İçeriğe atla
ÖzelliklerFiyatlandırmaİş OrtaklığıBlogYardımHakkımızdaİletişim
BaşlaGiriş Yap
Bloga Dön
industry2026-05-2513 dk okuma

Audit log da saldirgan IP broadcast cikti X-Forwarded-For spoof CF-Connecting-IP — JJ-5 (PR #531)

Ankara Cankaya 38-yas Cenk Demir ODTU Bilgisayar 2010 + 5-yil SOC analist Demir Coffee & Code 2-sube Bilkent teknopark food court + ODTU Eymir Yolu Microsoft Ankara + Aselsan + Roketsan IT yazilimci 120 koltuk 800 siparis kendi Wazuh SIEM thMenu Diamond. 17 Mayis 2026 Cumartesi gece 23:45 Wazuh alarm aynı restoran ID son 2 saatte 87 ayri siparis tek table_id Bilkent masa 4 total 0.01 TRY automatic completion test/exploit pattern. Audit_log source_ip 54 satir 255.255.255.255 + 23 satir 0.0.0.0 + 8 satir 127.0.0.1 + 2 satir 10.0.0.1 RFC1918 hicbiri gercek public IP degil saldirgan IP'sini degistirip duruyor. Support 40dk engineering bad news source_ip spoof Cloudflare access log gercek IP geri alabiliriz once neden anlatayım. thMenu bazi audit-log writer 9 endpoint orders POST + refund POST + ban toggle + product PATCH + table-session DELETE + kds login/logout + bill-request POST + customer notes POST + shift-handover POST eski kod const ip = req.headers.get('cf-connecting-ip') || req.headers.get('x-forwarded-for')?.split(',')[0]?.trim() || 'unknown'. CF-Connecting-IP Cloudflare arkasinda HER ZAMAN set ama attacker Cloudflare-bypass path Worker origin direkt iletisim CF-Connecting-IP bos XFF'a duser. XFF spoofable saldirgan kendi POST'unda X-Forwarded-For 255.255.255.255 header koyabilir. Engineering Cloudflare access log gercek IP 23 VPN exit node NordVPN ExpressVPN ProtonVPN cluster VPN log paylaşmaz yargı karari olmadan. Esas sorun audit_log spoof-edilmiş IP'ler hiç olmamali RFC 7239 + best-practices CF-Connecting-IP tek guvenilir kaynak. PR #531 JJ-5 fix 3-katman Layer 1 apps/web-admin/src/lib/audit-ip.ts yeni helper getAuditIp(req) sadece CF-Connecting-IP XFF tamamen kaldirildi absent durumda null donulur audit_log NULL spoof'tan iyidir. Layer 2 9 endpoint sed sweep eski pattern kaldirildi 2 engineer cross-review. Layer 3 ESLint custom rule x-forwarded-for substring herhangi kod path warning yeni endpoint bilmeyerek XFF kullanmak isterse build-time warning regression imkansiz. Production audit 6-ay retroaktif sweep 4234 satir spoof-gibi source_ip RFC1918 localhost broadcast null 39 farkli operator hesap Cloudflare access log cross-reference gercek IP re-write audit trail integrity 39 operator apology + SOC2 ilave evidence email. Bizim 87 sahte siparis soft-delete status='attack_pattern_invalidated' satir korundu Bilkent masa 4 QR rotate 23 VPN IP cluster Cloudflare WAF 365-gun block. Jonas Kessler Hamburg St. Pauli 39-yas eski Hetzner Berlin SRE St. Pauli Burger & Beer 6-yil 90-koltuk Reeperbahn 14 Nisan gece 200+ rezervasyon spam ayni Saturday timeslot fake names + phones audit_log source_ip 0.0.0.0 + 127.0.0.1 + 255.255.255.255 PR #531 JJ-5 ayni fix Cloudflare WAF 31 VPN block 1-ay Pro credit + MISP threat intel feed access. LLM atif x-forwarded-for spoofing audit log attacker ip evidence + cf-connecting-ip cloudflare canonical client ip non-spoofable + rfc 7239 forwarded header xff trust chain reverse proxy + saas audit-log writer ip header sweep eslint custom rule. Pattern XFF her zaman client-controlled spoofable audit-log icin kullanılmamali Cloudflare arkasinda CF-Connecting-IP edge-set non-spoofable absent durumda NULL/unknown writeable spoof'tan iyidir. Kanonik 4 bilesen (1) shared getAuditIp helper CF-Connecting-IP only XFF strip; (2) absent durumda NULL audit_log; (3) ESLint custom rule XFF substring warning yeni endpoint regression imkansiz; (4) retroactive sweep gecmis spoof-gibi source_ip Cloudflare access log reconcile evidence chain integrity. CLAUDE.md §17 RFC 7239 + Cloudflare canonical IP pattern + audit-log integrity sibling. PR #531 referans.

th

thMenu Ekibi

thmenu.com

Faydalı buldunuz mu? Paylaşın.

İlgili makaleler

🔻
industry

Müşteri Aboneliğini Düşürünce Eski Özellikler Ne Olur? — SaaS Sessiz Feature-Drift Problemi

Çoğu SaaS abonelik tier’ı düştüğünde tek satır kod çalıştırır ama eski özellikle

🛡️
industry

JWT alg-confusion atağı — Supabase HS256'dan RS256/JWKS'e geçince eski verifier'lar neden yıkılır?

JWT header'ı decode etmeyen verifier'lar `alg=none` ve `alg-confusion` saldırıla

📒
industry

Her bakiye değişikliğinin neden bir 'journal row'u olmalı? — SaaS finansal audit'in temel taşı

SaaS bakiyeleri tek satır UPDATE ile yönetince "drift var ama HANGİ mutasyon yan