Güvenlik Tarama Raporu - Tamamlandı

Güvenlik Tarama Sonuçları

90 Kontrol Noktası + Detaylı Analiz

5 Ocak 2026 - 21:00 | tuufi.com | Sistem Genel Durumda Güvenli

Basit Anlatım (Herkes İçin)

Web siteniz 90 farklı güvenlik kontrolünden geçirildi. Sistem genel olarak güvenli ama birkaç yapılandırma sorunu tespit edildi.

85+
Temiz Geçen Kontrol
Backdoor, malware, shell yok ✅
4
Yapılandırma Sorunu
Debug mode, CORS, public PHP ⚠️
0
Kritik Tehdit
Backdoor, webshell tespit edilmedi ✅

Özet: Sitenizde zararlı kod yok. Sadece bazı güvenlik ayarlarını güncellemeniz gerekiyor (debug mode kapatma, CORS düzenleme vb.).

Teknik Detaylar (Geliştiriciler İçin)

Tarama Kapsamı: 22 kategori, 90 kontrol noktası

Taranan Dizinler: /var/www/vhosts/tuufi.com/httpdocs

Vendor Hariç: Üçüncü parti kütüphaneler (composer packages) taramada hariç tutuldu

Tarama Süresi: ~25 dakika

Kullanılan Rehber: v5 (90 Kontrol)

Bulgular Özeti

Kritik Bulgular (Hemen Düzeltilmeli)

1. Debug Mode Aktif (Production'da)

Kritik

.env dosyasında APP_DEBUG=true ayarı aktif.

Neden Tehlikeli?

  • Hata mesajları ekranda gösterilir (stack trace, dosya yolları sızar)
  • Saldırganlar sistem yapısını öğrenebilir
  • Production ortamında ASLA açık olmamalı

Nasıl Düzeltilir?

# .env dosyasını düzenle
APP_DEBUG=false

# Config cache'i yenile
php artisan config:clear
php artisan config:cache

2. Güvensiz CORS Yapılandırması

Kritik

Access-Control-Allow-Origin: * (tüm domainlere izin).

Etkilenen Dosyalar:

  • app/Http/Controllers/Streaming/MuzikStreamController.php
  • Modules/AI/app/Http/Controllers/Admin/Profile/AIProfileController.php
  • Modules/Announcement/app/Http/Resources/AnnouncementCollection.php

Çözüm:

// config/cors.php içinde belirli domainler
'allowed_origins' => [
    'https://tuufi.com',
    'https://ixtif.com',
    'https://muzibu.com',
],

Yüksek Öncelikli Bulgular

Public'te Yönetim PHP Dosyaları

Yüksek

4 PHP dosyası public klasöründe.

  • public/opcache-reset.php
  • public/opcache-reset-muzibu.php
  • public/clear-cache.php
  • public/productfeed.php

✅ Öneri: Artisan command'e çevir veya IP whitelist ekle

Orta Öncelikli Bulgular

Backup Dosyaları Public'te

  • public/assets/js/ai-chat.js.backup
  • public/readme/2025/12/05/subscription-complete-guide/index.html.backup
sudo rm public/assets/js/ai-chat.js.backup
sudo rm public/readme/2025/12/05/subscription-complete-guide/index.html.backup

Temiz Kategoriler (85+ Kontrol Başarılı)

✅ Backdoor & Malware:

  • eval(base64_decode) yok
  • shell_exec, system yok
  • Webshell pattern yok
  • Crypto miner yok

✅ Upload Güvenliği:

  • Uploads'da PHP yok
  • Resim içinde kod yok
  • PHP varyantları yok

✅ Info Disclosure:

  • .env public'te yok
  • .git directory yok
  • SQL dump yok
  • phpinfo() yok

✅ Credential Exposure:

  • SSH key yok
  • API key güvenli
  • DB password güvenli

✅ Attack Patterns:

  • SQL injection yok
  • Directory traversal yok
  • NULL byte yok

✅ Network & Remote:

  • Socket/reverse shell yok
  • Remote include yok
  • Proc_open exploit yok

Öncelik Sırasıyla Yapılacaklar

1. Debug Mode Kapat

5 Dakika
APP_DEBUG=false # .env'de değiştir
php artisan config:clear && php artisan config:cache

2. CORS Düzelt

15 Dakika

3 dosyada wildcard yerine belirli domainler ekle

3. Public PHP Koru

30 Dakika

Artisan command'e çevir veya IP whitelist

4. Backup Dosyaları Sil

2 Dakika
sudo rm public/assets/js/ai-chat.js.backup
sudo rm public/readme/2025/12/05/subscription-complete-guide/index.html.backup