AFFA yanında Media Komitəsinin elan elədiyi layihə müsabiqəsi çərçivəsində hazırlanan bu məqalə predmet baxımından mövzunun əsas məğzi sayılır.

Bunadək “FutbolPress” AFFA, PFL, “Zirə”, “İnter”in mətbuat əlaqələndiricilərinin prezentasiyalarını təqdim edib. Həmçinin daha iki məqalə hazırlanıb. Redaksiya çalışır ki, Azərbaycan futbolunda PR anlayışının mövcudluq həddini müəyyənləşdirsin, media əlaqələndiricilərinin işi ilə ictimaiyyəti tanış eləsin. 

Beləliklə, budəfəki məqalədə biz Azərbaycan Premyer Liqasında iştirak edən klubların rəsmi saytlarını araşdırmışıq. Layihə çərçivəsində əməkdaşlığa başladığımız proqramçı,  kompüter mühəndisliyi üzrə tanınan mütəxəssis Ziya Bayramov saytların proqram təminatını araşdırıb, onların deffektlərini üzə çıxardıb.

Təfsilata varmadan, müxtəlif detallar üzrə saytların çatışmazlıqlarını, mümkün qədər sadə, anlaşıqlı dildə qeyd edəcəyik. Deffektləri daha dəqiqliyi ilə öyrənmək istəyən klublar bizimlə əlaqə saxlayıb, tam araşdırmanı (ayrı-ayrı fayllar şəklində) əldə edə bilərlər. Bunun vasitəsilə onlar saytı sifariş etdikləri veb mühəndislərlə, necə deyərlər, hesablaşa – nöqsanların səbəbini soruşa bilərlər.

Tam araşdırmanı dərc eləməməyimizin səbəbi isə budur ki, aşkarlanan deffektlərdən hakerlər istifadə eləyib, həmin saytların zəif nöqtəsini asanlıqla müəyyənləşdirib, dağıda bilərlər. Belədə redaksiyamız “kibercinayət” işləmiş olacaq.

Beləliklə, təfsilat:

İstifadə olunan texnologiyalar

------------------------------

Bütün klub saytları server-tərəfli skript/proqramlaşdırma dili kimi PHP-ni, klient tərəfli s./p. dili kimi JavaScript-i (jQUery kitabxanası, verilənlər bazasının idarəetmə sistemi kimi MySQL-i seçib. “Kəpəz”, “İnter”, “Xəzər Lənkəran” - hazır Məzmun İdarəetmə Sistemlərindən (CMS) istifadə edirlər.

“Kəpəz” – Drupal
“İnter” – Joomla
XL - təyin olunmadı.

Hər birində server seçimləri Apache (5) və Nginx (5).

Apache veb serverin sonuncu versiyası  2.4.20
Nginx proksi serverin son versiyası  1.10.x
PHP son versiya  (5x seriyası ) 5.6.1x, PHP 7

AZAL

- PHP 5.3.26  (-)
- Apache 2.2.24 (-)

Qəbələ

- PHP 5.6.15 (+)
- Apache 2.2.31 (-)

İnter

- Joomla/PHP 5.3.29 (-)
- Apache 2 (Müəyyən olunmadı)

Kəpəz

- Drupal/PHP
- Nginx (Müəyyən olunmadı)

Neftçi

- PHP 5.6.18 (+)
- Nginx 1.9.12 (-)

Qarabağ

- PHP 5.4.44 (-)
- Apache (Müəyyən olunmadı)

Sumqayıt

- PHP (Müəyyən olunmadı)
- Nginx 1.10.0 (+)

Xəzər Lənkəran

- PHP 5.5.36 (-)
- Nginx (Müəyyən olunmadı)

Zirə

- PHP 5.4.39 (-)
- Nginx 1.6.2 (-)

***                 ***                    ***

“Neftçi” istisna olmaqla, digər saytların hamısında böyük risk kateqoriyasına aid səhvlər aşkarlandı (“Əlavə 1”də klublar üzrə raportların xülasəsi var).

Əlavə 1:

AZAL

(***) Clickjacking-ə (kliklə oğurlamaq) qarşı tədbir görülməyib.
(***) XSS (Cross Site Scripting) ineksiyalarına qarşı tədbir görülməyib.
(*) Saytın qismi faylları (header.php, footer.php) təxminolunandır və istənilən mənbədən birbaşa çağırıla bilir.

