış ve bulmuş oldu kendilerine de Teşekkür ediyoruz 🙂
