[Owasp-turkey] [Fwd: [netsec] WordPress Kritik Guvenlik Acigi]

Bunyamin DEMIR bunyamindemir at gmail.com
Tue May 29 17:23:16 EDT 2007


Biraz bekledim ama pek bizim dışımızda cevap veren olmadı.

Aslında bu da güzel bir yaklaşım. Proje büyük ve parçalara(modüler) bölünmüş
şekilde ise aynı zamanda parçaları farklı geliştiriciler kodluyorsa
muhtemelen doğru seçenek olmalı. Fakat senaryo yazdığım gibi çoktan seçmeli
sanki. Neyse... Projenin büyüklüğüne ve ihtiyaçlarına göre güvenlik
stratejisi belirleyelim. Demek mi daha doğru olacak yoksa Volkan bey`in
dediği gibi her aşamada kontrolden yana mı olmak lazım?

Aslında bir kaç senaryo oluşturup bu senaryolara uygun güvenlik politikaları
oluşturmak gerekli gibi. Böyle bir döküman güzel olurdu. Sanki bir yerlerden
hatırlıyorum ama? Hatırlatın... :)

Bu arada hazır girdi denetimi demişken. "A multi-model approach to the
detection of web-based attacks" ile ilgilenmiş olanlar var mı acaba?


Saygılar,



2007/5/25, volkan uzun <vuzun at csusb.edu>:
>
>  Konunun basini belki biraz kacirdigim icin alakasiz olabilir J
>
> Ben girdinin her asamada kontrolunden yanayim, cunku girdinin ilk alindigi
> ( diyelim ki kullanici webden giris yapti ), ortamdan son asamaya dek her
> zaman ayni programci yazmiyor.
>
> Mesela; ben business katmanindaki kodu yaziyorsam; maalesef ui tarafini
> yazip; benim siniflarima istekte bulunacak programciya guvenemem herseyi
> kontrol etmis mi diye; hatta ve hatta test gruplarinin test islemlerinde
> aciklari bulmasina da guvenemem, benim yapmam gereken yazdigim her module
> gelecek girdinin sanki sistemi bozmaya calisacak bir kullaniciya ait
> oldugunu dusunmek; ve ona gore onlem almak olmali.
>
> Butun modulleri ayni programci yazsa bile gene her asamada kontrolden
> yanayim J cunku bu seferde ileride kodun bakimini, optimizasyonunu yapacak
> kisinin napacagina guvenemem, bir modulu bozup farkinda olmayarak diger
> module denetimsiz parametre yollayabilir.
>
>
>
>
>  ------------------------------
>
> *From:* owasp-turkey-bounces at lists.owasp.org [mailto:
> owasp-turkey-bounces at lists.owasp.org] *On Behalf Of *Bunyamin DEMIR
> *Sent:* Friday, May 25, 2007 9:26 AM
> *To:* burak.dayioglu at pro-g.com.tr; Ferruh Mavituna; Bedirhan Urgun
> *Cc:* owasp-turkey at lists.owasp.org
> *Subject:* Re: [Owasp-turkey] [Fwd: [netsec] WordPress Kritik Guvenlik
> Acigi]
>
>
>
> Şimdi herkes "girdi denetimi" konusunda mutabık. Hatta ilk "iyi
> programlama" konulu kitaplar bile bundan bahsetti diyoruz. Zaten burasına
> kimsenin takıldığı yok. Mevzu denetimin hangi aşamada başlaması? Hangi
> aşamada yoğulaşması? Hangi aşamada bitmesi?
>
> Dayatma olmasın tabide.. İzlediğim yolu belirteyim.
>
> Genelde temel kontrolleri en başta yaparım. Yani bir kullanıcını kredi
> kartı numarası girmiş ise onu aldığım yerde denetlerim. Fakat bir fonksiyon
> çağırılacaksa. Onu çağıran parametreyi fonksiyonun çağrıldığı
> yerde-dosyasında denetlerim.
>
> Örneğin,
>
> Sisteme login olduk. Kullanıcı adı şifre denetlenmesinden geçtik. İçeride
> bir linke bastığımızda (listele).  Giden parametre çağrıldığı yerde zaten
> biliniyor. Biraz daha açayım. Bu sayfaya gelen talepler ancak ve ancak
> "listele,goster" olabilir onun dışında gelen her türlü parametreyi salla
> gitsin. Bu birazda güvenlik kontrolünü parçalara yaymaya yarıyor. Gerçi ilk
> etapta girdinin kontrolüne daha yakın bir plan.
>
> Umarım anlatabilmişimdir:)
>
>
>
>  25.05.2007 tarihinde *Burak DAYIOGLU* <burak.dayioglu at pro-g.com.tr >
> yazmış:
>
> On Fri, 2007-05-25 at 12:16 -0400, Bedirhan Urgun wrote:
> >  neyse sanirim hepimiz ayni seyden yanayiz, tek denetim degil (ama
> > giriste mutlaka olabildigince kisitlilayici bir sekilde) katmanli
> > denetim gerekli sonra da cikti denetimi (html encode, url encode,
> > canonicalize v.b.). Ama sanirim her fonksiyonda girdi denetim
> > yapilmasi sıkıntıya sokar gelistiriciyi. En azindan ben
> > dellenirim... :)
> >  bedirhan
>
> "Dellenecek" bir sey yok. Butun "iyi programlama" kitaplari saglam
> programlama (robust programming) icin beklenmedik
> parametrelere/girdilere hazirliktan soz eder, konu guvenlik olmadan
> coook once bile yazilmis "nasil iyi yazarsiniz" kitaplarinin hemen
> hepsinde bu var... :)
>
> sevgiler.
> -burak "muhalif" dayioglu
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>
>
>
> --
> Bunyamin Demir
> OWASP-Turkey Chair
> http://www.webguvenligi.org
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>


-- 
Bunyamin Demir
OWASP-Turkey Chair
http://www.webguvenligi.org
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20070530/ed28290b/attachment.html 


More information about the Owasp-turkey mailing list