Qəbələ

(***) Clickjacking-ə (kliklə oğurlamaq) qarşı tədbir görülməyib.
(***) XSS (Cross Site Scripting) ineksiyalarına qarşı tədbir görülməyib.
(***) Təhlükəsizlik üçün istifadə olunan mod_ssl-in versiyası köhnədir. Modulun sözügedən versiyasında sistemin idarə terminalına icazəsiz giriş imkanları aşkar olundu.
(**) İstifadəçidən gələn məlumatlar yoxlanılmadan icraedici kodlara ötürülür, bu da bəzi hallarda xətaya səbəb olur və sistemin quruluşu haqda bədniyyətli istfadəçilərə kifayət qədər məlumat verə bilər.
(Məs: http://www.gabalafc.az/?mod=content&id=56&lang=fd)
(*) Hostinqə aid standart perl skriptlərini birbaşa çağırmaq mümkündür, müxtəlif HTTP metodları (POST, PUT, HEAD və s.) ilə bədniyyətli istifadəçilər bazaya arzuolunmaz məlumatları daxil edə, yaxud onları silə bilərlər.
 
İnter

(***) Clickjacking-ə (kliklə oğurlamaq) qarşı tədbir görülməyib.
(***) XSS (Cross Site Scripting) ineksiyalarına qarşı tədbir görülməyib.
(***) İstifadə olunan webmail servisinin (Iloha mail) cari versiyasının (0.8.10) bədniyyətli istifadəçilər tərəfindən istismar olunmağı mümkündür.
(**) PHP mühiti haqda məlumatlar (phpinfo) gizlədilməyib.
(*) .htaccess faylı htaccess.txt formasında saxlanılıb və gizlədilməyib.

Kəpəz

(***) Clickjacking-ə (kliklə oğurlamaq) qarşı tədbir görülməyib.
(***) XSS (Cross Site Scripting) ineksiyalarına qarşı tədbir görülməyib.
(**) Drupal-ın təhlükəsizlik standartlarına riayət olunmayıb. 

Neftçi

(***) Clickjacking-ə (kliklə oğurlamaq) qarşı tədbir görülməyib.

Qarabağ

(***) Clickjacking-ə (kliklə oğurlamaq) qarşı tədbir görülməyib.
(***) XSS (Cross Site Scripting) ineksiyalarına qarşı tədbir görülməyib.

Sumqayıt

(***) Clickjacking-ə (kliklə oğurlamaq) qarşı tədbir görülməyib.
(***) XSS (Cross Site Scripting) ineksiyalarına qarşı tədbir görülməyib.
(*) Hostinqə aid standart perl skriptlərini birbaşa çağırmaq mümkündür, müxtəlif HTTP metodları (POST, PUT, HEAD və s.) ilə bədniyyətli istifadəçilər bazaya arzuolunmaz məlumatları daxil edə, yaxud onları silə bilərlər.

Xəzər Lənkəran

(***) Clickjacking-ə (kliklə oğurlamaq) qarşı tədbir görülməyib.
(***) XSS (Cross Site Scripting) ineksiyalarına qarşı tədbir görülməyib.

Zirə

(***) Clickjacking-ə (kliklə oğurlamaq) qarşı tədbir görülməyib.
(***) XSS (Cross Site Scripting) ineksiyalarına qarşı tədbir görülməyib.
(***) İstifadəçidən gələn məlumatlar yoxlanılmadan icraedici kodlara ötürülür, bu hallarda xətaya, bəzi hallarda isə məzmunun arzuolunmaz formada təqdimatına gətirib çıxarır. Bu tip sorğular ardıcıl təkrarlandıqda saytın işləyişini dayandırır. 
(Məs: http://fczire.az/index.php?language=ernesto, http://fczire.az//index.php/, http://fczire.az//index.php/content/advancedsearch/?options=content&id=31, http://fczire.az//index.php/content/advancedsearch/?SearchText=&PhraseSearchText=&SearchContentClassID=-1&SearchSectionID=-1&SearchDate=-1&SearchButton=Search  )
(**) error_log faylı istifadəçilər üçün əlçatandır. 26-31 May tarixləri arasında həmin faylda bazaya qoşulmaq üçün müəyyən məlumatlar var idi. Bu da bədniyyətli istifadəçinin işini xeyli asanlaşdırır.

- Qeyd: Qarşısında daha çox ulduz işarəsi (*) olanlar daha zəif mühafizədədir və ya daha ucuz materiallarla yığılan saytlardır. Tövsiyyəmiz budur ki, klublar bu çatışmazlıqları əməkdaşlıq elədiyi veb mühəndisə bildirsin. Yekun nəticədə, "Neftçi"nin saytını nisbətdə daha mühafizəli və yaxşı yığıldığını bildirmək olar. Qarşısında ən az ulduz işarəsindən bilmək olar bunu. Ən zəif mühafizə və pis yığılma isə "Zirə"nin saytındadır. Bu təsnifatla siz sıralamanı özünüz də apara bilərsiniz.

Növbəti məqalədə AFFA və PFL-in rəsmi saytları haqda ətraflı araşdırma dərc ediləcək.

"FutbolPress"

* Məqalə AFFA yanında Media Komitəsinin layihə müsabiqəsinə təqdim edilməkçün hazırlanıb